Клієнт та сервер підтримують різні версії протоколу SSL або набору шифрів. Помилка в Internet Explorer. Переконайтеся, що протоколи SSL і TLS увімкнені Відомості про це оновлення

Протокол TLS шифрує інтернет-трафік усіх видів, тим самим роблячи безпечними спілкування та продаж в інтернеті. Ми розповімо про те, як протокол працює і що на нас чекає в майбутньому.

Зі статті ви дізнаєтесь:

Що таке SSL

SSL або шар захищених сокетів була оригінальною назвою протоколу, який розробила компанія Netscape у середині 90-х. SSL 1.0 ніколи не був публічно доступним, а у версії 2.0 були серйозні недоліки. Протокол SSL 3.0, випущений в 1996, був повністю перероблений і поставив тон наступної стадії розвитку.

Що таке TLS

Коли наступну версію протоколу випустили 1999 року, її стандартизувала спеціальна робоча група проектування мережі Інтернет і дала їй нову назву: захист транспортного рівня, або TLS. Як говориться в TLS-документації, «різниця між цим протоколом та SSL 3.0 не є критичною». TLS і SSL формують серію протоколів, що постійно оновлюються, і їх часто об'єднують під назвою SSL/TLS.

Протокол TLS шифрує інтернет-трафік будь-якого виду. Найпоширеніший вид – веб-трафік. Ви знаєте, коли ваш браузер встановлює з'єднання TLS - якщо посилання в адресному рядку починається з "https".

TLS також використовується іншими програмами - наприклад, у пошті та системах телеконференцій.

Як працює TLS

Шифрування необхідно безпечно спілкуватися в інтернеті. Якщо ваші дані не шифруються, будь-хто може проаналізувати їх та прочитати конфіденційну інформацію.

Найбезпечніший метод шифрування – це асиметричне шифрування. Для цього потрібно 2 ключі, 1 публічний та 1 приватний. Це файли з інформацією, найчастіше дуже великі числа. Механізм складний, але якщо просто ви можете використовувати публічний ключ, щоб шифрувати дані, але вам потрібен приватний ключ, щоб розшифровувати їх. Два ключі пов'язані з допомогою складної математичної формули, яку складно хакнути.

Можна подати публічний ключ як інформацію про розташування закритої поштової скриньки з отвором, а також приватний ключ як ключ, який відкриває скриньку. Будь-хто, хто знає, де знаходиться ящик, може покласти туди листа. Але щоб прочитати його, людині потрібний ключ, щоб відкрити скриньку.

Оскільки в асиметричному шифруванні використовуються складні математичні розрахунки, необхідно багато обчислювальних ресурсів. TLS вирішує цю проблему, використовуючи асиметричне шифрування лише на початку сесії, щоб зашифрувати спілкування між сервером та клієнтом. Сервер та клієнт повинні домовитися про один ключ сесії, який вони будуть удвох використовувати, щоб зашифрувати пакети даних.

Процес, згідно з яким клієнт та сервер домовляються про ключ сесії, називається рукостисканням. Це момент, коли 2 спілкуються комп'ютери представляються друг другу.

Процес TLS-рукостискання

Процес TLS-рукостискання досить складний. Кроки внизу відображають процес загалом, щоб ви розуміли, як це працює загалом.

1. Клієнт зв'язується із сервером та запитує безпечне з'єднання. Сервер відповідає списку шифрів - алгоритмічний набор для створення зашифрованих з'єднань - яким він знає, як користуватися. Клієнт порівнює список зі своїм списком шифрів, що підтримуються, вибирає відповідний і дає серверу знати, який вони будуть використовувати вдвох.
2. Сервер надає свій цифровий сертифікат - електронний документ, підписаний третьою стороною, який підтверджує автентифікацію сервера. Найважливіша інформація в сертифікаті – це публічний ключ до шифру. Клієнт підтверджує справжність сертифіката.
3. Використовуючи публічний ключ сервера, клієнт і сервер встановлюють ключ сесії, який вони обидва будуть використовувати протягом всієї сесії, щоб шифрувати спілкування. І тому є кілька методів. Клієнт може використовувати публічний ключ, щоб шифрувати довільне число, яке потім відправляється на сервер для розшифровки, і обидві сторони потім використовують це число, щоб встановити ключ сесії.

Ключ сесії дійсний лише протягом однієї безперервної сесії. Якщо з якоїсь причини спілкування між клієнтом та сервером перерветься, потрібно буде новий рукостискання, щоб встановити новий ключ сесії.

Вразливості протоколів TLS 1.2 та TLS 1.2

TLS 1.2 – найпоширеніша версія протоколу. Ця версія встановила вихідну платформу опцій шифрування сесій. Однак, як і деякі попередні версії протоколу, цей протокол дозволяв використовувати старішу техніку шифрування, щоб підтримувати старі комп'ютери. На жаль, це призвело до вразливостей версії 1.2, оскільки ці старіші механізми шифрування стали вразливішими.

Наприклад, протокол TLS 1.2 став особливо вразливим до атак типу активного втручання у з'єднання, у яких хакер перехоплює пакети даних серед сесії та відправляє їх після прочитання чи зміни. Багато з цих проблем виявилися за останні 2 роки, тому стало необхідно терміново створити оновлену версію протоколу.

TLS 1.3

Версія 1.3 протоколу TLS, яка скоро буде фіналізована, вирішує безліч проблем із вразливістю тим, що відмовляється від підтримки застарілих систем шифрування.
У новій версії є сумісність з попередніми версіями: наприклад, з'єднання відкотиться до версії TLS 1.2, якщо одна зі сторін не зможе використовувати новішу систему шифрування в списку дозволених алгоритмів протоколу версії 1.3. Однак при атаці типу активного втручання у з'єднання, якщо хакер примусово спробує відкотити версію протоколу до 1.2 посеред сесії, ця дія буде помічена, і з'єднання перерветься.

Як увімкнути підтримку TLS 1.3 у браузерах Google Chrome та Firefox

Firefox і Chrome підтримують TLS 1.3, але ця версія не включена за промовчанням. Причина в тому, що вона існує поки що тільки в чорновому варіанті.

Mozilla Firefox

Введіть about:config в адресний рядок браузера. Підтвердьте, що ви розумієте ризики.

1. Відкриється редактор налаштувань Firefox.
2. Введіть у пошуку security.tls.version.max
3. Змініть значення на 4, зробивши подвійне клацання мишею на нинішнє значення.

Google Chrome

1. Введіть chrome://flags/ в адресний рядок браузера, щоб відкрити панель експериментів.
2. Знайдіть опцію #tls13-variant
3. Натисніть меню і поставте Enabled (Draft).
4. Перезапустіть браузер.

Як перевірити, що ваш браузер використовує версію 1.2

Нагадуємо, що версія 1.3 ще не використовується привселюдно. Якщо ви не бажаєте
Використовуючи чорновий варіант, ви можете залишитися на версії 1.2.

Щоб перевірити, чи ваш браузер використовує версію 1.2, зробіть ті ж кроки, що й в інструкціях вище, і переконайтеся, що:

• Для Firefox значення security.tls.version.max дорівнює 3. Якщо воно нижче, поміняйте його на 3, зробивши подвійне клацання мишею на нинішнє значення.
• Для Google Chrome: натисніть меню браузера - виберіть Settings- Виберіть Show advanced settings- опустіться до розділу Systemта натисніть на Open proxy settings…:

• У вікні, натисніть на вкладку Security і перевірте, щоб для поля Use TLS 1.2 стояла галочка. Якщо не варто - поставте та натисніть OK:

Зміни набудуть чинності після перезавантаження комп'ютера.

Швидкий інструмент для перевірки версії протоколу SSL/TLS браузера

Зайдіть до онлайн-інструменту перевірки версії протоколу SSL Labs . Сторінка покаже в реальному часі використовувану версію протоколу, і чи піддається браузер якимось вразливим.

Джерела: переклад

TLS є послідовником SSL, протоколу, який дає надійне та безпечне з'єднання між вузлами в інтернеті. Його використовують при розробці різних клієнтів, включаючи браузери та клієнт-серверні програми. Що таке TLS в Internet Explorer?

Трохи про технологію

Усі підприємства та організації, які займаються фінансовими операціями, використовують цей протокол для виключення прослуховування пакетів та здійснення несанкціонованого доступу зловмисниками. Ця технологія створена для захисту важливих з'єднань від атак зловмисників.

Здебільшого у своїй організації використовують вбудований браузер. У деяких випадках – Mozilla Firefox.

Увімкнення та вимкнення протоколу

На деякі сайти іноді неможливо зайти через відключення підтримки технологій SSL і TLS. В браузері спливає відповідне повідомлення. Отже, як же включити протоколи, щоб користуватися безпечним зв'язком?
1.Відкрийте Панель керування через Пуск. Ще один спосіб: відкрити Експлорер та натиснути на іконку шестерні у правому верхньому кутку.

2.Зайдіть у розділ «Властивості браузера» та відкрийте блок «Додатково».

3.Поставте галочки поруч із «Використовувати TLS 1.1 та TLS 1.2».

4.Клікніть по ОК, щоб зберегти внесені зміни. Якщо ви захочете відключити протоколи, що вкрай не рекомендується робити, особливо якщо ви користуєтеся інтернет-банкінгом, зніміть позначки з цих пунктів.

Чим відрізняються 1.0 від 1.1 та 1.2? 1.1 – це лише трохи вдосконалений варіант TLS 1.0, який частково успадкував його недоопрацювання. 1.2 є найбезпечнішою версією протоколу. З іншого боку, не всі сайти можуть відкриватися за цієї включеної версії протоколу.

Як відомо, месенджер Скайп безпосередньо пов'язаний із Internet Explorer як компонентом Windows. Якщо у вас не буде позначено галочкою протокол TLS в налаштуваннях, то зі Скайпом можуть виникнути проблеми. Програма просто не зможе з'єднатися із сервером.

Якщо під час налаштування Інтернет Експлорер вимкнено підтримку TLS, всі функції програми, пов'язані з мережею, не працюватимуть. Більше того, від цієї технології залежить збереження ваших даних. Не нехтуйте ним, якщо виконуєте фінансові операції в цьому браузері (покупки в інтернет-магазинах, переказ грошей через інтернет-банкінг або електронний гаманець тощо).

Якщо ви зіткнулися з проблемою, коли виникає помилка доступу до певного сайту, при цьому в браузері з'являється повідомлення , цьому є розумне пояснення. Причини та способи усунення проблеми наведемо у цій статті.

SSL TLS

Протокол SSL TLS

Користувачі бюджетних організацій, та й не тільки бюджетних, діяльність яких безпосередньо пов'язана з фінансами, у взаємодії з фінансовими організаціями, наприклад, Мінфіном, казначейством тощо, всі свої операції проводять виключно за захищеним протоколом SSL. У своїй роботі вони використовують браузер Internet Explorer. У деяких випадках – Mozilla Firefox.

Помилка SSL

Основну увагу при проведенні даних операцій та й роботі в цілому приділено системі захисту: сертифікати, електронні підписи. Для роботи використовується програмне забезпечення КриптоПро актуальної версії. Що стосується проблеми з протоколами SSL та TLS, якщо помилка SSLвиникла, найімовірніше відсутня підтримка цього протоколу.

Помилка TLS

Помилка TLSу багатьох випадках може вказувати на відсутність підтримки протоколу. Але подивимося, що можна в цьому випадку зробити.

Підтримка протоколів SSL та TLS

Отже, під час використання Microsoft Internet Explorer, щоб відвідати веб-сайт із захищеним протоколом SSL, у рядку заголовка відображається Переконайтеся, що протоколи ssl та tls включені. Перш за все, необхідно включити підтримку протоколу TLS 1.0 в Internet Explorer.

Якщо ви відвідуєте веб-сайт, на якому працює Internet Information Services 4.0 або вище, налаштування Internet Explorer для підтримки TLS 1.0 допомагає захистити ваше з'єднання. Звичайно, за умови, що віддалений веб-сервер, який ви намагаєтеся використовувати, підтримує цей протокол.

Для цього в меню Сервісвиберіть команду Властивості оглядача.

На вкладці Додатковов розділі Безпека, переконайтеся, що вибрано наступні прапорці:

Використовувати SSL 2.0
Використовувати SSL 3.0
Використати TLS 1.0

Натисніть кнопку Застосувати , а потім ОК . Перезавантажте браузер .

Після включення TLS 1.0, спробуйте ще раз відвідати веб-сайт.

Системна політика безпеки

Якщо, як і раніше, виникають помилки з SSL та TLSЯкщо ви все ще не можете використовувати SSL, віддалений веб-сервер, ймовірно, не підтримує TLS 1.0. У цьому випадку необхідно відключити системну політику, яка вимагає FIPS-сумісні алгоритми.

Щоб це зробити, Панелі керуванняВиберіть Адміністрація, а потім двічі клацніть піктограму Локальна політика безпеки.

У локальних параметрах безпеки розгорніть вузол Локальні політики, а потім натисніть кнопку Параметри безпеки.

Відповідно до політики у правій частині вікна, двічі клацніть Системна криптографія: використовувати FIPS-сумісні алгоритми для шифрування, хешування та підписування, а потім натисніть кнопку Вимкнено.

Увага! Зміна набуває чинності після того, як локальна безпекова політика повторно застосовується. Тобто увімкніть їїі перезапустіть браузер .

КриптоПро TLS SSL

Оновити КриптоПро

Налаштування SSL TLS

Налаштування мережі

Ще одним варіантом може бути відключення NetBIOS через TCP/IP- Розташований у властивостях підключення.

Реєстрація DLL

Запустити командний рядок від імені адміністратора та ввести команду regsvr32 cpcng. Для 64-розрядної ОС необхідно використовувати той regsvr32, який у syswow64.

Якщо ви зіткнулися з проблемою, коли виникає помилка доступу до певного сайту, при цьому в браузері з'являється повідомлення , цьому є розумне пояснення. Причини та способи усунення проблеми наведемо у цій статті.

Протокол SSL TLS

Користувачі бюджетних організацій, та й не тільки бюджетних, діяльність яких безпосередньо пов'язана з фінансами, у взаємодії з фінансовими організаціями, наприклад, Мінфіном, казначейством тощо, всі свої операції проводять виключно за захищеним протоколом SSL. У своїй роботі вони використовують браузер Internet Explorer. У деяких випадках – Mozilla Firefox.

Помилка SSL

Основну увагу при проведенні даних операцій та й роботі в цілому приділено системі захисту: сертифікати, електронні підписи. Для роботи використовується програмне забезпечення КриптоПро актуальної версії. Що стосується проблеми з протоколами SSL та TLS, якщо помилка SSLвиникла, найімовірніше відсутня підтримка цього протоколу.

Помилка TLS

Помилка TLSу багатьох випадках може вказувати на відсутність підтримки протоколу. Але подивимося, що можна в цьому випадку зробити.

Підтримка протоколів SSL та TLS

Отже, під час використання Microsoft Internet Explorer, щоб відвідати веб-сайт із захищеним протоколом SSL, у рядку заголовка відображається Переконайтеся, що протоколи ssl та tls включені. Перш за все, необхідно включити підтримку протоколу TLS 1.0 в Internet Explorer.

Якщо ви відвідуєте веб-сайт, на якому працює Internet Information Services 4.0 або вище, налаштування Internet Explorer для підтримки TLS 1.0 допомагає захистити ваше з'єднання. Звичайно, за умови, що віддалений веб-сервер, який ви намагаєтеся використовувати, підтримує цей протокол.

Для цього в меню Сервісвиберіть команду Властивості оглядача.

На вкладці Додатковов розділі Безпека, переконайтеся, що вибрано наступні прапорці:

• Використовувати SSL 2.0
• Використовувати SSL 3.0
• Використовувати SSL 1.0

Натисніть кнопку Застосувати , а потім ОК . Перезавантажте браузер .

Після включення TLS 1.0, спробуйте ще раз відвідати веб-сайт.

Системна політика безпеки

Якщо, як і раніше, виникають помилки з SSL та TLSЯкщо ви все ще не можете використовувати SSL, віддалений веб-сервер, ймовірно, не підтримує TLS 1.0. У цьому випадку необхідно відключити системну політику, яка вимагає FIPS-сумісні алгоритми.

Щоб це зробити, Панелі керуванняВиберіть Адміністрація, а потім двічі клацніть піктограму Локальна політика безпеки.

У локальних параметрах безпеки розгорніть вузол Локальні політики, а потім натисніть кнопку Параметри безпеки.

Відповідно до політики у правій частині вікна, двічі клацніть Системна криптографія: використовувати FIPS-сумісні алгоритми для шифрування, хешування та підписування, а потім натисніть кнопку Вимкнено.

Увага!

Зміна набуває чинності після повторного застосування локальної безпекової політики. Увімкніть її, перезапустіть браузер.

КриптоПро TLS SSL

Оновити КриптоПро

Одним із варіантів вирішення проблеми є оновлення КриптоПро, а також налаштування ресурсу. В даному випадку це робота з електронними платежами. Перейдіть на центр посвідчення . Як ресурс виберіть Електронні торгові майданчики.

Після запуску автоматичного налаштування робочого місця залишиться тільки дочекатися завершення процедури, після чого перезавантажити браузер. Якщо потрібно ввести або вибрати адресу ресурсу, вибирайте потрібну. Також, після закінчення налаштування, можливо, потрібно перезавантажити комп'ютер.

При переході на будь-який державний або службовий портал (наприклад, «ЕІС») користувач може раптово зіткнутися з помилкою «Не вдається безпечно підключитися до цієї сторінки. Можливо, на сайті використовуються застарілі або ненадійні параметри безпеки протоколу TLS». Ця проблема має досить поширений характер, і фіксується протягом кількох років у різних категорій користувачів. Давайте розберемося з суттю цієї помилки, і варіантами її розв'язання.

Як відомо, безпека підключення користувачів до мережевих ресурсів забезпечується рахунок використання SSL/TSL – криптографічних протоколів, відповідальних за захищену передачу даних у мережі Інтернет. Вони використовують симетричне та асиметричне шифрування, коди автентичності повідомлень та інші спеціальні можливості, що дозволяють зберігати конфіденційність вашого підключення, перешкоджаючи розшифровці сесії з боку третіх осіб.

Якщо під час підключення до будь-якого сайту браузер визначає, що на ресурсі використовуються некоректні параметри протоколу безпеки SSL/TSL, то користувач отримує вказане вище повідомлення, а доступ до сайту може бути заблокований.

Часто ситуація з протоколом TLS виникає на браузері IE – популярному інструменті роботи зі спеціальними державними порталами, пов'язаними з різними формами звітності. Робота з такими порталами вимагає обов'язкової наявності браузера Internet Explorer, і саме на ньому проблема виникає особливо часто.

Причини помилки "Можливо, на сайті використовуються застарілі або ненадійні параметри безпеки протоколу TLS" можуть бути такими:

Як виправити дисфункцію: Використовуються ненадійні параметри безпеки TLS

Вирішення проблеми може полягати у способах, описаних нижче. Але перед їх описом рекомендую просто перезавантажити ваш ПК - за всієї тривіальності цей спосіб часто виявляється досить ефективним.

Якщо ж він не допоміг, тоді виконайте таке:

• Тимчасово вимкніть ваш антивірус. У багатьох випадках антивірус блокував доступ до ненадійним (за його оцінками) сайтам. Тимчасово вимкніть антивірусну програму, або відключіть перевірку сертифікатів у налаштуваннях антивіруса (наприклад, «Не перевіряти захищені з'єднання» на антивірусі Касперського);
• Встановіть на ваш комп'ютер найсвіжішу версію програми «КриптоПро» (у разі попередньої роботи з цієї програми). Застаріла версія продукту може спричинити помилку відсутності безпечного підключення до сторінки;
• Змініть налаштування вашого IE. Перейдіть в «Властивості браузера», виберіть вкладку «Безпека», далі клацніть на «Надійні сайти» (там вже має бути внесена адреса вашого порталу, якщо ні, тоді внесіть). Внизу зніміть галочку з опції "увімкнути захищений режим".

  

  Потім натисніть кнопку «Сайти» вище, і зніміть галочку з опції «Для всіх сайтів цієї зони…». Натисніть на "Ок" і спробуйте перейти на проблемний сайт.

• Видаліть куки браузера IE. Запустіть браузер і натисніть кнопку Alt, щоб відобразити меню. Виберіть вкладку "Сервіс" - "Видалити журнал браузера", поставте галочку (за відсутності) на опції "Файли cookie...", після чого натисніть на "Видалити";

  

• Вимкніть використання VPN-програм (за наявності);
• Спробуйте використати інший браузер для переходу на проблемний ресурс (у разі, якщо ви не зобов'язані використовувати конкретний браузер);
• Перевірте ваш ПК на наявність вірусів (допоможе, наприклад, випробуваний "Доктор Веб Кюрейт");
• Відключіть у БІОС опцію «Secure Boot». Незважаючи на певну нестандартність цієї поради, він допоміг далеко не одному користувачеві позбутися помилки «застарілі або ненадійні параметри TLS».

  

  Деактивуйте в Біосі опцію «Secure Boot»

Висновок

Причиною помилки «Можливо, на сайті використовуються застарілі або ненадійні параметри безпеки протоколу TLS» часто є локальний антивірус ПК, який з певних причин блокує доступ до потрібного інтернет-порталу. При виникненні проблемної ситуації рекомендується насамперед відключити ваш антивірус, щоб переконатися, що він не викликає цієї проблеми. Якщо помилка продовжує повторюватися, тоді рекомендую перейти до реалізації інших порад, описаних нижче, щоб дозволити вирішити проблему ненадійних параметрів безпеки протоколу TSL на вашому ПК.

Вконтакте