Sammanfattning
Transport Layer Security (TLS) 1.0 och 1.1 är säkerhetsprotokoll för att skapa krypteringskanaler över datornätverk. Microsoft har stött dem sedan Windows XP och Windows Server 2003. Regelkraven förändras dock. Det finns också nya säkerhetsbrister i TLS 1.0. Därför rekommenderar Microsoft att du tar bort TLS 1.0- och 1.1-beroenden. Vi rekommenderar också att du inaktiverar TLS 1.0 och 1.1 på operativsystemnivå där det är möjligt. Mer information finns i Inaktivera TLS 1.0 och 1.1. I förhandsversionen den 20 september 2022 inaktiverar vi TLS 1.0 och 1.1 som standard för program baserat på winhttp och wininet. Detta är en del av en pågående insats. Den här artikeln hjälper dig att återaktivera dem. Dessa ändringar kommer att återspeglas efter installation av Windows-uppdateringar som släpptes den 20 september 2022 eller senare.
Beteende vid åtkomst till TLS 1.0- och 1.1-länkar i webbläsaren
Efter 20 september 2022 visas ett meddelande när webbläsaren öppnar en webbplats som använder TLS 1.0 eller 1.1. Se bild 1. Meddelandet anger att webbplatsen använder ett inaktuellt eller osäkert TLS-protokoll. Du kan åtgärda detta genom att uppdatera TLS-protokollet till TLS 1.2 eller senare. Om detta inte är möjligt kan du aktivera TLS enligt beskrivningen i Aktivera TLS version 1.1 och nedan.
Bild 1: Webbläsarfönster när du öppnar webbsidan TLS 1.0 och 1.1
Beteende vid åtkomst till TLS 1.0- och 1.1-länkar i winhttp-program
Efter uppdateringen kan program baserade på winhttp misslyckas. Felmeddelandet är "ERROR_WINHTTP_SECURE_FAILURE när du utför Åtgärden WinHttpSendRequest".
Beteende vid åtkomst till TLS 1.0- och 1.1-länkar i anpassade gränssnittsprogram baserat på winhttp eller wininet
När ett program försöker skapa en anslutning med TLS 1.1 och nedan kan anslutningen se ut att misslyckas. När du stänger ett program eller om det slutar fungera visas dialogrutan Programkompatibilitetsassistenten (PCA) enligt bild 2.
Bild 2: Dialogrutan Programkompatibilitetsassistenten efter att ett program stängts
I dialogrutan PCA står det "Det här programmet kanske inte har körts korrekt". Under det finns det två alternativ:
-
Köra programmet med hjälp av kompatibilitetsinställningar
-
Det här programmet kördes korrekt
Köra programmet med hjälp av kompatibilitetsinställningar
När du väljer det här alternativet öppnas programmet igen. Nu fungerar alla länkar som använder TLS 1.0 och 1.1 korrekt. Från och med då visas ingen DIALOGRUTA för PCA. Registereditorn lägger till poster i följande sökvägar:
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store.
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers.
Om du valde det här alternativet av misstag kan du ta bort de här posterna. Om du tar bort dem visas dialogrutan DATORA nästa gång du öppnar appen.
Bild 3: Lista över program som ska köras med kompatibilitetsinställningar
Det här programmet kördes korrekt
När du väljer det här alternativet stängs programmet normalt. Nästa gång du öppnar programmet igen visas ingen DIALOGRUTA för PCA. Systemet blockerar allt TLS 1.0- och 1.1-innehåll. Registereditorn lägger till följande post i sökvägen Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store. Se Bild 4. Om du valde det här alternativet av misstag kan du ta bort den här posten. Om du tar bort posten visas dialogrutan DATORA nästa gång du öppnar appen.
Bild 4: Post i Registereditorn som anger att programmet kördes korrekt
Viktigt Äldre TLS-protokoll är endast aktiverade för specifika program. Detta gäller även om de är inaktiverade i systemövergripande inställningar.
Aktivera TLS version 1.1 och senare (wininet- och Internet Explorer-inställningar)
Vi rekommenderar inte att du aktiverar TLS 1.1 och nedan eftersom de inte längre anses vara säkra. De är sårbara för olika attacker, till exempel POODLE-attacken. Så innan du aktiverar TLS 1.1 gör du något av följande:
-
Kontrollera om det finns en nyare version av programmet.
-
Be apputvecklaren att göra konfigurationsändringar i appen för att ta bort beroendet av TLS 1.1 och nedan.
Om ingen av lösningarna fungerar finns det två sätt att aktivera äldre TLS-protokoll i systemomfattande inställningar:
-
Internetalternativ
-
Grupprincipredigeraren
Internetalternativ
Du öppnar Internetalternativ genom att skriva Internetalternativ i sökrutan i Aktivitetsfältet. Du kan också välja Ändra inställningar i dialogrutan som visas i Bild 1. Rulla nedåt i panelen Inställningar på fliken Avancerat. Där kan du aktivera eller inaktivera TLS-protokoll.
Bild 5: Dialogrutan Internetegenskaper
Grupprincip Editor
Om du vill öppna grupprincip Editor skriver du gpedit.msc i sökrutan i Aktivitetsfältet. Ett fönster som det som visas i bild 6 visas.
Bild 6: fönstret grupprincip Editor
-
Gå till >(Datorkonfiguration eller Användarkonfiguration) > Administrative Templets > Windows Components > Internet Explorer > Internet Kontrollpanelen > Advanced Page > Inaktivera stöd för kryptering. Se bild 7.
-
Dubbelklicka på Inaktivera krypteringsstöd.
Bild 7: Sökväg för att inaktivera krypteringsstöd i grupprincip Editor
-
Välj alternativet Aktiverad . Använd sedan listrutan för att välja den TLS-version som du vill aktivera enligt bild 8.
Bild 8: Aktivera Inaktivera stöd för kryptering och listruta
När du har aktiverat principen i grupprincip Editor kan du inte ändra den i Internetalternativ. Om du till exempel väljer Använd SSL3.0 och TLS 1.0 är alla andra alternativ inte tillgängliga i Internetalternativ. Se bild 9. Du kan inte ändra någon av inställningarna i Internetalternativ om du aktiverar Inaktivera krypteringsstöd i grupprincip Editor.
Bild 9: Internetalternativ som visar Otillgängliga SSL- och TLS-inställningar
Aktivera TLS version 1.1 och senare (winhttp-inställningar)
Se Uppdatera för att aktivera TLS 1.1 och TLS 1.2 som standard säkra protokoll i WinHTTP i Windows.
Viktiga registersökvägar (wininet- och Internet Explorer-inställningar)
-
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
-
Här hittar du SecureProtocols, som lagrar värdet för de protokoll som är aktiverade om du använder grupprincip Editor.
-
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
-
Här hittar du SecureProtocols, som lagrar värdet för för närvarande aktiverade protokoll om du använder Internetalternativ.
-
-
grupprincip SecureProtocols har företräde framför den som anges av Internetalternativ.
Aktivera osäkra TLS-fallback
Ändringarna ovan aktiverar TLS 1.0 och TLS 1.1. De aktiverar dock inte TLS reservalternativ. Om du vill aktivera TLS-reserv måste du ange EnableInsecureTlsFallback till 1 i registret under sökvägarna nedan.
-
Så här ändrar du inställningarna: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
-
Ange princip: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
Om EnableInsecureTlsFallback inte finns måste du skapa en ny DWORD-post och ange 1.
Viktiga registersökvägar
-
ForceDefaultSecureProtocols
-
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
-
Det är FALSKT som standard. Om du anger ett värde som inte är noll hindras program från att ange anpassade protokoll med alternativet winhttp.
-
-
EnableInsecureTlsFallback
-
Så här ändrar du inställningarna: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
-
Ange princip: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
-
Det är FALSKT som standard. Om du anger ett värde som inte är noll kan program återgå till osäkra protokoll (TLS1.0 och 1.1) om handskakningen misslyckas med säkra protokoll (tls1.2 och senare).
-