Applies ToWin 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10 Enterprise Multi-Session, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 on Surface Hub Windows 10, version 21H1, all editions Windows 10, version 21H2, all editions

Sammanfattning

Transport Layer Security (TLS) 1.0 och 1.1 är säkerhetsprotokoll för att skapa krypteringskanaler över datornätverk. Microsoft har stött dem sedan Windows XP och Windows Server 2003. Regelkraven förändras dock. Det finns också nya säkerhetsbrister i TLS 1.0. Därför rekommenderar Microsoft att du tar bort TLS 1.0- och 1.1-beroenden. Vi rekommenderar också att du inaktiverar TLS 1.0 och 1.1 på operativsystemnivå där det är möjligt. Mer information finns i Inaktivera TLS 1.0 och 1.1. I förhandsversionen den 20 september 2022 inaktiverar vi TLS 1.0 och 1.1 som standard för program baserat på winhttp och wininet. Detta är en del av en pågående insats. Den här artikeln hjälper dig att återaktivera dem. Dessa ändringar kommer att återspeglas efter installation av Windows-uppdateringar som släpptes den 20 september 2022 eller senare.  

Beteende vid åtkomst till TLS 1.0- och 1.1-länkar i webbläsaren

Efter 20 september 2022 visas ett meddelande när webbläsaren öppnar en webbplats som använder TLS 1.0 eller 1.1. Se bild 1. Meddelandet anger att webbplatsen använder ett inaktuellt eller osäkert TLS-protokoll. Du kan åtgärda detta genom att uppdatera TLS-protokollet till TLS 1.2 eller senare. Om detta inte är möjligt kan du aktivera TLS enligt beskrivningen i Aktivera TLS version 1.1 och nedan.

Internet explorer-fönstret när du öppnar TLS 1.0- och 1.1-länken

Bild 1: Webbläsarfönster när du öppnar webbsidan TLS 1.0 och 1.1

Beteende vid åtkomst till TLS 1.0- och 1.1-länkar i winhttp-program

Efter uppdateringen kan program baserade på winhttp misslyckas. Felmeddelandet är "ERROR_WINHTTP_SECURE_FAILURE när du utför Åtgärden WinHttpSendRequest".

Beteende vid åtkomst till TLS 1.0- och 1.1-länkar i anpassade gränssnittsprogram baserat på winhttp eller wininet

När ett program försöker skapa en anslutning med TLS 1.1 och nedan kan anslutningen se ut att misslyckas. När du stänger ett program eller om det slutar fungera visas dialogrutan Programkompatibilitetsassistenten (PCA) enligt bild 2.

Popup-fönster för Programkompatibilitetsassistenten efter att programmet stängts

Bild 2: Dialogrutan Programkompatibilitetsassistenten efter att ett program stängts

I dialogrutan PCA står det "Det här programmet kanske inte har körts korrekt". Under det finns det två alternativ:

  • Köra programmet med hjälp av kompatibilitetsinställningar

  • Det här programmet kördes korrekt

Köra programmet med hjälp av kompatibilitetsinställningar

När du väljer det här alternativet öppnas programmet igen. Nu fungerar alla länkar som använder TLS 1.0 och 1.1 korrekt. Från och med då visas ingen DIALOGRUTA för PCA. Registereditorn lägger till poster i följande sökvägar:

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers. 

Om du valde det här alternativet av misstag kan du ta bort de här posterna. Om du tar bort dem visas dialogrutan DATORA nästa gång du öppnar appen.

Lista över program som ska kördes med kompatibilitetsinställningarna

Bild 3: Lista över program som ska köras med kompatibilitetsinställningar

Det här programmet kördes korrekt

När du väljer det här alternativet stängs programmet normalt. Nästa gång du öppnar programmet igen visas ingen DIALOGRUTA för PCA. Systemet blockerar allt TLS 1.0- och 1.1-innehåll. Registereditorn lägger till följande post i sökvägen Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store. Se Bild 4. Om du valde det här alternativet av misstag kan du ta bort den här posten. Om du tar bort posten visas dialogrutan DATORA nästa gång du öppnar appen.

Post i registereditorn som anger att appen kördes korrekt

Bild 4: Post i Registereditorn som anger att programmet kördes korrekt

Viktigt Äldre TLS-protokoll är endast aktiverade för specifika program. Detta gäller även om de är inaktiverade i systemövergripande inställningar.

Aktivera TLS version 1.1 och senare (wininet- och Internet Explorer-inställningar)

Vi rekommenderar inte att du aktiverar TLS 1.1 och nedan eftersom de inte längre anses vara säkra. De är sårbara för olika attacker, till exempel POODLE-attacken. Så innan du aktiverar TLS 1.1 gör du något av följande:

  • Kontrollera om det finns en nyare version av programmet.

  • Be apputvecklaren att göra konfigurationsändringar i appen för att ta bort beroendet av TLS 1.1 och nedan.

Om ingen av lösningarna fungerar finns det två sätt att aktivera äldre TLS-protokoll i systemomfattande inställningar:

  • Internetalternativ

  • Grupprincipredigeraren

Internetalternativ

Du öppnar Internetalternativ genom att skriva Internetalternativ i sökrutan i Aktivitetsfältet. Du kan också välja Ändra inställningar i dialogrutan som visas i Bild 1. Rulla nedåt i panelen Inställningar på fliken Avancerat. Där kan du aktivera eller inaktivera TLS-protokoll.

Fönstret Internetalternativ

Bild 5: Dialogrutan Internetegenskaper

Grupprincip Editor

Om du vill öppna grupprincip Editor skriver du gpedit.msc i sökrutan i Aktivitetsfältet. Ett fönster som det som visas i bild 6 visas. 

Fönstret Grupprincipredigerare

Bild 6: fönstret grupprincip Editor

  1. Gå till >(Datorkonfiguration eller Användarkonfiguration) > Administrative Templets > Windows Components > Internet Explorer > Internet Kontrollpanelen > Advanced Page > Inaktivera stöd för kryptering. Se bild 7.

  2. Dubbelklicka på Inaktivera krypteringsstöd.

    Sökväg till Inaktivera krypteringsstöd i GPedit.msc

    Bild 7: Sökväg för att inaktivera krypteringsstöd i grupprincip Editor

  3. Välj alternativet Aktiverad . Använd sedan listrutan för att välja den TLS-version som du vill aktivera enligt bild 8.

    Inaktivera krypteringsstöd aktiverat med listrutan med olika alternativ

    Bild 8: Aktivera Inaktivera stöd för kryptering och listruta

När du har aktiverat principen i grupprincip Editor kan du inte ändra den i Internetalternativ. Om du till exempel väljer Använd SSL3.0 och TLS 1.0 är alla andra alternativ inte tillgängliga i Internetalternativ. Se bild 9. Du kan inte ändra någon av inställningarna i Internetalternativ om du aktiverar Inaktivera krypteringsstöd i grupprincip Editor.

Internetalternativ med nedtonade SSL- och TLS-inställningar

Bild 9: Internetalternativ som visar Otillgängliga SSL- och TLS-inställningar

Aktivera TLS version 1.1 och senare (winhttp-inställningar)

Se Uppdatera för att aktivera TLS 1.1 och TLS 1.2 som standard säkra protokoll i WinHTTP i Windows.

Viktiga registersökvägar (wininet- och Internet Explorer-inställningar)

  • Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

    • Här hittar du SecureProtocols, som lagrar värdet för de protokoll som är aktiverade om du använder grupprincip Editor.

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings

    • Här hittar du SecureProtocols, som lagrar värdet för för närvarande aktiverade protokoll om du använder Internetalternativ.

  • grupprincip SecureProtocols har företräde framför den som anges av Internetalternativ.

Aktivera osäkra TLS-fallback

Ändringarna ovan aktiverar TLS 1.0 och TLS 1.1. De aktiverar dock inte TLS reservalternativ. Om du vill aktivera TLS-reserv måste du ange EnableInsecureTlsFallback till 1 i registret under sökvägarna nedan.

  • Så här ändrar du inställningarna: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp

  • Ange princip: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

Om EnableInsecureTlsFallback inte finns måste du skapa en ny DWORD-post och ange 1.

Viktiga registersökvägar

  1. ForceDefaultSecureProtocols  

    • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp 

    • Det är FALSKT som standard. Om du anger ett värde som inte är noll hindras program från att ange anpassade protokoll med alternativet winhttp.

  2. EnableInsecureTlsFallback 

    • Så här ändrar du inställningarna: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp

    • Ange princip: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

    • Det är FALSKT som standard. Om du anger ett värde som inte är noll kan program återgå till osäkra protokoll (TLS1.0 och 1.1) om handskakningen misslyckas med säkra protokoll (tls1.2 och senare).

Behöver du mer hjälp?

Vill du ha fler alternativ?

Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.

Communities hjälper dig att ställa och svara på frågor, ge feedback och få råd från experter med rika kunskaper.