O cliente e o servidor suportam diferentes versões do protocolo SSL ou conjunto de cifras. Erro no Internet Explorer. Certifique-se de que SSL e TLS estejam ativados Sobre esta atualização

O protocolo TLS criptografa todos os tipos de tráfego da Internet, tornando a comunicação e as vendas na Internet seguras. Falaremos sobre como funciona o protocolo e o que nos espera no futuro.

Com o artigo você aprenderá:

O que é SSL

SSL ou Secure Sockets Layer era o nome original de um protocolo desenvolvido pela Netscape em meados dos anos 90. O SSL 1.0 nunca foi disponibilizado publicamente e a versão 2.0 teve falhas sérias. O protocolo SSL 3.0, lançado em 1996, foi completamente reformulado e deu o tom para o próximo estágio de desenvolvimento.

O que é TLS

Quando a próxima versão do protocolo foi lançada em 1999, ele foi padronizado por um Grupo de Trabalho de Design de Internet dedicado e recebeu um novo nome: Segurança da Camada de Transporte, ou TLS. Como diz a documentação do TLS, "a diferença entre este protocolo e o SSL 3.0 não é crítica". TLS e SSL formam uma série de protocolos constantemente atualizados e geralmente são agrupados sob o nome SSL/TLS.

O protocolo TLS criptografa o tráfego da Internet de qualquer tipo. O tipo mais comum é o tráfego da web. Você sabe quando seu navegador estabelece uma conexão TLS - se o link na barra de endereço começar com "https".

O TLS também é usado por outros aplicativos, como sistemas de correio e teleconferência.

Como funciona o TLS

A criptografia é necessária para se comunicar com segurança na Internet. Se seus dados não estiverem criptografados, qualquer pessoa poderá analisá-los e ler informações confidenciais.

O método de criptografia mais seguro é criptografia assimétrica. Isso requer 2 chaves, 1 pública e 1 privada. São arquivos com informações, na maioria das vezes números muito grandes. O mecanismo é complexo, mas para simplificar, você pode usar a chave pública para criptografar os dados, mas precisa da chave privada para descriptografá-los. As duas chaves estão ligadas usando uma fórmula matemática complexa que é difícil de hackear.

Você pode pensar na chave pública como informações sobre a localização de uma caixa de correio fechada com um buraco e a chave privada como a chave que abre a caixa. Quem souber onde está a caixa pode colocar uma carta lá. Mas para lê-lo, uma pessoa precisa de uma chave para abrir a caixa.

Como a criptografia assimétrica usa cálculos matemáticos complexos, ela requer muitos recursos de computação. O TLS resolve esse problema usando criptografia assimétrica apenas no início de uma sessão para criptografar a comunicação entre o servidor e o cliente. O servidor e o cliente devem concordar com uma única chave de sessão, que ambos usam para criptografar pacotes de dados.

O processo pelo qual o cliente e o servidor concordam com uma chave de sessão é chamado aperto de mão. Este é o momento em que 2 computadores em comunicação se apresentam.

Processo de handshake TLS

O processo de handshake TLS é bastante complexo. As etapas abaixo mostram o processo em geral para que você entenda como ele funciona em geral.

O cliente entra em contato com o servidor e solicita uma conexão segura. O servidor responde com uma lista de cifras - um conjunto algorítmico para fazer conexões criptografadas - que ele sabe usar. O cliente compara a lista com sua lista de cifras suportadas, seleciona a apropriada e informa ao servidor qual será usada em conjunto.
O servidor fornece seu certificado digital - um documento eletrônico assinado por um terceiro que confirma a autenticidade do servidor. A informação mais importante no certificado é a chave pública da cifra. O cliente autentica o certificado.
Usando a chave pública do servidor, o cliente e o servidor estabelecem uma chave de sessão, que ambos usarão durante a sessão para criptografar a comunicação. Existem vários métodos para isso. O cliente pode usar a chave pública para criptografar um número arbitrário, que é então enviado ao servidor para descriptografia, e ambas as partes usam esse número para estabelecer uma chave de sessão.

A chave de sessão só é válida para uma sessão contínua. Se, por algum motivo, a comunicação entre cliente e servidor for interrompida, será necessário um novo handshake para estabelecer uma nova chave de sessão.

Vulnerabilidades nos protocolos TLS 1.2 e TLS 1.2

O TLS 1.2 é a versão mais usada do protocolo. Esta versão instalou a plataforma de opções de criptografia de sessão original. No entanto, como algumas versões anteriores do protocolo, esse protocolo permitia o uso de técnicas de criptografia mais antigas para dar suporte a computadores mais antigos. Infelizmente, isso resultou em vulnerabilidades da versão 1.2, pois esses mecanismos de criptografia mais antigos se tornaram mais vulneráveis.

Por exemplo, o protocolo TLS 1.2 tornou-se particularmente vulnerável a ataques de adulteração, nos quais um hacker intercepta pacotes de dados no meio de uma sessão e os envia após lê-los ou modificá-los. Muitos desses problemas surgiram nos últimos 2 anos, por isso tornou-se urgente criar uma versão atualizada do protocolo.

TLS 1.3

A versão 1.3 do protocolo TLS, que será finalizada em breve, resolve muitos problemas com vulnerabilidades ao descontinuar o suporte a sistemas de criptografia legados.
A nova versão tem compatibilidade com as versões anteriores: por exemplo, a conexão retornará à versão 1.2 do TLS se uma das partes não puder usar um sistema de criptografia mais recente na lista de algoritmos da versão 1.3 do protocolo permitido. No entanto, em um ataque do tipo violação de conexão, se um hacker tentar reverter à força a versão do protocolo para 1.2 no meio de uma sessão, essa ação será notada e a conexão será encerrada.

Como habilitar o suporte a TLS 1.3 nos navegadores Google Chrome e Firefox

Firefox e Chrome suportam TLS 1.3, mas esta versão não está habilitada por padrão. A razão é que ele existe até agora apenas em forma de rascunho.

Mozilla Firefox

Digite about:config na barra de endereços do seu navegador. Confirme que você entende os riscos.

O editor de configurações do Firefox será aberto.
Digite security.tls.version.max na pesquisa
Altere o valor para 4 clicando duas vezes no valor atual.

Google Chrome

Digite chrome://flags/ na barra de endereços do seu navegador para abrir o painel de experimentos.
Encontre a opção #tls13-variant
Clique no menu e defina Ativado (Rascunho).
Reinicie seu navegador.

Como verificar se o seu navegador está usando a versão 1.2

Lembramos que a versão 1.3 ainda não está em uso público. Se você não quer
usar a versão de rascunho, você pode ficar na versão 1.2.

Para verificar se seu navegador está usando a versão 1.2, siga os mesmos passos das instruções acima e certifique-se de que:

Para Firefox, o valor de security.tls.version.max é 3. Se for menor, altere-o para 3 clicando duas vezes no valor atual.
Para o Google Chrome: clique no menu do navegador - selecione Definições- selecione Mostrar configurações avançadas- descer para a seção Sistema e clique em Abra as configurações de proxy…:

Na janela que se abre, clique na guia Segurança e verifique se o campo Usar TLS 1.2 está marcado. Se não valer a pena, configure e clique em OK:

As alterações entrarão em vigor depois que você reiniciar o computador.

Uma ferramenta rápida para verificar a versão do protocolo SSL/TLS do seu navegador

Acesse o Verificador de versão do protocolo SSL Labs Online. A página mostrará em tempo real qual versão do protocolo está sendo usada e se o navegador está vulnerável a alguma vulnerabilidade.

Fontes: tradução

O TLS é o sucessor do SSL, um protocolo que fornece uma conexão confiável e segura entre nós na Internet. Ele é usado no desenvolvimento de vários clientes, incluindo navegadores e aplicativos cliente-servidor. O que é TLS no Internet Explorer?

Um pouco sobre tecnologia

Todas as empresas e organizações envolvidas em transações financeiras usam esse protocolo para excluir escutas telefônicas de pacotes e acesso não autorizado por invasores. Essa tecnologia foi projetada para proteger conexões importantes contra ataques maliciosos.

Basicamente, em sua organização, eles usam o navegador embutido. Em alguns casos, o Mozilla Firefox.

Habilitar ou desabilitar um protocolo

Alguns sites às vezes não podem ser acessados devido ao fato de que o suporte às tecnologias SSL e TLS está desabilitado. Uma notificação aparece no navegador. Então, como você permite que os protocolos continuem usando comunicações seguras?
1.Abra o Painel de Controle via Iniciar. Outra maneira: abra o Explorer e clique no ícone de engrenagem no canto superior direito.

2. Vá para a seção "Opções da Internet" e abra o bloco "Avançado".

3. Marque as caixas ao lado de "Usar TLS 1.1 e TLS 1.2".

4. Clique em OK para salvar suas alterações. Se você deseja desabilitar os protocolos, o que é altamente desencorajado, especialmente se você usa Internet banking, desmarque os mesmos itens.

Qual é a diferença entre 1,0 e 1,1 e 1,2? 1.1 é apenas uma versão ligeiramente melhorada do TLS 1.0, que herdou parcialmente suas deficiências. 1.2 é a versão mais segura do protocolo. Por outro lado, nem todos os sites podem abrir com esta versão de protocolo habilitada.

Como você sabe, o Skype Messenger está diretamente relacionado ao Internet Explorer como um componente do Windows. Se você não tiver o protocolo TLS verificado nas configurações, pode haver problemas com o Skype. O programa simplesmente não poderá se conectar ao servidor.

Se o suporte a TLS estiver desabilitado nas configurações do Internet Explorer, todas as funções relacionadas à rede do programa não funcionarão. Além disso, a segurança de seus dados depende dessa tecnologia. Não negligencie se você realizar transações financeiras neste navegador (compras em lojas online, transferência de dinheiro através de banco online ou carteira eletrônica, etc.).

Se você estiver enfrentando um problema em que o acesso a um site específico falha e uma mensagem aparece em seu navegador, há uma explicação razoável para isso. As causas e soluções para o problema são dadas neste artigo.

SSL TLS

Protocolo SSL TLS

Os usuários de organizações orçamentárias, e não apenas orçamentárias, cujas atividades estão diretamente relacionadas às finanças, em cooperação com organizações financeiras, por exemplo, o Ministério das Finanças, o Tesouro, etc., realizam todas as suas operações exclusivamente usando o protocolo SSL seguro . Basicamente, em seu trabalho eles usam o navegador Internet Explorer. Em alguns casos, o Mozilla Firefox.

Erro SSL

A principal atenção, ao realizar essas operações, e o trabalho em geral, é dada ao sistema de proteção: certificados, assinaturas eletrônicas. Para o trabalho, é usado o software CryptoPro da versão atual. Relativo problemas com protocolos SSL e TLS, E se Erro SSL apareceu, provavelmente não há suporte para este protocolo.

Erro de TLS

Erro de TLS em muitos casos, também pode indicar a falta de suporte ao protocolo. Mas... vamos ver o que pode ser feito neste caso.

Suporte para protocolos SSL e TLS

Portanto, ao usar o Microsoft Internet Explorer para visitar um site via SSL, a barra de título mostra Certifique-se de que ssl e tls estão ativados. Antes de tudo, você precisa habilitar o suporte ao protocolo TLS 1.0 no Internet Explorer.

Se você estiver visitando um site que esteja executando o Internet Information Services 4.0 ou posterior, configurar o Internet Explorer para oferecer suporte a TLS 1.0 ajudará a proteger sua conexão. Claro, desde que o servidor web remoto que você está tentando usar suporte este protocolo.

Para isso, o cardápio Serviço selecione uma equipe opções de Internet.

Na guia Adicionalmente No capítulo Segurança, verifique se as seguintes caixas de seleção estão marcadas:

Usar SSL 2.0
Usar SSL 3.0
Usar TLS 1.0

Clique no botão Aplicar , e depois OK . Reinicie seu navegador .

Depois de habilitar o TLS 1.0, tente visitar o site novamente.

Política de segurança do sistema

Se ainda houver erros com SSL e TLS se você ainda não pode usar SSL, o servidor web remoto provavelmente não suporta TLS 1.0. Nesse caso, você deve desabilitar a política do sistema que requer algoritmos compatíveis com FIPS.

Para fazer isso, em Painéis de controle selecionar Administração e, em seguida, clique duas vezes Política de segurança local.

Nas configurações de segurança local, expanda o nó Políticas locais e, em seguida, clique no botão Opções de segurança.

De acordo com a política no lado direito da janela, clique duas vezes Criptografia do sistema: use algoritmos compatíveis com FIPS para criptografia, hash e assinatura e, em seguida, clique no botão Desabilitado.

Atenção! A alteração entra em vigor após a reaplicação da política de segurança local. Aquilo é ligue-o e reinicie seu navegador .

SSL CryptoPro TLS

Atualizar CryptoPro

Configurando SSL TLS

Configuração de rede

Outra opção poderia ser desabilitar NetBIOS sobre TCP/IP- localizado nas propriedades da conexão.

Registrando uma DLL

Execute o prompt de comando como administrador e digite o comando regsvr32 cpcng. Para um sistema operacional de 64 bits, você deve usar o regsvr32 que está em syswow64.

Protocolo SSL TLS

Erro SSL

Erro de TLS

Erro de TLS em muitos casos, também pode indicar a falta de suporte ao protocolo. Mas... vamos ver o que pode ser feito neste caso.

Suporte para protocolos SSL e TLS

Para isso, o cardápio Serviço selecione uma equipe opções de Internet.

Na guia Adicionalmente No capítulo Segurança, verifique se as seguintes caixas de seleção estão marcadas:

Usar SSL 2.0
Usar SSL 3.0
Usar SSL 1.0

Clique no botão Aplicar , e depois OK . Reinicie seu navegador .

Depois de habilitar o TLS 1.0, tente visitar o site novamente.

Política de segurança do sistema

Para fazer isso, em Painéis de controle selecionar Administração e, em seguida, clique duas vezes Política de segurança local.

Nas configurações de segurança local, expanda o nó Políticas locais e, em seguida, clique no botão Opções de segurança.

Atenção!

A alteração entra em vigor após a reaplicação da política de segurança local. Ligue-o, reinicie o navegador.

SSL CryptoPro TLS

Atualizar CryptoPro

Uma das opções para solucionar o problema é atualizar o CryptoPro, além de configurar um recurso. Neste caso, é trabalhar com pagamentos eletrônicos. Vá para Autoridade de Certificação. Para o recurso, selecione E-Marketplaces.

Depois de iniciar a configuração automática do local de trabalho, haverá apenas aguarde a conclusão do procedimento, então reiniciar navegador. Se você precisar inserir ou selecionar um endereço de recurso, escolha aquele que você precisa. Também pode ser necessário reiniciar o computador após a conclusão da configuração.

Ao acessar qualquer estado ou portal de serviço (por exemplo, “EIS”), o usuário pode encontrar de repente o erro “Não é possível conectar com segurança a esta página. O site pode estar usando configurações de segurança TLS desatualizadas ou fracas." Esse problema é bastante comum e foi corrigido por vários anos em várias categorias de usuários. Vejamos a essência desse erro e as opções para resolvê-lo.

Como você sabe, a segurança da conexão dos usuários aos recursos da rede é garantida através do uso de SSL/TSL - protocolos criptográficos responsáveis pela transmissão segura de dados na Internet. Eles usam criptografia simétrica e assimétrica, códigos de autenticação de mensagens e outros recursos especiais para manter sua conexão privada, impedindo que terceiros descriptografem sua sessão.

Se, ao se conectar a um site, o navegador determinar que o recurso usa parâmetros incorretos do protocolo de segurança SSL/TSL, o usuário recebe a mensagem acima e o acesso ao site pode ser bloqueado.

Muitas vezes, a situação com o protocolo TLS ocorre no navegador IE, uma ferramenta popular para trabalhar com portais governamentais especiais associados a vários formulários de relatório. Trabalhar com esses portais exige a presença obrigatória do navegador Internet Explorer, e é nele que o problema em questão ocorre com mais frequência.

As causas do erro "O site pode estar usando configurações de segurança desatualizadas ou não confiáveis para o protocolo TLS" podem ser as seguintes:

Como corrigir a disfunção: são usadas configurações de segurança TLS não confiáveis

A solução para o problema que surgiu pode estar nos métodos descritos abaixo. Mas antes de descrevê-los, recomendo simplesmente reiniciar o seu PC - apesar de toda a trivialidade, esse método geralmente acaba sendo bastante eficaz.

Se não ajudar, faça o seguinte:

Desative temporariamente seu antivírus. Em alguns casos, o antivírus bloqueou o acesso a sites não confiáveis (de acordo com suas estimativas). Desative temporariamente o programa antivírus ou desative a verificação de certificados nas configurações do antivírus (por exemplo, "Não verificar conexões seguras" no Kaspersky Anti-Virus);
Instale a versão mais recente do programa CryptoPro em seu computador (em caso de trabalho anterior com este programa). Uma versão desatualizada do produto pode causar um erro de que não há conexão segura com a página;
Altere as configurações do IE. Vá em "Opções da Internet", selecione a aba "Segurança" e clique em "Sites Confiáveis" (o endereço do seu portal já deve estar inserido lá, caso contrário, insira-o). Na parte inferior, desmarque a opção "ativar modo protegido".

Em seguida, clique no botão "Sites" acima e desmarque a opção "Para todos os sites nesta zona...". Clique em "OK" e tente acessar o site do problema.
Exclua os cookies do navegador IE. Inicie o navegador e pressione o botão Alt para exibir o menu. Selecione a aba "Ferramentas" - "Excluir histórico de navegação", marque a caixa (se não estiver disponível) na opção "Cookies ...", depois clique em "Excluir";
Desabilite o uso de programas VPN (se houver);
Tente usar um navegador diferente para navegar até o recurso problemático (caso você não precise usar nenhum navegador específico);
Verifique se há vírus no seu PC (por exemplo, o testado e comprovado "Doctor Web Curate" ajudará);
Desative a opção "Secure Boot" no BIOS. Apesar de um certo não padrão desse conselho, ele ajudou muito mais de um usuário a se livrar do erro “parâmetros TLS desatualizados ou não confiáveis”.
Desative a opção "Secure Boot" no BIOS

Conclusão

O motivo do erro “O site pode estar usando configurações de segurança desatualizadas ou não confiáveis para o protocolo TLS” é muitas vezes o antivírus local do PC, por algum motivo bloqueando o acesso ao portal da Internet desejado. Se surgir uma situação problemática, é recomendável que você primeiro desative seu antivírus para garantir que ele não cause o problema em questão. Se o erro continuar a se repetir, recomendo que você avance para a implementação das outras dicas descritas abaixo para resolver o problema das configurações de segurança do protocolo TSL não confiáveis em seu PC.

Em contato com