Povzetek
TLS (Transport Layer Security) 1.0 in 1.1 sta varnostna protokola za ustvarjanje šifrirnih kanalov prek računalniških omrežij. Microsoft podprte že od izdaje sistema Windows XP in Windows Server 2003. Vendar se regulativne zahteve spreminjajo. Poleg tega so v TLS 1.0 na voljo nove varnostne pomanjkljivosti. Zato Microsoft, da odstranite odvisnosti TLS 1.0 in 1.1. Priporočamo tudi, da onemogočite TLS 1.0 in 1.1 na ravni operacijskega sistema, kjer je to mogoče. Če želite več informacij, glejte Onemogočanje TLS 1.0 in 1.1. V posodobitvi predogleda z dne 20. septembra 2022 bomo privzeto onemogočili TLS 1.0 in 1.1 za aplikacije, ki temeljijo na winhttp in wininet. To je del nenehnega truda. Ta članek vam bo pomagal, da jih znova omogočite. Te spremembe bodo vidne tudi po namestitvi posodobitev sistema Windows, izdanih 20. septembra 2022 ali po tem.
Delovanje pri dostopu do povezav TLS 1.0 in 1.1 v brskalniku
Po 20. septembru 2022 se bo prikazalo sporočilo, ko bo vaš brskalnik odprl spletno mesto, ki uporablja TLS 1.0 ali 1.1. Glejte sliko 1. V sporočilu je prikazano, da spletno mesto uporablja zastarel ali nevaren protokol TLS. Če želite odpraviti to težavo, lahko posodobite protokol TLS na TLS 1.2 ali novejšo. Če to ni mogoče, lahko omogočite TLS, kot je opisano v razdelku Omogočanje TLS-ja različice 1.1 in spodaj.
Slika 1: Okno brskalnika pri dostopu do spletne strani TLS 1.0 in 1.1
Delovanje pri dostopu do povezav TLS 1.0 in 1.1 v sistemu Winhttp programi
Po posodobitvi aplikacije, ki temeljijo na winhttp, morda ne bodo uspele. Sporočilo o napaki se imenuje »ERROR_WINHTTP_SECURE_FAILURE med izvajanjem operacije WinHttpSendRequest«.
Delovanje pri dostopu do povezav TLS 1.0 in 1.1 v aplikacijah uporabniškega vmesnika po meri, ki temeljijo na winhttp ali wininet
Ko aplikacija poskuša ustvariti povezavo s TLS 1.1 in spodnjimi različicami, se lahko zdi, da povezava ni uspela. Ko zaprete aplikacijo ali ta preneha delovati, se prikaže pogovorno okno Pomočnik za združljivost programov (PCA), kot je prikazano na sliki 2.
Slika 2: Pogovorno okno pomočnika za združljivost programov po zapiranju programa
V pogovornem oknu PCA se prikaže sporočilo »Ta program morda ni deloval pravilno«. Pod tem sta na voljo dve možnosti:
-
Zaženite program z nastavitvami združljivosti
-
Ta program se je pravilno zagnal
Zaženite program z nastavitvami združljivosti
Ko izberete to možnost, se aplikacija znova odpre. Zdaj vse povezave, ki uporabljajo TLS 1.0 in 1.1, delujejo pravilno. Od takrat naprej se ne bo prikazalo nobeno pogovorno okno PCA. Urejevalnik registra doda vnose na te poti:
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store.
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers.
Če ste to možnost izbrali pomotoma, lahko te vnose izbrišete. Če jih izbrišete, se bo pogovorno okno PCA prikazalo, ko naslednjič odprete aplikacijo.
Slika 3: Seznam programov, ki bi se morali zagnati z nastavitvami združljivosti
Ta program se je pravilno zagnal
Ko izberete to možnost, se aplikacija normalno zapre. Ko boste naslednjič znova odprli aplikacijo, se ne bo odprlo pogovorno okno PCA. Sistem blokira vso vsebino TLS 1.0 in 1.1. Urejevalnik registra doda ta vnos v potComputer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store . Glejte sliko 4. Če ste to možnost izbrali pomotoma, lahko ta vnos izbrišete. Če izbrišete vnos, se bo pogovorno okno PCA prikazalo, ko boste naslednjič odprli aplikacijo.
Slika 4: Vnos v urejevalnik registra, ki navaja, da se je program zagnal pravilno
Pomembno Podedovani protokoli TLS so omogočeni le za določene aplikacije. To velja, čeprav so onemogočene v sistemskih nastavitvah.
Omogočanje TLS različice 1.1 in spodaj (nastavitve wininet in Internet Explorer)
Priporočamo, da ne omogočite TLS 1.1 in spodaj, ker niso več obravnavani kot varni. Ranljivi so za različne napade, kot je napad POODLE. Preden omogočite TLS 1.1, naredite nekaj od tega:
-
Preverite, ali je na voljo novejša različica programa.
-
Prosite razvijalca aplikacije, da spremeni konfiguracijo v aplikaciji, da odstrani odvisnost od TLS 1.1 in spodaj.
Če nobena od rešitev ne deluje, lahko podedovane protokole TLS v nastavitvah za celoten sistem omogočite na dva načina:
-
Internetne možnosti
-
Urejevalnik pravilnika skupine
Internetne možnosti
Če želite odpreti Internetne možnosti, v iskalno polje v opravilni vrstici vnesite Internetne možnosti. Nastavitve lahko izberete tudi v pogovornem oknu, ki je prikazano na sliki 1. Na zavihku Dodatno se pomaknite navzdol v podoknu Nastavitve. Tam lahko omogočite ali onemogočite protokole TLS.
Slika 5: Pogovorno okno »Internetne lastnosti«
Urejevalnik pravilnik skupine strani
Če želite odpreti pravilnik skupine, v iskalno polje v opravilni vrstici vnesite gpedit.msc. Prikaže se okno, podobno oknu, ki je prikazano na sliki 6.
Slika 6: pravilnik skupine urejevalnika
-
Pomaknite se do razdelka Lokalni pravilnik računalnika > (konfiguracija računalnika ali uporabniška konfiguracija) > Skrbniški templji > Komponente sistema Windows > Internet Explorer > Internet nadzorna plošča > Advanced Page > Izklop podpore za šifriranje. Glejte sliko 7.
-
Dvokliknite Izklopi podporo za šifriranje.
Slika 7: Pot za izklop podpore za šifriranje v pravilnik skupine Urejevalniku
-
Izberite možnost Omogočeno. Nato na spustnem seznamu izberite različico TLS, ki jo želite omogočiti, kot je prikazano na sliki 8.
Slika 8: Omogočanje možnosti »Izklopi podporo za šifriranje« in spustni seznam
Ko omogočite pravilnik v urejevalniku pravilnik skupine, ga ne morete spremeniti v internetnih možnostih. Če na primer izberete Uporabi SSL3.0 in TLS 1.0, vse druge možnosti v internetnih možnostih ne bodo na voljo. Glejte sliko 9. Če v urejevalniku internetnih možnosti omogočite možnost Izklopi podporo za šifriranje, ne morete spremeniti nobene pravilnik skupine internetnih možnosti.
Slika 9: Internetne možnosti, ki prikazujejo nastavitve SSL in TLS, ki niso na voljo
Omogočite TLS različice 1.1 in novejšo (winhttp nastavitve)
Pomembne poti registra (nastavitve wininet in Internet Explorer)
-
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
-
Tukaj najdete secureProtocols, ki shranjuje vrednost trenutno omogočenih protokolov, če uporabljate urejevalnik pravilnik skupine protokolov.
-
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
-
Tukaj najdete secureProtocols, ki shranjuje vrednost trenutno omogočenih protokolov, če uporabljate internetne možnosti.
-
-
pravilnik skupine SecureProtocols imajo prednost pred elementom, ki ga nastavljajo internetne možnosti.
Omogočanje nezaščitenega nadomestnega TLS-ja
Zgornje spremembe omogočajo TLS 1.0 in TLS 1.1. Vendar pa ne bodo omogočili nadomestnega TLS-ja. Če želite omogočiti rezervni TLS, morate v registru pod spodnjimi potmi nastaviti EnableInsecureTlsFallback na 1.
-
Če želite spremeniti nastavitve: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttps://software\Microsoft\Windows\CurrentVersion\Internet Settings\win
-
Nastavitev pravilnika: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
Če EnableInsecureTlsFallback ni na voljo, morate ustvariti nov vnos DWORD in ga nastaviti na 1.
Pomembne poti registra
-
ForceDefaultSecureProtocols
-
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
-
Privzeta vrednost je FALSE. Če nastavite neničelno vrednost, aplikacijam preprečite nastavitev protokolov po meri z možnostjo winhttp.
-
-
EnableInsecureTlsFallback
-
Če želite spremeniti nastavitve: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttps://software\Microsoft\Windows\CurrentVersion\Internet Settings\win
-
Nastavitev pravilnika: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
-
Privzeta vrednost je FALSE. Če nastavite vrednost, ki ni ničelna, omogočite aplikacijam, da se padejo nazaj na nezaščitene protokole (TLS1.0 in 1.1), če rokovanje ne uspe z varnimi protokoli (tls1.2 in novejšo).
-