Головна
Провайдери
Захист Windows від вразливості у SSL v3. Переконайтеся, що протоколи ssl та tls включені Як увімкнути протокол tls internet explorer

Захист Windows від вразливості у SSL v3. Переконайтеся, що протоколи ssl та tls включені Як увімкнути протокол tls internet explorer

У жовтні інженери Google опублікували інформацію про критичну вразливість SSL версії 3.0, що отримала кумедну назву POODLE(Padding Oracle On Downgraded Legacy Encryption або пудель 🙂). Вразливість дозволяє зловмиснику отримати доступ до інформації, зашифрованої протоколом SSLv3, за допомогою атаки «man in the middle». Вразливості піддаються як сервери, і клієнти, які можуть з'єднуватися за протоколом SSLv3.

Загалом ситуація не дивна, т.к. протоколу SSL 3.0, вперше представленого ще у 1996 році, вже виповнилося 18 років і морально він уже застарів. У більшості практичних завдань його замінив криптографічний протокол. TLS(версій 1.0, 1.1 та 1.2).

Для захисту від уразливості POODLE рекомендується повністю відключити підтримку SSLv3 як на стороні клієнта, так і на стороні сервераі надалі використовувати лише TLS. Для користувачів застарілого ПЗ (наприклад, які використовують IIS 6 на Windows XP) це означає, що вони більше не зможуть переглядати сторінки HTTPS і використовувати інші SSL-сервіси. У тому випадку, якщо підтримка SSLv3 не відключена повністю, а за замовчуванням пропонується використовується сильніше шифрування, уразливість POODLE все одно матиме місце. Пов'язано це з особливостями вибору та узгодження протоколу шифрування між клієнтом та сервером, т.к. при виявленні несправностей у використанні TLS відбувається автоматичний перехід на SSL.

Рекомендуємо перевірити всі свої сервіси, які можуть використовувати SSL/TLS у будь-якому вигляді та вимкнути підтримку SSLv3. Перевірити свій веб-сервер на наявність вразливості можна за допомогою онлайн-тесту, наприклад, тут: http://poodlebleed.com/ .

Примітка. Потрібно чітко розуміти, що відключення SSL v3 на рівні всієї системи буде працювати тільки для програмного забезпечення, яке використовує системні API для SSL-шифрування (Internet Explorer, IIS, SQL NLA, RRAS та ін.). Програми, які використовують власні крипто засоби (Firefox, Opera тощо), потрібно оновити та налаштувати індивідуально.

Відключаємо SSLv3 у Windows на рівні системи

У Windows керування підтримкою протоколів SSL/TLS здійснюється через реєстр.

У цьому прикладі ми покажемо, як повністю на рівні системи (як на рівні клієнта, так і сервера) відключити SSLv3 у Windows Server 2012 R2:

Відключаємо SSLv2 (Windows 2008/Server і нижче)

У ОС, що передують Windows 7 / Windows Server 2008 R2, за замовчуванням використовується ще менш безпечний і застарілий протокол SSL v2, який також слід відключити з міркувань безпеки (у свіжіших версіях Windows, SSLv2 на рівні клієнта вимкнено за замовчуванням і використовується лише SSLv3 та TLS1.0). Для відключення SSLv2 потрібно повторити описану вище процедуру тільки для розділу реєстру SSL 2.0.

У Windows 2008/2012 SSLv2 на рівні клієнта вимкнено за замовчуванням.

Включаємо TLS 1.1 та TLS 1.2 у Windows Server 2008 R2 та вище

Windows Server 2008 R2 / Windows 7 і вище підтримують алгоритми шифрування TLS 1.1 та TLS 1.2, але ці протоколи за замовчуванням відключені. Увімкнути підтримку TLS 1.1 і TLS 1.2 у цих версіях Windows можна за схожим сценарієм


Утиліта для керування системними криптографічними протоколами у Windows Server

Існує безкоштовна утиліта IIS Crypto , що дозволяє зручно керувати параметрами криптографічних протоколів у Windows Server 2003, 2008 та 2012. За допомогою даної утиліти включити або вимкнути будь-який протокол шифрування можна всього в два кліки.

У програмі вже є кілька шаблонів, що дозволяють швидко застосувати налаштування для різних варіантів налаштувань безпеки.

При переході на будь-який державний або службовий портал (наприклад, «ЕІС») користувач може раптово зіткнутися з помилкою «Не вдається безпечно підключитися до цієї сторінки. Можливо, на сайті використовуються застарілі або ненадійні параметри безпеки протоколу TLS. Ця проблема має досить поширений характер, і фіксується протягом кількох років у різних категорій користувачів. Давайте розберемося з суттю цієї помилки, і варіантами її розв'язання.

Як відомо, безпека підключення користувачів до мережевих ресурсів забезпечується рахунок використання SSL/TSL – криптографічних протоколів, відповідальних за захищену передачу даних у мережі Інтернет. Вони використовують симетричне та асиметричне шифрування, коди автентичності повідомлень та інші спеціальні можливості, що дозволяють зберігати конфіденційність вашого підключення, перешкоджаючи розшифровці сесії з боку третіх осіб.

Якщо під час підключення до будь-якого сайту браузер визначає, що на ресурсі використовуються некоректні параметри протоколу безпеки SSL/TSL, користувач отримує вказане вище повідомлення, а доступ до сайту може бути заблокований.

Часто ситуація з протоколом TLS виникає на браузері IE – популярному інструменті роботи зі спеціальними державними порталами, пов'язаними з різними формами звітності. Робота з такими порталами вимагає обов'язкової наявності браузера Internet Explorer, і саме на ньому проблема виникає особливо часто.

Причини помилки "Можливо, на сайті використовуються застарілі або ненадійні параметри безпеки протоколу TLS" можуть бути такими:


Як виправити дисфункцію: Використовуються ненадійні параметри безпеки TLS

Вирішення проблеми може полягати у способах, описаних нижче. Але перед їх описом рекомендую просто перезавантажити ваш ПК - при всій тривіальності цей спосіб часто виявляється досить ефективним.

Якщо ж він не допоміг, виконайте таке:

  • Тимчасово вимкніть ваш антивірус. У багатьох випадках антивірус блокував доступ до ненадійним (за його оцінками) сайтам. Тимчасово вимкніть антивірусну програму, або відключіть перевірку сертифікатів у налаштуваннях антивірусу (наприклад, «Не перевіряти захищені з'єднання» на антивірусі Касперського);
  • Встановіть на ваш комп'ютер найсвіжішу версію програми "КриптоПро" (у разі попередньої роботи з цієї програми). Застаріла версія продукту може спричинити помилку відсутності безпечного підключення до сторінки;
  • Змініть налаштування вашого IE. Перейдіть в «Властивості браузера», виберіть вкладку «Безпека», далі клацніть на «Надійні сайти» (там вже має бути внесена адреса вашого порталу, якщо ні, тоді внесіть). Внизу зніміть галочку з опції "увімкнути захищений режим".

    Потім натисніть кнопку «Сайти» вище, і зніміть галочку з опції «Для всіх сайтів цієї зони…». Натисніть на «Ок» і спробуйте перейти на проблемний сайт.

  • Видаліть cookie браузера IE. Запустіть браузер і натисніть кнопку Alt, щоб відобразити меню. Виберіть вкладку "Сервіс" - "Видалити журнал браузера", поставте галочку (за відсутності) на опції "Файли cookie…", після чого натисніть на "Видалити";

  • Вимкніть використання VPN-програм (за наявності таких);
  • Спробуйте використати інший браузер для переходу на проблемний ресурс (у випадку, якщо ви не повинні використовувати будь-який конкретний браузер);
  • Перевірте ваш ПК на наявність вірусів (допоможе, наприклад, випробуваний "Доктор Веб Кюрейт");
  • Відключіть в Біосі опцію «Secure Boot». Незважаючи на певну нестандартність цієї поради, він допоміг далеко не одному користувачеві позбутися помилки «застарілі або ненадійні параметри TLS».

    Деактивуйте в Біосі опцію «Secure Boot»

Висновок

Причиною помилки «Можливо, на сайті використовуються застарілі або ненадійні параметри безпеки протоколу TLS» часто є локальний антивірус ПК, який з певних причин блокує доступ до потрібного інтернет-порталу. При виникненні проблемної ситуації рекомендується насамперед відключити ваш антивірус, щоб переконатися, що він не викликає проблему. Якщо помилка продовжує повторюватися, тоді рекомендую перейти до реалізації інших порад, описаних нижче, щоб дозволити вирішити проблему ненадійних параметрів безпеки протоколу TSL на вашому ПК.

Вконтакте

Всі наші міркування будуються на тому, що використовується ОС Windows XP або пізніша (Vista, 7 або 8), на які встановлені всі належні оновлення та латки. Тепер ще одна умова: ми говоримо про останні на сьогодні версії браузерів, а не «сферичного Огнелісу у вакуумі».

Отже, налаштовуємо браузери використання актуальних версій протоколу TLS і використання його застарілих версій і SSL взагалі. У всякому разі, наскільки це можливо теоретично.

А теорія нам каже, що хоча Internet Explorer вже з версії 8 підтримує TLS 1.1 та 1.2, під Windows XP та Vista ми його до цього не примусимо. Клацаємо: Сервіс/Властивості оглядача/Додатково та у розділі «Безпека» знаходимо: SSL 2.0, SSL 3.0, TLS 1.0... знайшли ще щось? Вітаю, у вас буде TLS 1.1/1.2! Не знайшли – у вас Windows XP або Vista, і в Редмонді вас вважають відсталим.

Так ось, галочки з усіх SSL - знімаємо, на всі наявні TLS - ставимо. Якщо доступний тільки TLS 1.0 - значить, так тому і бути, якщо більш актуальні версії - краще вибрати тільки їх, а з TLS 1.0 зняти галочку (і не дивуватися потім, що частина сайтів не відкриваються за HTTPS). Після цього натискаємо кнопки «Застосувати», «ОК».

З Opera простіше – вона влаштовує нам справжній бенкет з різних версій протоколів: Інструменти/Загальні налаштування/Розширені/Безпека/Прото коли безпеки. Що ми бачимо? Весь набір, з якого залишаємо галочки лише на TLS 1.1 та TLS 1.2, після чого тиснемо кнопку «Докладніше» і там прибираємо галочки з усіх рядків, крім тих, що починаються з «256 bit AES» – вони наприкінці. На початку списку є рядок «256 bit AES ( Anonymous DH/SHA-256), з неї теж знімаємо галку. Тиснемо «ОК» і радіємо захищеності.

Втім, Opera має одну дивну властивість: якщо включений TLS 1.0, то при необхідності встановити захищене з'єднання вона відразу використовує саме цю версію протоколу, незалежно від підтримки сайтом більш актуальних. Типу, навіщо напружуватися - і так все чудово, все захищено. При включенні тільки TLS 1.1 і 1.2 спочатку буде спроба використання більш досконалої версії, і тільки якщо вона не підтримується сайтом, браузер переключиться на версію 1.1.

А ось сферичний Огнеліс Firefox нас зовсім не порадує: Інструменти/Налаштування/Додатково/Шифрування: все, що ми можемо - це відключити SSL, TLS доступний тільки у версії 1.0, робити нічого - його і залишаємо з галочкою.

Втім, погане пізнається у порівнянні: Chrome та Safari взагалі не містять налаштувань, який протокол шифрування використовувати. Наскільки відомо, Safari не підтримує TLS актуальніших версій, ніж 1.0 у версіях під ОС Windows, а оскільки випуск нових його версій під цю ОС припинено, то й не буде.

Chrome, як відомо, підтримує TLS 1.1, але, як і у випадку з Safari, відмовитися від використання SSL ми не можемо. Відключити в Chrome TLS 1.0 теж ніяк. А ось з реальним використанням TLS 1.1 – велике питання: його спочатку включили, потім вимкнули через проблеми в роботі і, наскільки можна судити, поки що не включили. Тобто, підтримка є, але вона вимкнена, і включити її назад самому користувачеві - ніяк. Та сама історія і з Firefox – підтримка TLS 1.1 у ньому, насправді, є, але користувачеві вона поки що недоступна.

Резюме з наведеного вище багатобуквію. Чим взагалі загрожує використання застарілих версій протоколів шифрування? Тим, що хтось сторонній влізе у ваше захищене з'єднання з сайтом та отримає доступ до всієї інформації «туди» та «звідти». У практичному аспекті – отримає повний доступ до скриньки електронної пошти, облікового запису в системі клієнт-банк тощо.

Випадково влізти в чуже захищене з'єднання навряд чи вдасться, ми говоримо лише про зловмисні дії. Якщо ймовірність таких дій низька, або інформація, що передається через захищене з'єднання, не становить особливої ​​цінності, то можна не морочитися і користуватися браузерами, що підтримують тільки TLS 1.0.

В іншому випадку – вибору немає: тільки Opera і тільки TLS 1.2 (TLS 1.1 – це лише удосконалення TLS 1.0, що частково успадкувало його проблеми з безпекою). Втім, наші улюблені сайти можуть не підтримувати TLS 1.2:(

Якщо ви зіткнулися з проблемою, коли виникає помилка доступу до певного сайту, при цьому в браузері з'являється повідомлення , цьому є розумне пояснення. Причини та способи усунення проблеми наведемо у цій статті.

Протокол SSL TLS

Користувачі бюджетних організацій, та й не тільки бюджетних, діяльність яких пов'язана з фінансами, у взаємодії з фінансовими організаціями, наприклад, Мінфіном, казначейством тощо, всі свої операції проводять виключно за захищеним протоколом SSL. Здебільшого у своїй роботі вони використовують браузер Internet Explorer. У деяких випадках – Mozilla Firefox.

Помилка SSL

Основну увагу при проведенні цих операцій та й роботі в цілому приділено системі захисту: сертифікати, електронні підписи. Для роботи використовується програмне забезпечення КриптоПро актуальної версії. Що стосується проблеми з протоколами SSL та TLS, якщо помилка SSLвиникла, найімовірніше відсутня підтримка цього протоколу.

Помилка TLS

Помилка TLSу багатьох випадках може вказувати на відсутність підтримки протоколу. Але... подивимося, що можна зробити.

Підтримка протоколів SSL та TLS

Отже, під час використання Microsoft Internet Explorer, щоб відвідати веб-сайт із захищеним протоколом SSL, у рядку заголовка відображається Переконайтеся, що протоколи ssl та tls включені. Перш за все, необхідно включити підтримку протоколу TLS 1.0 в Internet Explorer.

Якщо ви відвідуєте веб-сайт, на якому працює Internet Information Services 4.0 або вище, налаштування Internet Explorer для підтримки TLS 1.0 допомагає захистити ваше з'єднання. Звичайно, за умови, що віддалений веб-сервер, який ви намагаєтеся використовувати, підтримує цей протокол.

Для цього в меню Сервісвиберіть команду Властивості оглядача.

На вкладці Додатковов розділі Безпека, переконайтеся, що вибрані наступні прапорці:

  • Використати SSL 2.0
  • Використання SSL 3.0
  • Використання SSL 1.0

Натисніть кнопку Застосувати , а потім ОК . Перезавантажте браузер .

Після включення TLS 1.0, спробуйте ще раз відвідати веб-сайт.

Системна політика безпеки

Якщо, як і раніше, виникають помилки з SSL та TLSЯкщо ви все ще не можете використовувати SSL, віддалений веб-сервер, ймовірно, не підтримує TLS 1.0. У цьому випадку необхідно відключити системну політику, яка вимагає FIPS-сумісні алгоритми.

Щоб це зробити, Панелі керуванняВиберіть Адміністрація, а потім двічі клацніть піктограму Локальна політика безпеки.

У локальних параметрах безпеки розгорніть вузол Локальні політики, а потім натисніть кнопку Параметри безпеки.

Відповідно до політики у правій частині вікна, двічі клацніть Системна криптографія: використовувати FIPS-сумісні алгоритми для шифрування, хешування та підписування, а потім натисніть кнопку Вимкнено.

Увага!

Зміна набуває чинності після повторного застосування локальної безпекової політики. Увімкніть її, перезапустіть браузер.

КриптоПро TLS SSL

Оновити КриптоПро

Одним з варіантів вирішення проблеми є оновлення КриптоПро, а також настроювання ресурсу. В даному випадку це робота з електронними платежами. Перейдіть на центр . Як ресурс виберіть Електронні торгові майданчики.

Після запуску автоматичного налаштування робочого місця залишиться тільки дочекатися завершення процедури, після чого перезавантажити браузер. Якщо необхідно ввести або вибрати адресу ресурсу, вибирайте потрібну. Також, після закінчення налаштування, можливо, потрібно перезавантажити комп'ютер.

Код цієї помилки зазвичай з'являється на екрані при переході на службовий або державний web-сайт. Яскравий приклад – офіційний портал ЄІС. Не виключено, що причиною збою стали застарілі або небезпечні параметри TSL. Це дуже поширена проблема. Користувачі стикаються з нею протягом тривалого часу. Зараз розберемося, що саме спричинило появу даної помилки і як її усунути.

Безпека підключення до веб-сайту забезпечується за допомогою спеціальних протоколів шифрування – SSL і TSL. Вони забезпечують захист передачі. Протоколи побудовані на використанні симетричних та асиметричних інструментів шифрування. Також використовуються коди автентичності повідомлень та інші опції. У сукупності ці заходи дозволяють зберегти анонімність підключення, тому треті особи позбавляються можливості розшифрувати сесію.

Коли в браузері з'являється помилка, що повідомляє про проблеми з протоколом TSL, це означає, що web-сайт використовує некоректні параметри. Отже, підключення справді не є безпечним. Доступ до порталу автоматично блокується.

Найчастіше помилково стикаються користувачі, що працюють через браузер Internet Explorer. Існує кілька причин появи цього збою, а саме:

  • антивірус блокує підключення до веб-сайту;
  • застаріла версія утиліти "КріптоПро";
  • підключення до порталу здійснюється через VPN;
  • некоректні установки браузера Internet Explorer;
  • у BIOS активована функція SecureBoot;
  • на комп'ютері є заражені файли, віруси.

З причин появи помилки розібралися. Саме час проаналізувати можливі способи вирішення проблеми.

Інструкція з усунення помилки

Якщо помилка нікуди не зникла, саме час випробувати альтернативні способи:

Практика показує, що кожна з перелічених порад може усунути проблему. Тому просто дотримуйтесь інструкцій.

Висновок

Експерти запевняють, що програмний збій, що розглядається, з'являється через антивірус, установлений на комп'ютері користувача. З якихось причин програма блокує доступ до веб-сайту. Тому спочатку просто відключіть антивірус, змініть налаштування перевірки сертифікатів. Цілком імовірно, що це вирішить проблему. Якщо помилка нікуди не зникла, тоді спробуйте кожну із запропонованих вище порад. В результаті проблема безпеки протоколу TSL буде абсолютно точно вирішена.

Провайдери

Вам також може сподобатися