Зведення
Transport Layer Security (TLS) 1.0 і 1.1 – це протоколи безпеки для створення каналів шифрування через комп'ютерні мережі. корпорація Майкрософт підтримує їх із Windows XP та Windows Server 2003. Однак нормативні вимоги змінюються. Крім того, є нові слабкі місця безпеки в TLS 1.0. Тому корпорація Майкрософт рекомендує видалити залежності TLS 1.0 і 1.1. Радимо також вимкнути TLS 1.0 і 1.1 на рівні операційної системи, якщо це можливо. Докладні відомості див. в статті Вимкнення TLS 1.0 і 1.1. В оновленні попереднього перегляду від 20 вересня 2022 року ми вимкнемо TLS 1.0 і 1.1 за замовчуванням для програм на основі winhttp і wininet. Це частина постійних зусиль. Ця стаття допоможе вам повторно ввімкнути їх. Ці зміни відображатимуться після інсталяції оновлень Windows, випущених 20 вересня 2022 р. або пізніше.
Поведінка під час доступу до посилань TLS 1.0 і 1.1 у браузері
Після 20 вересня 2022 року, коли браузер відкриває веб-сайт, який використовує TLS 1.0 або 1.1, з'явиться повідомлення. Див. рисунок 1. У повідомленні зазначено, що на сайті використовується застарілий або небезпечний протокол TLS. Щоб вирішити цю проблему, можна оновити протокол TLS до TLS 1.2 або вище. Якщо це неможливо, ви можете ввімкнути TLS, як описано в активації TLS версії 1.1 і нижче.
Рисунок 1. Вікно браузера під час доступу до веб-сторінки TLS 1.0 і 1.1
Поведінка під час доступу до посилань TLS 1.0 і 1.1 у програмах winhttp
Після оновлення програми на основі winhttp можуть не працювати. Повідомлення про помилку: "ERROR_WINHTTP_SECURE_FAILURE під час виконання операції WinHttpSendRequest".
Поведінка під час доступу до посилань TLS 1.0 і 1.1 в настроюваних програмах інтерфейсу користувача на основі winhttp або wininet
Коли програма намагається створити підключення за допомогою TLS 1.1 і нижче, може здатися, що підключення завершується помилкою. Коли ви закриваєте програму або вона припиняє працювати, діалогове вікно Помічник із сумісності програм (PCA) відображається, як показано на рисунку 2.
Рисунок 2. Діалогове вікно помічника з сумісності програм після закриття програми
У діалоговому вікні PCA зазначено: "Можливо, ця програма не запуститься належним чином". У цьому розділі є два варіанти:
-
Запуск програми за допомогою параметрів сумісності
-
Цю програму запущено належним чином
Запуск програми за допомогою параметрів сумісності
Якщо вибрати цей параметр, програма знову відкриється. Тепер усі посилання, які використовують TLS 1.0 і 1.1, працюють належним чином. Відтепер діалогове вікно PCA не відображатиметься. Редактор реєстру додає записи до таких шляхів:
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store.
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers.
Якщо ви вибрали цей параметр помилково, ці записи можна видалити. Якщо видалити їх, під час наступного відкриття програми відкриється діалогове вікно PCA.
Рисунок 3. Список програм, які мають запускатися з використанням параметрів сумісності
Цю програму запущено належним чином
Якщо вибрати цей параметр, програма закриється у звичайному режимі. Під час наступного повторного відкриття програми діалогове вікно PCA не з'явиться. Система блокує весь вміст TLS 1.0 і 1.1. Редактор реєстру додає наведений нижче запис до шляху Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store. Див. рисунок 4. Якщо ви вибрали цей параметр помилково, ви можете видалити цей запис. Якщо видалити запис, під час наступного відкриття програми відкриється діалогове вікно PCA.
Figure 4: Entry in Registry Editor stating that the app ran correctly
Важливо Застарілі протоколи TLS увімкнуто лише для певних програм. Це відбувається, навіть якщо їх вимкнуто в загальносистемних параметрах.
Увімкнення TLS версії 1.1 і нижче (настройки wininet та Internet Explorer)
Не радимо вмикати TLS 1.1 і нижче, оскільки вони більше не вважаються безпечними. Вони вразливі до різних атак, таких як атака POODLE. Тому, перш ніж увімкнути TLS 1.1, виконайте одну з таких дій:
-
Перевірте, чи доступна новіша версія програми.
-
Попросіть розробника програми внести зміни до конфігурації в програмі, щоб видалити залежність від TLS 1.1 і нижче.
Якщо жодне з рішень не працює, у системних параметрах передбачено два способи ввімкнення застарілих протоколів TLS:
-
Властивості браузера
-
Редактор групової політики
Властивості браузера
Щоб відкрити меню Властивості браузера, введіть Властивості браузера в полі пошуку на панелі завдань. Ви також можете натиснути кнопку Змінити настройки в діалоговому вікні, показаному на рисунку 1. На вкладці Додатково прокрутіть униз на панелі "Настройки". Тут можна ввімкнути або вимкнути протоколи TLS.
Рисунок 5. Діалогове вікно властивостей Інтернету
Редактор Групова політика
Щоб відкрити редактор Групова політика, введіть gpedit.msc у полі пошуку на панелі завдань. З'явиться вікно, схоже на вікно, показане на рисунку 6.
Рисунок 6: вікно редактора Групова політика
-
Перейдіть до розділу > політики локального комп'ютера(конфігурація комп'ютера або конфігурація користувача) > адміністративні храми > компонентами Windows > Internet Explorer > Internet Панель керування > Advanced Page > Вимкнути підтримку шифрування. Див. рисунок 7.
-
Двічі клацніть елемент Вимкнути підтримку шифрування.
Рисунок 7. Шлях до вимкнення підтримки шифрування в редакторі Групова політика
-
Виберіть параметр Увімкнуто . Потім скористайтеся розкривним списком, щоб вибрати версію TLS, яку потрібно ввімкнути, як показано на рисунку 8.
Рисунок 8. Увімкнення підтримки шифрування та розкривного списку
Після ввімкнення політики в редакторі Групова політика її не можна змінити в параметрах Браузера. Наприклад, якщо вибрати використовувати протоколи SSL3.0 і TLS 1.0, усі інші параметри будуть недоступні в розділі Властивості браузера. Див. рисунок 9. Якщо вимкнути підтримку шифрування в редакторі Групова політика, змінити будь-які параметри в параметрах Браузера не можна.
Рисунок 9. Властивості браузера з недоступними параметрами SSL і TLS
Увімкнення TLS версії 1.1 і нижче (настройки winhttp)
Важливі шляхи реєстру (настройки wininet та Internet Explorer)
-
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
-
Тут ви можете знайти SecureProtocols, у якому зберігається значення протоколів, що підтримуються, якщо використовується редактор Групова політика.
-
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
-
Тут ви можете знайти SecureProtocols, у якому зберігається значення протоколів, що підтримуються, якщо використовуються властивості "Властивості браузера".
-
-
Групова політика SecureProtocols матиме вищий пріоритет над набором параметрів Браузера.
Увімкнення незахищеного повернення TLS
Наведені вище зміни активуватимуть TLS 1.0 і TLS 1.1. Однак вони не активують резервне передавання TLS. Щоб увімкнути резервне передавання TLS, потрібно встановити значення 1 EnableInsecureTlsFallback у реєстрі в розділі шляхів нижче.
-
Змінення настройок: SOFTWARE\корпорація Майкрософт\Windows\CurrentVersion\Internet Settings\winhttp
-
Установлення політики: SOFTWARE\Policies\корпорація Майкрософт\Windows\CurrentVersion\Internet Settings
Якщо enableInsecureTlsFallback відсутній, потрібно створити новий запис DWORD і встановити для нього значення 1.
Важливі шляхи реєстру
-
ForceDefaultSecureProtocols
-
HKLM\SOFTWARE\корпорація Майкрософт\Windows\CurrentVersion\Internet Settings\winhttp
-
За замовчуванням вона має значення FALSE. Якщо встановити ненульове значення, програми не налаштовуватимуть настроювані протоколи за допомогою параметра winhttp.
-
-
EnableInsecureTlsFallback
-
Змінення настройок: SOFTWARE\корпорація Майкрософт\Windows\CurrentVersion\Internet Settings\winhttp
-
Установлення політики: SOFTWARE\Policies\корпорація Майкрософт\Windows\CurrentVersion\Internet Settings
-
За замовчуванням вона має значення FALSE. Якщо встановити ненульове значення, програми повертатимуться до незахищених протоколів (TLS1.0 і 1.1), якщо не вдається виконати рукостискання за допомогою безпечних протоколів (tls1.2 і вище).
-