Klient a server podporují různé verze protokolu SSL nebo šifrovací sady. Chyba v aplikaci Internet Explorer. Ujistěte se, že jsou povoleny SSL a TLS O této aktualizaci

Protokol TLS šifruje všechny druhy internetového provozu, čímž zajišťuje komunikaci a prodej na internetu. Povíme si, jak protokol funguje a co nás čeká v budoucnu.

Z článku se dozvíte:

Co je SSL

SSL neboli Secure Sockets Layer byl původní název pro protokol vyvinutý společností Netscape v polovině 90. let. SSL 1.0 nebyl nikdy veřejně dostupný a verze 2.0 měla vážné nedostatky. Protokol SSL 3.0, vydaný v roce 1996, byl kompletně přepracován a udal tón pro další fázi vývoje.

Co je TLS

Když byla v roce 1999 vydána další verze protokolu, byla standardizována specializovanou Internet Design Working Group a dostala nový název: Transport Layer Security neboli TLS. Jak uvádí dokumentace TLS, "rozdíl mezi tímto protokolem a SSL 3.0 není kritický." TLS a SSL tvoří neustále aktualizovanou řadu protokolů a často se spojují pod názvem SSL/TLS.

Protokol TLS šifruje internetový provoz jakéhokoli druhu. Nejběžnějším typem je webový provoz. Poznáte, kdy váš prohlížeč naváže připojení TLS – pokud odkaz v adresním řádku začíná „https“.

TLS využívají také další aplikace, jako jsou poštovní a telekonferenční systémy.

Jak funguje TLS

Šifrování je nezbytné pro bezpečnou komunikaci na internetu. Pokud vaše data nejsou zašifrována, kdokoli je může analyzovat a číst citlivé informace.

Nejbezpečnější metoda šifrování je asymetrické šifrování. To vyžaduje 2 klíče, 1 veřejný a 1 soukromý. Jedná se o soubory s informacemi, nejčastěji velmi velkými čísly. Mechanismus je složitý, ale zjednodušeně řečeno, můžete použít veřejný klíč k šifrování dat, ale k dešifrování potřebujete soukromý klíč. Tyto dva klíče jsou propojeny pomocí složitého matematického vzorce, který je těžké prolomit.

Veřejný klíč si můžete představit jako informaci o umístění zavřené poštovní schránky s dírou a soukromý klíč jako klíč, který schránku otevírá. Kdo ví, kde ta krabice je, může tam dát dopis. K jejímu přečtení ale člověk potřebuje klíč k otevření krabice.

Vzhledem k tomu, že asymetrické šifrování používá složité matematické výpočty, vyžaduje mnoho výpočetních zdrojů. TLS řeší tento problém pomocí asymetrického šifrování pouze na začátku relace k šifrování komunikace mezi serverem a klientem. Server a klient se musí dohodnout na jediném klíči relace, který oba používají k šifrování datových paketů.

Zavolá se proces, při kterém se klient a server dohodnou na klíči relace podání ruky. To je okamžik, kdy se navzájem představí 2 komunikující počítače.

Proces handshake TLS

Proces TLS handshake je poměrně složitý. Níže uvedené kroky ukazují proces obecně, abyste pochopili, jak obecně funguje.

Klient kontaktuje server a požaduje zabezpečené připojení. Server odpoví seznamem šifer - algoritmickou sadou pro vytváření šifrovaných spojení - který ví, jak používat. Klient porovná seznam se svým seznamem podporovaných šifer, vybere vhodnou a dá serveru vědět, kterou z nich společně použije.
Server poskytuje svůj digitální certifikát – elektronický dokument podepsaný třetí stranou, který potvrzuje pravost serveru. Nejdůležitější informací v certifikátu je veřejný klíč k šifře. Klient ověří certifikát.
Pomocí veřejného klíče serveru klient a server vytvoří klíč relace, který budou oba používat během relace k šifrování komunikace. Na to existuje několik metod. Klient může použít veřejný klíč k zašifrování libovolného čísla, které je poté odesláno na server k dešifrování a obě strany pak toto číslo použijí k vytvoření klíče relace.

Klíč relace je platný pouze pro jednu nepřetržitou relaci. Pokud je z nějakého důvodu komunikace mezi klientem a serverem přerušena, bude k vytvoření nového klíče relace potřeba nový handshake.

Chyby zabezpečení v protokolech TLS 1.2 a TLS 1.2

TLS 1.2 je nejrozšířenější verze protokolu. Tato verze nainstalovala původní platformu možností šifrování relace. Nicméně, stejně jako některé předchozí verze protokolu, tento protokol umožňoval použití starších šifrovacích technik za účelem podpory starších počítačů. Bohužel to vedlo k chybám zabezpečení verze 1.2, protože tyto starší šifrovací mechanismy se staly zranitelnějšími.

Například protokol TLS 1.2 se stal zvláště zranitelným vůči útokům zfalšování, kdy hacker zachycuje datové pakety uprostřed relace a odesílá je po jejich přečtení nebo úpravě. Mnoho z těchto problémů se objevilo během posledních 2 let, takže je naléhavé vytvořit aktualizovanou verzi protokolu.

TLS 1.3

Verze 1.3 protokolu TLS, která bude brzy dokončena, řeší mnoho problémů se zranitelnostmi tím, že zavrhuje podporu starších šifrovacích systémů.
Nová verze je kompatibilní s předchozími verzemi: připojení se například vrátí k TLS verze 1.2, pokud jedna ze stran nemůže použít novější šifrovací systém v seznamu povolených algoritmů protokolu verze 1.3. Pokud se však při útoku typu manipulace s připojením hacker násilně pokusí vrátit verzi protokolu na 1.2 uprostřed relace, bude tato akce zaznamenána a připojení bude ukončeno.

Jak povolit podporu TLS 1.3 v prohlížečích Google Chrome a Firefox

Firefox a Chrome podporují TLS 1.3, ale tato verze není ve výchozím nastavení povolena. Důvodem je, že zatím existuje pouze ve formě návrhu.

Mozilla Firefox

Do adresního řádku prohlížeče zadejte about:config. Potvrďte, že rozumíte rizikům.

Otevře se editor nastavení Firefoxu.
Do vyhledávání zadejte security.tls.version.max
Změňte hodnotu na 4 dvojitým kliknutím na aktuální hodnotu.

Google Chrome

Zadáním chrome://flags/ do adresního řádku prohlížeče otevřete panel experimentů.
Najděte možnost #tls13-varianta
Klikněte na nabídku a nastavte Povoleno (Koncept).
Restartujte prohlížeč.

Jak zkontrolovat, zda váš prohlížeč používá verzi 1.2

Připomínáme, že verze 1.3 ještě není veřejně používána. Jestli nechceš
použijte verzi konceptu, můžete zůstat na verzi 1.2.

Chcete-li zkontrolovat, zda váš prohlížeč používá verzi 1.2, postupujte stejně jako ve výše uvedených pokynech a ujistěte se, že:

Pro Firefox je hodnota security.tls.version.max 3. Pokud je nižší, změňte ji na 3 dvojitým kliknutím na aktuální hodnotu.
Pro Google Chrome: klikněte na nabídku prohlížeče - vyberte Nastavení- vybrat Zobrazit pokročilá nastavení- přejděte dolů do sekce Systém a klikněte na Otevřít nastavení proxy…:

V okně, které se otevře, klikněte na kartu Zabezpečení a zkontrolujte, zda je zaškrtnuto pole Použít TLS 1.2. Pokud to za to nestojí, nastavte to a klikněte na OK:

Změny se projeví po restartování počítače.

Rychlý nástroj pro kontrolu verze protokolu SSL/TLS vašeho prohlížeče

Přejděte na Kontrola verze protokolu SSL Labs Online. Na stránce se v reálném čase zobrazí, která verze protokolu se používá a zda je prohlížeč zranitelný vůči nějakým zranitelnostem.

Prameny: překlad

TLS je nástupcem protokolu SSL, který poskytuje spolehlivé a bezpečné spojení mezi uzly na internetu. Používá se při vývoji různých klientů, včetně prohlížečů a aplikací klient-server. Co je TLS v Internet Exploreru?

Trochu o technologii

Všechny podniky a organizace, které se zabývají finančními transakcemi, používají tento protokol k vyloučení odposlechu paketů a neoprávněného přístupu narušitelů. Tato technologie je navržena tak, aby chránila důležitá spojení před škodlivými útoky.

V podstatě ve své organizaci používají vestavěný prohlížeč. V některých případech Mozilla Firefox.

Povolit nebo zakázat protokol

Některé stránky někdy nejsou přístupné kvůli skutečnosti, že je zakázána podpora technologií SSL a TLS. V prohlížeči vyskočí upozornění. Jak tedy umožníte protokolům, aby nadále využívaly zabezpečenou komunikaci?
1. Otevřete Ovládací panely přes Start. Jiný způsob: otevřete Průzkumníka a klikněte na ikonu ozubeného kola v pravém horním rohu.

2. Přejděte do části „Možnosti Internetu“ a otevřete blok „Upřesnit“.

3. Zaškrtněte políčka vedle „Použít TLS 1.1 a TLS 1.2“.

4. Klepnutím na tlačítko OK uložte změny. Pokud chcete protokoly deaktivovat, což se důrazně nedoporučuje, zejména pokud používáte internetové bankovnictví, zrušte zaškrtnutí stejných položek.

Jaký je rozdíl mezi 1.0 a 1.1 a 1.2? 1.1 je jen mírně vylepšená verze TLS 1.0, která částečně zdědila jeho nedostatky. 1.2 je nejbezpečnější verze protokolu. Na druhou stranu ne všechny weby lze otevřít s touto povolenou verzí protokolu.

Jak víte, Skype messenger přímo souvisí s Internet Explorerem jako komponentou Windows. Pokud nemáte v nastavení zaškrtnutý protokol TLS, pak mohou být problémy se Skypem. Program se jednoduše nebude moci připojit k serveru.

Pokud je v nastavení aplikace Internet Explorer zakázána podpora TLS, nebudou všechny funkce programu související se sítí fungovat. Na této technologii navíc závisí bezpečnost vašich dat. Nezanedbávejte jej, pokud v tomto prohlížeči provádíte finanční transakce (nakupování v internetových obchodech, převody peněz prostřednictvím internetového bankovnictví nebo elektronické peněženky atd.).

Pokud máte problém, kdy selže přístup na konkrétní web a ve vašem prohlížeči se zobrazí zpráva, existuje rozumné vysvětlení. Příčiny a řešení problému jsou uvedeny v tomto článku.

SSL TLS

SSL protokol TLS

Uživatelé rozpočtových organizací, a to nejen rozpočtových, jejichž činnost přímo souvisí s financemi, ve spolupráci s finančními organizacemi, např. Ministerstvem financí, státní pokladnou apod., provádějí veškeré své operace výhradně pomocí zabezpečeného protokolu SSL. . V podstatě při své práci používají prohlížeč Internet Explorer. V některých případech Mozilla Firefox.

Chyba SSL

Hlavní pozornost při provádění těchto operací a práce obecně je věnována systému ochrany: certifikáty, elektronické podpisy. Pro práci se používá software CryptoPro aktuální verze. Vztahující se k problémy s protokoly SSL a TLS, pokud Chyba SSL se objevil, s největší pravděpodobností neexistuje podpora pro tento protokol.

Chyba TLS

Chyba TLS v mnoha případech to může také znamenat nedostatek podpory pro protokol. Ale... pojďme se podívat, co se v tomto případě dá dělat.

Podpora protokolů SSL a TLS

Když tedy používáte Microsoft Internet Explorer k návštěvě webu přes SSL, zobrazí se záhlaví Ujistěte se, že jsou povoleny ssl a tls. Nejprve je potřeba povolit podporu protokolu TLS 1.0 v Internet Exploreru.

Pokud navštěvujete web, na kterém je spuštěna Internetová informační služba 4.0 nebo novější, konfigurace aplikace Internet Explorer na podporu TLS 1.0 pomůže zabezpečit vaše připojení. Samozřejmě za předpokladu, že vzdálený webový server, který se pokoušíte použít, tento protokol podporuje.

K tomu menu Servis vybrat tým možnosti internetu.

Na kartě dodatečně V kapitole Bezpečnost, ujistěte se, že jsou zaškrtnuta následující políčka:

Použijte SSL 2.0
Použijte SSL 3.0
Použijte TLS 1.0

Klepněte na tlačítko Aplikovat , a pak OK . Restartujte prohlížeč .

Po povolení TLS 1.0 zkuste web navštívit znovu.

Zásady zabezpečení systému

Pokud ještě existují chyby s SSL a TLS pokud stále nemůžete používat SSL, vzdálený webový server pravděpodobně nepodporuje TLS 1.0. V tomto případě musíte zakázat systémové zásady, které vyžadují algoritmy vyhovující FIPS.

Chcete-li to provést, v Ovládací panely vybrat Správa a potom dvakrát klikněte Místní bezpečnostní politika.

V místním nastavení zabezpečení rozbalte uzel Místní zásady a potom klepněte na tlačítko Možnosti zabezpečení.

Podle zásad na pravé straně okna dvakrát klikněte Systémová kryptografie: Použijte algoritmy vyhovující FIPS pro šifrování, hashování a podepisování a potom klepněte na tlačítko Zakázáno.

Pozornost! Změna se projeví po opětovném použití místní bezpečnostní politiky. To znamená zapnout a restartujte prohlížeč .

CryptoPro TLS SSL

Aktualizujte CryptoPro

Konfigurace SSL TLS

Konfigurace sítě

Další možnost by mohla být zakázat NetBIOS přes TCP/IP- nachází se ve vlastnostech přípojky.

Registrace DLL

Spusťte příkazový řádek jako správce a zadejte příkaz regsvr32 cpcng. Pro 64bitový OS musíte použít regsvr32, který je v syswow64.

SSL protokol TLS

Chyba SSL

Chyba TLS

Chyba TLS v mnoha případech to může také znamenat nedostatek podpory pro protokol. Ale... pojďme se podívat, co se v tomto případě dá dělat.

Podpora protokolů SSL a TLS

K tomu menu Servis vybrat tým možnosti internetu.

Na kartě dodatečně V kapitole Bezpečnost, ujistěte se, že jsou zaškrtnuta následující políčka:

Použijte SSL 2.0
Použijte SSL 3.0
Použijte SSL 1.0

Klepněte na tlačítko Aplikovat , a pak OK . Restartujte prohlížeč .

Po povolení TLS 1.0 zkuste web navštívit znovu.

Zásady zabezpečení systému

Chcete-li to provést, v Ovládací panely vybrat Správa a potom dvakrát klikněte Místní bezpečnostní politika.

V místním nastavení zabezpečení rozbalte uzel Místní zásady a potom klepněte na tlačítko Možnosti zabezpečení.

Pozornost!

Změna se projeví po opětovném použití místní bezpečnostní politiky. Zapněte jej, restartujte prohlížeč.

CryptoPro TLS SSL

Aktualizujte CryptoPro

Jednou z možností řešení problému je aktualizace CryptoPro a také nastavení zdroje. V tomto případě se jedná o práci s elektronickými platbami. Přejděte na certifikační autoritu. Pro zdroj vyberte E-Marketplaces.

Po spuštění automatického nastavení pracoviště bude pouze počkejte na dokončení postupu, pak restartovat prohlížeč. Pokud potřebujete zadat nebo vybrat adresu zdroje, vyberte tu, kterou potřebujete. Po dokončení nastavení může být také nutné restartovat počítač.

Při přechodu na jakýkoli portál státu nebo služeb (například „EIS“) může uživatel náhle narazit na chybu „Nelze se bezpečně připojit k této stránce. Web možná používá zastaralá nebo slabá nastavení zabezpečení TLS." Tento problém je poměrně běžný a byl již několik let opraven v různých kategoriích uživatelů. Podívejme se na podstatu této chyby a možnosti jejího řešení.

Jak víte, bezpečnost připojení uživatelů k síťovým zdrojům je zajištěna pomocí SSL / TSL - kryptografických protokolů odpovědných za bezpečný přenos dat na internetu. Používají symetrické a asymetrické šifrování, ověřovací kódy zpráv a další speciální funkce, aby vaše připojení zůstalo soukromé tím, že zabrání třetím stranám v dešifrování vaší relace.

Pokud při připojování k webu prohlížeč zjistí, že zdroj používá nesprávné parametry protokolu zabezpečení SSL / TSL, pak uživatel obdrží výše uvedenou zprávu a přístup k webu může být zablokován.

Poměrně často se situace s protokolem TLS vyskytuje na prohlížeči IE, oblíbeném nástroji pro práci se speciálními vládními portály spojenými s různými formuláři hlášení. Práce s takovými portály vyžaduje povinnou přítomnost prohlížeče Internet Explorer a právě v něm se daný problém vyskytuje nejčastěji.

Příčiny chyby „Web může používat zastaralá nebo nedůvěryhodná nastavení zabezpečení pro protokol TLS“ mohou být následující:

Jak opravit dysfunkci: Používají se nedůvěryhodná nastavení zabezpečení TLS

Řešení vzniklého problému může být v metodách popsaných níže. Před jejich popisem ale doporučuji jednoduše restartovat PC – přes veškerou trivialitu se tato metoda často ukazuje jako docela účinná.

Pokud to nepomůže, proveďte následující:

Dočasně vypněte antivirus. V poměrně dost případech antivirus zablokoval přístup na nespolehlivé (podle jeho odhadů) stránky. Dočasně deaktivujte antivirový program nebo deaktivujte kontrolu certifikátů v nastavení antiviru (například „Nekontrolovat zabezpečená připojení“ v aplikaci Kaspersky Anti-Virus);
Nainstalujte si do počítače nejnovější verzi programu CryptoPro (v případě předchozí práce s tímto programem). Zastaralá verze produktu může způsobit chybu, že ke stránce neexistuje zabezpečené připojení;
Změňte nastavení IE. Přejděte na „Možnosti Internetu“, vyberte kartu „Zabezpečení“ a poté klikněte na „Důvěryhodné stránky“ (adresa vašeho portálu by zde již měla být zadána, pokud ne, zadejte ji). V dolní části zrušte zaškrtnutí možnosti „povolit chráněný režim“.

Poté klikněte na tlačítko „Weby“ výše a zrušte zaškrtnutí možnosti „Pro všechny weby v této zóně...“. Klikněte na "OK" a zkuste přejít na problémový web.
Smažte soubory cookie prohlížeče IE. Spusťte prohlížeč a stisknutím tlačítka Alt zobrazte nabídku. Vyberte záložku "Nástroje" - "Smazat historii prohlížení", zaškrtněte políčko (pokud není k dispozici) u možnosti "Cookies ...", poté klikněte na "Smazat";
Zakázat používání programů VPN (pokud existují);
Zkuste k navigaci k problematickému zdroji použít jiný prohlížeč (v případě, že nemusíte používat žádný konkrétní prohlížeč);
Zkontrolujte, zda váš počítač neobsahuje viry (pomůže například osvědčený „Doctor Web Curate“);
Zakažte v systému BIOS možnost „Secure Boot“. Přes jistou nestandardnost této rady pomohla nejednomu uživateli zbavit se chyby „zastaralé nebo nespolehlivé parametry TLS“.
V systému BIOS deaktivujte možnost „Secure Boot“.

Závěr

Důvodem chyby „Stránka může používat zastaralá nebo nespolehlivá nastavení zabezpečení pro protokol TLS“ je poměrně často místní antivirus počítače, který z nějakého důvodu blokuje přístup k požadovanému internetovému portálu. Pokud nastane problémová situace, doporučuje se nejprve deaktivovat antivirus, abyste se ujistili, že nezpůsobuje daný problém. Pokud se chyba stále opakuje, pak vám doporučuji přejít k implementaci dalších tipů popsaných níže, abyste vyřešili problém nespolehlivého nastavení zabezpečení protokolu TSL na vašem PC.

V kontaktu s