Applies ToWin 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10 Enterprise Multi-Session, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 on Surface Hub Windows 10, version 21H1, all editions Windows 10, version 21H2, all editions

Зведення

Transport Layer Security (TLS) 1.0 і 1.1 – це протоколи безпеки для створення каналів шифрування через комп'ютерні мережі. корпорація Майкрософт підтримує їх із Windows XP та Windows Server 2003. Однак нормативні вимоги змінюються. Крім того, є нові слабкі місця безпеки в TLS 1.0. Тому корпорація Майкрософт рекомендує видалити залежності TLS 1.0 і 1.1. Радимо також вимкнути TLS 1.0 і 1.1 на рівні операційної системи, якщо це можливо. Докладні відомості див. в статті Вимкнення TLS 1.0 і 1.1. В оновленні попереднього перегляду від 20 вересня 2022 року ми вимкнемо TLS 1.0 і 1.1 за замовчуванням для програм на основі winhttp і wininet. Це частина постійних зусиль. Ця стаття допоможе вам повторно ввімкнути їх. Ці зміни відображатимуться після інсталяції оновлень Windows, випущених 20 вересня 2022 р. або пізніше.  

Поведінка під час доступу до посилань TLS 1.0 і 1.1 у браузері

Після 20 вересня 2022 року, коли браузер відкриває веб-сайт, який використовує TLS 1.0 або 1.1, з'явиться повідомлення. Див. рисунок 1. У повідомленні зазначено, що на сайті використовується застарілий або небезпечний протокол TLS. Щоб вирішити цю проблему, можна оновити протокол TLS до TLS 1.2 або вище. Якщо це неможливо, ви можете ввімкнути TLS, як описано в активації TLS версії 1.1 і нижче.

Вікно Internet Explorer під час доступу до посилання TLS 1.0 і 1.1

Рисунок 1. Вікно браузера під час доступу до веб-сторінки TLS 1.0 і 1.1

Поведінка під час доступу до посилань TLS 1.0 і 1.1 у програмах winhttp

Після оновлення програми на основі winhttp можуть не працювати. Повідомлення про помилку: "ERROR_WINHTTP_SECURE_FAILURE під час виконання операції WinHttpSendRequest".

Поведінка під час доступу до посилань TLS 1.0 і 1.1 в настроюваних програмах інтерфейсу користувача на основі winhttp або wininet

Коли програма намагається створити підключення за допомогою TLS 1.1 і нижче, може здатися, що підключення завершується помилкою. Коли ви закриваєте програму або вона припиняє працювати, діалогове вікно Помічник із сумісності програм (PCA) відображається, як показано на рисунку 2.

Спливаюче вікно помічника з сумісності програм після закриття програми

Рисунок 2. Діалогове вікно помічника з сумісності програм після закриття програми

У діалоговому вікні PCA зазначено: "Можливо, ця програма не запуститься належним чином". У цьому розділі є два варіанти:

  • Запуск програми за допомогою параметрів сумісності

  • Цю програму запущено належним чином

Запуск програми за допомогою параметрів сумісності

Якщо вибрати цей параметр, програма знову відкриється. Тепер усі посилання, які використовують TLS 1.0 і 1.1, працюють належним чином. Відтепер діалогове вікно PCA не відображатиметься. Редактор реєстру додає записи до таких шляхів:

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers. 

Якщо ви вибрали цей параметр помилково, ці записи можна видалити. Якщо видалити їх, під час наступного відкриття програми відкриється діалогове вікно PCA.

Список програм, які слід запустити за допомогою параметрів сумісності

Рисунок 3. Список програм, які мають запускатися з використанням параметрів сумісності

Цю програму запущено належним чином

Якщо вибрати цей параметр, програма закриється у звичайному режимі. Під час наступного повторного відкриття програми діалогове вікно PCA не з'явиться. Система блокує весь вміст TLS 1.0 і 1.1. Редактор реєстру додає наведений нижче запис до шляху Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store. Див. рисунок 4. Якщо ви вибрали цей параметр помилково, ви можете видалити цей запис. Якщо видалити запис, під час наступного відкриття програми відкриється діалогове вікно PCA.

Entry in registry editor specifying that the app ran correctly

Figure 4: Entry in Registry Editor stating that the app ran correctly

Важливо Застарілі протоколи TLS увімкнуто лише для певних програм. Це відбувається, навіть якщо їх вимкнуто в загальносистемних параметрах.

Увімкнення TLS версії 1.1 і нижче (настройки wininet та Internet Explorer)

Не радимо вмикати TLS 1.1 і нижче, оскільки вони більше не вважаються безпечними. Вони вразливі до різних атак, таких як атака POODLE. Тому, перш ніж увімкнути TLS 1.1, виконайте одну з таких дій:

  • Перевірте, чи доступна новіша версія програми.

  • Попросіть розробника програми внести зміни до конфігурації в програмі, щоб видалити залежність від TLS 1.1 і нижче.

Якщо жодне з рішень не працює, у системних параметрах передбачено два способи ввімкнення застарілих протоколів TLS:

  • Властивості браузера

  • Редактор групової політики

Властивості браузера

Щоб відкрити меню Властивості браузера, введіть Властивості браузера в полі пошуку на панелі завдань. Ви також можете натиснути кнопку Змінити настройки в діалоговому вікні, показаному на рисунку 1. На вкладці Додатково прокрутіть униз на панелі "Настройки". Тут можна ввімкнути або вимкнути протоколи TLS.

Вікно "Властивості браузера"

Рисунок 5. Діалогове вікно властивостей Інтернету

Редактор Групова політика

Щоб відкрити редактор Групова політика, введіть gpedit.msc у полі пошуку на панелі завдань. З'явиться вікно, схоже на вікно, показане на рисунку 6. 

Вікно редактора групової політики

Рисунок 6: вікно редактора Групова політика

  1. Перейдіть до розділу > політики локального комп'ютера(конфігурація комп'ютера або конфігурація користувача) > адміністративні храми > компонентами Windows > Internet Explorer > Internet Панель керування > Advanced Page > Вимкнути підтримку шифрування. Див. рисунок 7.

  2. Двічі клацніть елемент Вимкнути підтримку шифрування.

    Шлях до вимкнення підтримки шифрування в GPedit.msc

    Рисунок 7. Шлях до вимкнення підтримки шифрування в редакторі Групова політика

  3. Виберіть параметр Увімкнуто . Потім скористайтеся розкривним списком, щоб вибрати версію TLS, яку потрібно ввімкнути, як показано на рисунку 8.

    Вимкнення підтримки шифрування з розкривним списком із різними параметрами

    Рисунок 8. Увімкнення підтримки шифрування та розкривного списку

Після ввімкнення політики в редакторі Групова політика її не можна змінити в параметрах Браузера. Наприклад, якщо вибрати використовувати протоколи SSL3.0 і TLS 1.0, усі інші параметри будуть недоступні в розділі Властивості браузера. Див. рисунок 9. Якщо вимкнути підтримку шифрування в редакторі Групова політика, змінити будь-які параметри в параметрах Браузера не можна.

Властивості браузера з неактивними параметрами SSL і TLS

Рисунок 9. Властивості браузера з недоступними параметрами SSL і TLS

Увімкнення TLS версії 1.1 і нижче (настройки winhttp)

Див. статтю Оновлення для ввімкнення протоколів TLS 1.1 і TLS 1.2 як протоколів безпеки за замовчуванням у WinHTTP у Windows.

Важливі шляхи реєстру (настройки wininet та Internet Explorer)

  • Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

    • Тут ви можете знайти SecureProtocols, у якому зберігається значення протоколів, що підтримуються, якщо використовується редактор Групова політика.

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings

    • Тут ви можете знайти SecureProtocols, у якому зберігається значення протоколів, що підтримуються, якщо використовуються властивості "Властивості браузера".

  • Групова політика SecureProtocols матиме вищий пріоритет над набором параметрів Браузера.

Увімкнення незахищеного повернення TLS

Наведені вище зміни активуватимуть TLS 1.0 і TLS 1.1. Однак вони не активують резервне передавання TLS. Щоб увімкнути резервне передавання TLS, потрібно встановити значення 1 EnableInsecureTlsFallback у реєстрі в розділі шляхів нижче.

  • Змінення настройок: SOFTWARE\корпорація Майкрософт\Windows\CurrentVersion\Internet Settings\winhttp

  • Установлення політики: SOFTWARE\Policies\корпорація Майкрософт\Windows\CurrentVersion\Internet Settings

Якщо enableInsecureTlsFallback відсутній, потрібно створити новий запис DWORD і встановити для нього значення 1.

Важливі шляхи реєстру

  1. ForceDefaultSecureProtocols  

    • HKLM\SOFTWARE\корпорація Майкрософт\Windows\CurrentVersion\Internet Settings\winhttp 

    • За замовчуванням вона має значення FALSE. Якщо встановити ненульове значення, програми не налаштовуватимуть настроювані протоколи за допомогою параметра winhttp.

  2. EnableInsecureTlsFallback 

    • Змінення настройок: SOFTWARE\корпорація Майкрософт\Windows\CurrentVersion\Internet Settings\winhttp

    • Установлення політики: SOFTWARE\Policies\корпорація Майкрософт\Windows\CurrentVersion\Internet Settings

    • За замовчуванням вона має значення FALSE. Якщо встановити ненульове значення, програми повертатимуться до незахищених протоколів (TLS1.0 і 1.1), якщо не вдається виконати рукостискання за допомогою безпечних протоколів (tls1.2 і вище).

Потрібна додаткова довідка?

Потрібні додаткові параметри?

Ознайомтеся з перевагами передплати, перегляньте навчальні курси, дізнайтесь, як захистити свій пристрій тощо.

Спільноти допомагають ставити запитання й відповідати на них, надавати відгуки та дізнаватися думки висококваліфікованих експертів.