Klients un serveris atbalsta dažādas SSL protokola vai šifru komplekta versijas. Kļūda pārlūkprogrammā Internet Explorer. Pārliecinieties, vai ir iespējoti SSL un TLS Par šo atjauninājumu

TLS protokols šifrē visa veida interneta trafiku, tādējādi padarot saziņu un pārdošanu internetā drošu. Mēs runāsim par to, kā protokols darbojas un kas mūs sagaida nākotnē.

No raksta jūs uzzināsit:

Kas ir SSL

SSL jeb Secure Sockets Layer bija sākotnējais nosaukums protokolam, ko 90. gadu vidū izstrādāja Netscape. SSL 1.0 nekad nebija publiski pieejams, un versijai 2.0 bija nopietni trūkumi. 1996. gadā izdotais SSL 3.0 protokols tika pilnībā pārveidots un noteica toni nākamajam attīstības posmam.

Kas ir TLS

Kad 1999. gadā tika izlaista nākamā protokola versija, to standartizēja īpaša interneta dizaina darba grupa, un tam tika piešķirts jauns nosaukums: Transport Layer Security jeb TLS. Kā teikts TLS dokumentācijā, "atšķirība starp šo protokolu un SSL 3.0 nav būtiska." TLS un SSL veido pastāvīgi atjauninātu protokolu sēriju, un tie bieži tiek apvienoti ar nosaukumu SSL/TLS.

TLS protokols šifrē jebkura veida interneta trafiku. Visizplatītākais veids ir tīmekļa trafika. Jūs zināt, kad jūsu pārlūkprogramma izveido TLS savienojumu — ja adrese adreses joslā sākas ar “https”.

TLS izmanto arī citas lietojumprogrammas, piemēram, pasta un telekonferenču sistēmas.

Kā darbojas TLS

Šifrēšana ir nepieciešama, lai droši sazinātos internetā. Ja jūsu dati nav šifrēti, ikviens var tos analizēt un lasīt sensitīvu informāciju.

Visdrošākā šifrēšanas metode ir asimetriskā šifrēšana. Tam nepieciešamas 2 atslēgas, 1 publiskā un 1 privātā. Tie ir faili ar informāciju, visbiežāk ļoti lieliem skaitļiem. Mehānisms ir sarežģīts, taču, vienkārši sakot, datu šifrēšanai var izmantot publisko atslēgu, taču, lai tos atšifrētu, ir nepieciešama privātā atslēga. Abas atslēgas ir savienotas, izmantojot sarežģītu matemātisko formulu, kuru ir grūti uzlauzt.

Publisko atslēgu var uzskatīt par informāciju par aizvērtas pastkastes ar caurumu atrašanās vietu, bet privāto atslēgu kā atslēgu, kas atver kastīti. Ikviens, kurš zina, kur atrodas kaste, var ievietot vēstuli. Bet, lai to izlasītu, cilvēkam ir nepieciešama atslēga kastes atvēršanai.

Tā kā asimetriskā šifrēšana izmanto sarežģītus matemātiskos aprēķinus, tas prasa daudz skaitļošanas resursu. TLS atrisina šo problēmu, izmantojot asimetrisko šifrēšanu tikai sesijas sākumā, lai šifrētu saziņu starp serveri un klientu. Serverim un klientam ir jāvienojas par vienu sesijas atslēgu, ko viņi abi izmanto datu pakešu šifrēšanai.

Tiek izsaukts process, kurā klients un serveris vienojas par sesijas atslēgu rokasspiediens. Šis ir brīdis, kad 2 komunicējoši datori iepazīstas viens ar otru.

TLS rokasspiediena process

TLS rokasspiediena process ir diezgan sarežģīts. Tālāk norādītās darbības parāda procesu kopumā, lai jūs saprastu, kā tas darbojas kopumā.

Klients sazinās ar serveri un pieprasa drošu savienojumu. Serveris atbild ar šifru sarakstu — algoritmisku komplektu šifrētu savienojumu veidošanai —, ko tas zina, kā izmantot. Klients salīdzina sarakstu ar tā atbalstīto šifru sarakstu, atlasa atbilstošo un ļauj serverim zināt, kuru no tiem izmantos kopā.
Serveris nodrošina savu digitālo sertifikātu – trešās puses parakstītu elektronisku dokumentu, kas apliecina servera autentiskumu. Vissvarīgākā informācija sertifikātā ir šifra publiskā atslēga. Klients autentificē sertifikātu.
Izmantojot servera publisko atslēgu, klients un serveris izveido sesijas atslēgu, ko abi izmantos visas sesijas laikā, lai šifrētu saziņu. Tam ir vairākas metodes. Klients var izmantot publisko atslēgu, lai šifrētu patvaļīgu numuru, kas pēc tam tiek nosūtīts serverim atšifrēšanai, un abas puses izmanto šo numuru, lai izveidotu sesijas atslēgu.

Sesijas atslēga ir derīga tikai vienai nepārtrauktai sesijai. Ja kāda iemesla dēļ komunikācija starp klientu un serveri tiek pārtraukta, būs nepieciešams jauns rokasspiediens, lai izveidotu jaunu sesijas atslēgu.

TLS 1.2 un TLS 1.2 protokolu ievainojamības

TLS 1.2 ir visplašāk izmantotā protokola versija. Šajā versijā tika instalēta sākotnējā sesijas šifrēšanas opciju platforma. Tomēr, tāpat kā dažas iepriekšējās protokola versijas, šis protokols ļāva izmantot vecākas šifrēšanas metodes, lai atbalstītu vecākus datorus. Diemžēl tas izraisīja 1.2. versijas ievainojamību, jo šie vecākie šifrēšanas mehānismi kļuva neaizsargātāki.

Piemēram, TLS 1.2 protokols ir kļuvis īpaši neaizsargāts pret manipulāciju uzbrukumiem, kad hakeris sesijas vidū pārtver datu paketes un nosūta tās pēc to nolasīšanas vai modificēšanas. Daudzas no šīm problēmām ir parādījušās pēdējo 2 gadu laikā, tāpēc ir kļuvis steidzami jāizveido atjaunināta protokola versija.

TLS 1.3

TLS protokola versija 1.3, kas drīzumā tiks pabeigta, atrisina daudzas ar ievainojamību saistītas problēmas, pārtraucot atbalstu mantotajām šifrēšanas sistēmām.
Jaunajai versijai ir saderība ar iepriekšējām versijām: piemēram, savienojums atgriezīsies uz TLS versiju 1.2, ja viena no pusēm nevarēs izmantot jaunāku šifrēšanas sistēmu atļauto protokola versijas 1.3 algoritmu sarakstā. Tomēr savienojuma manipulācijas veida uzbrukumā, ja hakeris sesijas vidū piespiedu kārtā mēģina atjaunot protokola versiju uz 1.2, šī darbība tiks pamanīta un savienojums tiks pārtraukts.

Kā iespējot TLS 1.3 atbalstu pārlūkprogrammās Google Chrome un Firefox

Firefox un Chrome atbalsta TLS 1.3, taču šī versija nav iespējota pēc noklusējuma. Iemesls ir tāds, ka tas līdz šim pastāv tikai melnraksta formā.

Mozilla Firefox

Pārlūkprogrammas adreses joslā ierakstiet about:config. Apstipriniet, ka saprotat riskus.

Tiks atvērts Firefox iestatījumu redaktors.
Meklēšanā ievadiet security.tls.version.max
Mainiet vērtību uz 4, veicot dubultklikšķi uz pašreizējās vērtības.

Google Chrome

Lai atvērtu eksperimentu paneli, pārlūkprogrammas adreses joslā ierakstiet chrome://flags/.
Atrodiet opciju #tls13 variants
Noklikšķiniet uz izvēlnes un iestatiet Iespējots (Melnraksts).
Restartējiet pārlūkprogrammu.

Kā pārbaudīt, vai jūsu pārlūkprogramma izmanto versiju 1.2

Atgādinām, ka versija 1.3 vēl nav publiski pieejama. Ja jūs nevēlaties
izmantojiet melnraksta versiju, varat palikt pie versijas 1.2.

Lai pārbaudītu, vai jūsu pārlūkprogrammā tiek izmantota versija 1.2, veiciet tās pašas darbības, kas norādītas iepriekš sniegtajos norādījumos, un pārliecinieties, ka:

Firefox faila security.tls.version.max vērtība ir 3. Ja tā ir mazāka, mainiet to uz 3, veicot dubultklikšķi uz pašreizējās vērtības.
Google Chrome: noklikšķiniet uz pārlūkprogrammas izvēlnes - atlasiet Iestatījumi- atlasiet Rādīt papildu iestatījumus- dodieties uz sadaļu Sistēma un noklikšķiniet uz Atvērt starpniekservera iestatījumus…:

Atvērtajā logā noklikšķiniet uz cilnes Drošība un pārbaudiet, vai ir atzīmēts lauks Lietot TLS 1.2. Ja tas nav tā vērts, iestatiet to un noklikšķiniet uz Labi:

Izmaiņas stāsies spēkā pēc datora restartēšanas.

Ātrs rīks pārlūkprogrammas SSL/TLS protokola versijas pārbaudei

Dodieties uz SSL Labs Online Protocol Version Checker. Lapa reāllaikā parādīs, kura protokola versija tiek izmantota un vai pārlūkprogramma ir neaizsargāta pret kādu ievainojamību.

Avoti: tulkojums

TLS ir pēctecis SSL — protokolam, kas nodrošina uzticamu un drošu savienojumu starp mezgliem internetā. To izmanto dažādu klientu izstrādē, tostarp pārlūkprogrammās un klienta-servera lietojumprogrammās. Kas ir TLS pārlūkprogrammā Internet Explorer?

Mazliet par tehnoloģijām

Visi uzņēmumi un organizācijas, kas nodarbojas ar finanšu darījumiem, izmanto šo protokolu, lai izslēgtu pakešu noklausīšanos un iebrucēju nesankcionētu piekļuvi. Šī tehnoloģija ir izstrādāta, lai aizsargātu svarīgus savienojumus no ļaunprātīgiem uzbrukumiem.

Būtībā viņi savā organizācijā izmanto iebūvēto pārlūkprogrammu. Dažos gadījumos Mozilla Firefox.

Iespējot vai atspējot protokolu

Dažām vietnēm dažkārt nevar piekļūt, jo ir atspējots SSL un TLS tehnoloģiju atbalsts. Pārlūkprogrammā tiek parādīts paziņojums. Tātad, kā iespējot protokolus, lai turpinātu izmantot drošus sakarus?
1. Atveriet vadības paneli, izmantojot Start. Vēl viens veids: atveriet Explorer un noklikšķiniet uz zobrata ikonas augšējā labajā stūrī.

2.Atveriet sadaļu "Interneta opcijas" un atveriet bloku "Papildu".

3. Atzīmējiet izvēles rūtiņas blakus “Izmantot TLS 1.1 un TLS 1.2”.

4. Noklikšķiniet uz Labi, lai saglabātu izmaiņas. Ja vēlaties atspējot protokolus, kas nav ieteicams, īpaši, ja izmantojat internetbanku, noņemiet atzīmi no tiem pašiem vienumiem.

Kāda ir atšķirība starp 1.0 un 1.1 un 1.2? 1.1 ir tikai nedaudz uzlabota TLS 1.0 versija, kas daļēji pārņēma savus trūkumus. 1.2 ir visdrošākā protokola versija. No otras puses, ne visas vietnes var atvērt, ja ir iespējota šī protokola versija.

Kā zināms, Skype Messenger ir tieši saistīts ar Internet Explorer kā Windows komponentu. Ja iestatījumos nav atzīmēts TLS protokols, tad var būt problēmas ar Skype. Programma vienkārši nevarēs izveidot savienojumu ar serveri.

Ja Internet Explorer iestatījumos ir atspējots TLS atbalsts, visas ar tīklu saistītās programmas funkcijas nedarbosies. Turklāt jūsu datu drošība ir atkarīga no šīs tehnoloģijas. Neatstājiet to novārtā, veicot finanšu darījumus šajā pārlūkprogrammā (iepērkoties interneta veikalos, pārskaitot naudu, izmantojot internetbanku vai elektronisko maku utt.).

Ja rodas problēma, kad neizdodas piekļūt noteiktai vietnei un jūsu pārlūkprogrammā tiek parādīts ziņojums, tam ir saprātīgs izskaidrojums. Problēmas cēloņi un risinājumi ir sniegti šajā rakstā.

SSL TLS

SSL TLS protokols

Budžeta organizāciju un ne tikai budžeta organizāciju lietotāji, kuru darbība ir tieši saistīta ar finansēm, sadarbībā ar finanšu organizācijām, piemēram, Finanšu ministriju, Valsts kasi u.c., visas savas darbības veic, izmantojot tikai drošu SSL protokolu. . Būtībā viņi savā darbā izmanto pārlūkprogrammu Internet Explorer. Dažos gadījumos Mozilla Firefox.

SSL kļūda

Galvenā uzmanība, veicot šīs darbības un darbu kopumā, tiek pievērsta aizsardzības sistēmai: sertifikātiem, elektroniskajiem parakstiem. Darbam tiek izmantota pašreizējās versijas programmatūra CryptoPro. Kas attiecas uz problēmas ar SSL un TLS protokoliem, ja SSL kļūda parādījās, visticamāk, šim protokolam nav atbalsta.

TLS kļūda

TLS kļūda daudzos gadījumos tas var arī norādīt uz protokola atbalsta trūkumu. Bet ... paskatīsimies, ko šajā gadījumā var darīt.

Atbalsts SSL un TLS protokoliem

Tātad, izmantojot Microsoft Internet Explorer, lai apmeklētu vietni, izmantojot SSL, tiek parādīta virsrakstjosla Pārliecinieties, vai ir iespējoti ssl un tls. Pirmkārt, pārlūkprogrammā Internet Explorer ir jāiespējo TLS 1.0 protokola atbalsts.

Ja apmeklējat vietni, kurā darbojas Internet Information Services 4.0 vai jaunāka versija, Internet Explorer konfigurēšana, lai atbalstītu TLS 1.0, palīdz aizsargāt savienojumu. Protams, ar nosacījumu, ka attālais tīmekļa serveris, kuru mēģināt izmantot, atbalsta šo protokolu.

Lai to izdarītu, izvēlnē apkalpošana izvēlieties komandu Interneta iespējas.

Uz cilnes Turklāt Nodaļā Drošība, pārliecinieties, vai ir atlasītas šādas izvēles rūtiņas:

Izmantojiet SSL 2.0
Izmantojiet SSL 3.0
Izmantojiet TLS 1.0

Noklikšķiniet uz pogas Pieteikties , un tad labi . Restartējiet pārlūkprogrammu .

Pēc TLS 1.0 iespējošanas mēģiniet vēlreiz apmeklēt vietni.

Sistēmas drošības politika

Ja vēl ir kļūdas ar SSL un TLS ja joprojām nevarat izmantot SSL, iespējams, attālais tīmekļa serveris neatbalsta TLS 1.0. Šādā gadījumā jums ir jāatspējo sistēmas politika, kurai nepieciešami ar FIPS saderīgi algoritmi.

Lai to izdarītu, in Vadības paneļi izvēlieties Administrācija un pēc tam veiciet dubultklikšķi Vietējā drošības politika.

Vietējos drošības iestatījumos izvērsiet mezglu Vietējās politikas un pēc tam noklikšķiniet uz pogas Drošības opcijas.

Saskaņā ar politiku loga labajā pusē veiciet dubultklikšķi Sistēmas kriptogrāfija: izmantojiet FIPS saderīgus algoritmus šifrēšanai, jaukšanai un parakstīšanai un pēc tam noklikšķiniet uz pogas Atspējots.

Uzmanību! Izmaiņas stājas spēkā pēc vietējās drošības politikas atkārtotas piemērošanas. Tas ir ieslēdziet to un restartējiet pārlūkprogrammu .

CryptoPro TLS SSL

Atjauniniet CryptoPro

SSL TLS konfigurēšana

Tīkla konfigurācija

Vēl viens variants varētu būt atspējojiet NetBIOS, izmantojot TCP/IP- atrodas savienojuma īpašībās.

DLL reģistrēšana

Palaidiet komandu uzvedni kā administratoru un ievadiet komandu regsvr32 cpcng. 64 bitu operētājsistēmai ir jāizmanto regsvr32, kas atrodas syswow64.

SSL TLS protokols

SSL kļūda

TLS kļūda

TLS kļūda daudzos gadījumos tas var arī norādīt uz protokola atbalsta trūkumu. Bet ... paskatīsimies, ko šajā gadījumā var darīt.

Atbalsts SSL un TLS protokoliem

Lai to izdarītu, izvēlnē apkalpošana izvēlieties komandu Interneta iespējas.

Uz cilnes Turklāt Nodaļā Drošība, pārliecinieties, vai ir atlasītas šādas izvēles rūtiņas:

Izmantojiet SSL 2.0
Izmantojiet SSL 3.0
Izmantojiet SSL 1.0

Noklikšķiniet uz pogas Pieteikties , un tad labi . Restartējiet pārlūkprogrammu .

Pēc TLS 1.0 iespējošanas mēģiniet vēlreiz apmeklēt vietni.

Sistēmas drošības politika

Lai to izdarītu, in Vadības paneļi izvēlieties Administrācija un pēc tam veiciet dubultklikšķi Vietējā drošības politika.

Vietējos drošības iestatījumos izvērsiet mezglu Vietējās politikas un pēc tam noklikšķiniet uz pogas Drošības opcijas.

Uzmanību!

Izmaiņas stājas spēkā pēc vietējās drošības politikas atkārtotas piemērošanas. Ieslēdziet to, restartējiet pārlūkprogrammu.

CryptoPro TLS SSL

Atjauniniet CryptoPro

Viena no problēmas risināšanas iespējām ir CryptoPro atjaunināšana, kā arī resursa iestatīšana. Šajā gadījumā tas ir darbs ar elektroniskajiem maksājumiem. Dodieties uz sertifikācijas iestādi. Resursam atlasiet E-Marketplaces.

Pēc automātiskās darba vietas iestatīšanas sākšanas būs tikai gaidiet, līdz procedūra tiks pabeigta, tad restartējiet pārlūkprogrammu. Ja jums ir jāievada vai jāatlasa resursa adrese, izvēlieties vajadzīgo. Pēc iestatīšanas, iespējams, būs arī jārestartē dators.

Dodoties uz jebkuru valsts vai pakalpojumu portālu (piemēram, “EIS”), lietotājs var pēkšņi saskarties ar kļūdu “Nevar droši izveidot savienojumu ar šo lapu. Vietnē, iespējams, tiek izmantoti novecojuši vai vāji TLS drošības iestatījumi. Šī problēma ir diezgan izplatīta, un tā ir novērsta jau vairākus gadus dažādās lietotāju kategorijās. Apskatīsim šīs kļūdas būtību un tās risināšanas iespējas.

Kā zināms, drošība lietotāju savienošanai ar tīkla resursiem tiek nodrošināta, izmantojot SSL / TSL - kriptogrāfijas protokolus, kas atbild par drošu datu pārraidi internetā. Tie izmanto simetrisku un asimetrisku šifrēšanu, ziņojumu autentifikācijas kodus un citas īpašas funkcijas, lai jūsu savienojums būtu privāts, neļaujot trešajām pusēm atšifrēt jūsu sesiju.

Ja, pieslēdzoties vietnei, pārlūkprogramma konstatē, ka resurss izmanto nepareizus SSL/TSL drošības protokola parametrus, lietotājs saņem iepriekš minēto ziņojumu, un piekļuve vietnei var tikt bloķēta.

Diezgan bieži situācija ar TLS protokolu rodas IE pārlūkprogrammā, kas ir populārs rīks darbam ar īpašiem valdības portāliem, kas saistīti ar dažādām ziņošanas formām. Lai strādātu ar šādiem portāliem, ir nepieciešama obligāta pārlūkprogrammas Internet Explorer klātbūtne, un tieši tajā visbiežāk rodas attiecīgā problēma.

Kļūdas “Vietne, iespējams, tiek izmantoti novecojuši vai neuzticami TLS protokola drošības iestatījumi” iemesli var būt šādi:

Disfunkcijas novēršana: tiek izmantoti neuzticami TLS drošības iestatījumi

Radušās problēmas risinājums var būt tālāk aprakstītajās metodēs. Bet pirms to aprakstīšanas es iesaku vienkārši restartēt datoru - neskatoties uz visu trivialitāti, šī metode bieži vien izrādās diezgan efektīva.

Ja tas nepalīdz, rīkojieties šādi:

Īslaicīgi atspējojiet pretvīrusu. Dažos gadījumos antivīruss bloķēja piekļuvi neuzticamām (pēc tā aplēsēm) vietnēm. Īslaicīgi atspējojiet pretvīrusu programmu vai atspējojiet sertifikātu pārbaudi pretvīrusu iestatījumos (piemēram, Kaspersky Anti-Virus "Nepārbaudīt drošus savienojumus");
Instalējiet datorā jaunāko CryptoPro programmas versiju (ja iepriekš esat strādājis ar šo programmu). Novecojusi produkta versija var izraisīt kļūdu, ka nav droša savienojuma ar lapu;
Mainiet savus IE iestatījumus. Dodieties uz "Internet Options", atlasiet cilni "Drošība", pēc tam noklikšķiniet uz "Uzticamas vietnes" (tur jau ir jāievada sava portāla adrese, ja nē, tad ievadiet to). Apakšdaļā noņemiet atzīmi no opcijas Iespējot aizsargāto režīmu.

Pēc tam noklikšķiniet uz iepriekš esošās pogas Vietnes un noņemiet atzīmi no opcijas "Visām vietnēm šajā zonā...". Noklikšķiniet uz "OK" un mēģiniet doties uz problēmas vietni.
Izdzēsiet IE pārlūkprogrammas sīkfailus. Palaidiet pārlūkprogrammu un nospiediet taustiņu Alt, lai parādītu izvēlni. Atlasiet cilni "Rīki" - "Dzēst pārlūkošanas vēsturi", atzīmējiet izvēles rūtiņu (ja tā nav pieejama) opcijai "Sīkfaili ...", pēc tam noklikšķiniet uz "Dzēst";
Atspējot VPN programmu izmantošanu (ja tādas ir);
Mēģiniet izmantot citu pārlūkprogrammu, lai pārietu uz problemātisko resursu (ja jums nav jāizmanto kāda konkrēta pārlūkprogramma);
Pārbaudiet, vai datorā nav vīrusu (piemēram, pārbaudītais "Doctor Web Curate" palīdzēs);
BIOS atspējojiet opciju "Droša sāknēšana". Neskatoties uz zināmu šī ieteikuma nestandarta līmeni, tas palīdzēja daudz vairāk nekā vienam lietotājam atbrīvoties no kļūdas “novecojuši vai neuzticami TLS parametri”.
BIOS deaktivizējiet opciju "Droša sāknēšana".

Secinājums

Kļūdas “Vietne var izmantot novecojušus vai neuzticamus TLS protokola drošības iestatījumus” iemesls diezgan bieži ir datora vietējais antivīruss, kas kaut kādu iemeslu dēļ bloķē piekļuvi vēlamajam interneta portālam. Ja rodas problēmas, ieteicams vispirms atspējot pretvīrusu, lai pārliecinātos, ka tas neizraisa attiecīgo problēmu. Ja kļūda atkārtojas, iesaku pāriet uz citu tālāk aprakstīto padomu ieviešanu, lai datorā atrisinātu neuzticamu TSL protokola drošības iestatījumu problēmu.

Saskarsmē ar