Applies ToWin 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10 Enterprise Multi-Session, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 on Surface Hub Windows 10, version 21H1, all editions Windows 10, version 21H2, all editions

Povzetek

TLS (Transport Layer Security) 1.0 in 1.1 sta varnostna protokola za ustvarjanje šifrirnih kanalov prek računalniških omrežij. Microsoft podprte že od izdaje sistema Windows XP in Windows Server 2003. Vendar se regulativne zahteve spreminjajo. Poleg tega so v TLS 1.0 na voljo nove varnostne pomanjkljivosti. Zato Microsoft, da odstranite odvisnosti TLS 1.0 in 1.1. Priporočamo tudi, da onemogočite TLS 1.0 in 1.1 na ravni operacijskega sistema, kjer je to mogoče. Če želite več informacij, glejte Onemogočanje TLS 1.0 in 1.1. V posodobitvi predogleda z dne 20. septembra 2022 bomo privzeto onemogočili TLS 1.0 in 1.1 za aplikacije, ki temeljijo na winhttp in wininet. To je del nenehnega truda. Ta članek vam bo pomagal, da jih znova omogočite. Te spremembe bodo vidne tudi po namestitvi posodobitev sistema Windows, izdanih 20. septembra 2022 ali po tem.  

Delovanje pri dostopu do povezav TLS 1.0 in 1.1 v brskalniku

Po 20. septembru 2022 se bo prikazalo sporočilo, ko bo vaš brskalnik odprl spletno mesto, ki uporablja TLS 1.0 ali 1.1. Glejte sliko 1. V sporočilu je prikazano, da spletno mesto uporablja zastarel ali nevaren protokol TLS. Če želite odpraviti to težavo, lahko posodobite protokol TLS na TLS 1.2 ali novejšo. Če to ni mogoče, lahko omogočite TLS, kot je opisano v razdelku Omogočanje TLS-ja različice 1.1 in spodaj.

Okno brskalnika Internet Explorer pri dostopu do povezave TLS 1.0 in 1.1

Slika 1: Okno brskalnika pri dostopu do spletne strani TLS 1.0 in 1.1

Delovanje pri dostopu do povezav TLS 1.0 in 1.1 v sistemu Winhttp programi

Po posodobitvi aplikacije, ki temeljijo na winhttp, morda ne bodo uspele. Sporočilo o napaki se imenuje »ERROR_WINHTTP_SECURE_FAILURE med izvajanjem operacije WinHttpSendRequest«.

Delovanje pri dostopu do povezav TLS 1.0 in 1.1 v aplikacijah uporabniškega vmesnika po meri, ki temeljijo na winhttp ali wininet

Ko aplikacija poskuša ustvariti povezavo s TLS 1.1 in spodnjimi različicami, se lahko zdi, da povezava ni uspela. Ko zaprete aplikacijo ali ta preneha delovati, se prikaže pogovorno okno Pomočnik za združljivost programov (PCA), kot je prikazano na sliki 2.

Pojavno okno pomočnika za združljivost programa po zapiranju programa

Slika 2: Pogovorno okno pomočnika za združljivost programov po zapiranju programa

V pogovornem oknu PCA se prikaže sporočilo »Ta program morda ni deloval pravilno«. Pod tem sta na voljo dve možnosti:

  • Zaženite program z nastavitvami združljivosti

  • Ta program se je pravilno zagnal

Zaženite program z nastavitvami združljivosti

Ko izberete to možnost, se aplikacija znova odpre. Zdaj vse povezave, ki uporabljajo TLS 1.0 in 1.1, delujejo pravilno. Od takrat naprej se ne bo prikazalo nobeno pogovorno okno PCA. Urejevalnik registra doda vnose na te poti:

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers. 

Če ste to možnost izbrali pomotoma, lahko te vnose izbrišete. Če jih izbrišete, se bo pogovorno okno PCA prikazalo, ko naslednjič odprete aplikacijo.

Seznam programov, ki jih je treba zagnali z nastavitvami združljivosti

Slika 3: Seznam programov, ki bi se morali zagnati z nastavitvami združljivosti

Ta program se je pravilno zagnal

Ko izberete to možnost, se aplikacija normalno zapre. Ko boste naslednjič znova odprli aplikacijo, se ne bo odprlo pogovorno okno PCA. Sistem blokira vso vsebino TLS 1.0 in 1.1. Urejevalnik registra doda ta vnos v potComputer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store . Glejte sliko 4. Če ste to možnost izbrali pomotoma, lahko ta vnos izbrišete. Če izbrišete vnos, se bo pogovorno okno PCA prikazalo, ko boste naslednjič odprli aplikacijo.

Vnos v urejevalnik registra, ki navaja, da se je program zagnal pravilno

Slika 4: Vnos v urejevalnik registra, ki navaja, da se je program zagnal pravilno

Pomembno Podedovani protokoli TLS so omogočeni le za določene aplikacije. To velja, čeprav so onemogočene v sistemskih nastavitvah.

Omogočanje TLS različice 1.1 in spodaj (nastavitve wininet in Internet Explorer)

Priporočamo, da ne omogočite TLS 1.1 in spodaj, ker niso več obravnavani kot varni. Ranljivi so za različne napade, kot je napad POODLE. Preden omogočite TLS 1.1, naredite nekaj od tega:

  • Preverite, ali je na voljo novejša različica programa.

  • Prosite razvijalca aplikacije, da spremeni konfiguracijo v aplikaciji, da odstrani odvisnost od TLS 1.1 in spodaj.

Če nobena od rešitev ne deluje, lahko podedovane protokole TLS v nastavitvah za celoten sistem omogočite na dva načina:

  • Internetne možnosti

  • Urejevalnik pravilnika skupine

Internetne možnosti

Če želite odpreti Internetne možnosti, v iskalno polje v opravilni vrstici vnesite Internetne možnosti. Nastavitve lahko izberete tudi v pogovornem oknu, ki je prikazano na sliki 1. Na zavihku Dodatno se pomaknite navzdol v podoknu Nastavitve. Tam lahko omogočite ali onemogočite protokole TLS.

Okno »Internetne možnosti«

Slika 5: Pogovorno okno »Internetne lastnosti«

Urejevalnik pravilnik skupine strani

Če želite odpreti pravilnik skupine, v iskalno polje v opravilni vrstici vnesite gpedit.msc. Prikaže se okno, podobno oknu, ki je prikazano na sliki 6. 

Okno urejevalnika pravilnika skupine

Slika 6: pravilnik skupine urejevalnika

  1. Pomaknite se do razdelka Lokalni pravilnik računalnika > (konfiguracija računalnika ali uporabniška konfiguracija) > Skrbniški templji > Komponente sistema Windows > Internet Explorer > Internet nadzorna plošča > Advanced Page > Izklop podpore za šifriranje. Glejte sliko 7.

  2. Dvokliknite Izklopi podporo za šifriranje.

    Pot do izklopa podpore za šifriranje v GPedit.msc

    Slika 7: Pot za izklop podpore za šifriranje v pravilnik skupine Urejevalniku

  3. Izberite možnost Omogočeno. Nato na spustnem seznamu izberite različico TLS, ki jo želite omogočiti, kot je prikazano na sliki 8.

    Izklop podpore za šifriranje je omogočen s spustnim seznamom, ki prikazuje različne možnosti

    Slika 8: Omogočanje možnosti »Izklopi podporo za šifriranje« in spustni seznam

Ko omogočite pravilnik v urejevalniku pravilnik skupine, ga ne morete spremeniti v internetnih možnostih. Če na primer izberete Uporabi SSL3.0 in TLS 1.0, vse druge možnosti v internetnih možnostih ne bodo na voljo. Glejte sliko 9. Če v urejevalniku internetnih možnosti omogočite možnost Izklopi podporo za šifriranje, ne morete spremeniti nobene pravilnik skupine internetnih možnosti.

Internetne možnosti s zatemnjeno nastavitvama SSL in TLS

Slika 9: Internetne možnosti, ki prikazujejo nastavitve SSL in TLS, ki niso na voljo

Omogočite TLS različice 1.1 in novejšo (winhttp nastavitve)

Glejte Posodobitev, če želite omogočiti TLS 1.1 in TLS 1.2 kot privzete varne protokole v sistemu WinHTTP v sistemu Windows.

Pomembne poti registra (nastavitve wininet in Internet Explorer)

  • Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

    • Tukaj najdete secureProtocols, ki shranjuje vrednost trenutno omogočenih protokolov, če uporabljate urejevalnik pravilnik skupine protokolov.

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings

    • Tukaj najdete secureProtocols, ki shranjuje vrednost trenutno omogočenih protokolov, če uporabljate internetne možnosti.

  • pravilnik skupine SecureProtocols imajo prednost pred elementom, ki ga nastavljajo internetne možnosti.

Omogočanje nezaščitenega nadomestnega TLS-ja

Zgornje spremembe omogočajo TLS 1.0 in TLS 1.1. Vendar pa ne bodo omogočili nadomestnega TLS-ja. Če želite omogočiti rezervni TLS, morate v registru pod spodnjimi potmi nastaviti EnableInsecureTlsFallback na 1.

  • Če želite spremeniti nastavitve: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttps://software\Microsoft\Windows\CurrentVersion\Internet Settings\win

  • Nastavitev pravilnika: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

Če EnableInsecureTlsFallback ni na voljo, morate ustvariti nov vnos DWORD in ga nastaviti na 1.

Pomembne poti registra

  1. ForceDefaultSecureProtocols  

    • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp 

    • Privzeta vrednost je FALSE. Če nastavite neničelno vrednost, aplikacijam preprečite nastavitev protokolov po meri z možnostjo winhttp.

  2. EnableInsecureTlsFallback 

    • Če želite spremeniti nastavitve: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttps://software\Microsoft\Windows\CurrentVersion\Internet Settings\win

    • Nastavitev pravilnika: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

    • Privzeta vrednost je FALSE. Če nastavite vrednost, ki ni ničelna, omogočite aplikacijam, da se padejo nazaj na nezaščitene protokole (TLS1.0 in 1.1), če rokovanje ne uspe z varnimi protokoli (tls1.2 in novejšo).

Ali potrebujete dodatno pomoč?

Ali želite več možnosti?

Raziščite ugodnosti naročnine, prebrskajte izobraževalne tečaje, preberite, kako zaščitite svojo napravo in še več.

Skupnosti vam pomagajo postaviti vprašanja in odgovoriti nanje, posredovati povratne informacije in prisluhniti strokovnjakom z bogatim znanjem.