Applies ToWin 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10 Enterprise Multi-Session, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 on Surface Hub Windows 10, version 21H1, all editions Windows 10, version 21H2, all editions

Yhteenveto

Transport Layer Security (TLS) 1.0 ja 1.1 ovat suojausprotokollia salauskanavien luomiseen tietokoneverkkojen kautta. Microsoft on tukenut niitä Windows XP:stä ja Windows Server 2003:sta lähtien. Sääntelyvaatimukset ovat kuitenkin muuttumassa. TLS 1.0:ssa on myös uusia tietoturvapuutuksia. Microsoft siis suosittelee TLS 1.0- ja 1.1-riippuvuuksien poistamista. Suosittelemme myös, että poistat TLS 1.0:n ja 1.1:n käytöstä käyttöjärjestelmän tasolla mahdollisuuksien mukaan. Lisätietoja on artikkelissa TLS 1.0:n ja 1.1:n poistaminen käytöstä. 20. syyskuuta 2022 julkaistussa esikatselupäivityksessä poistamme TLS 1.0:n ja 1.1:n käytöstä oletusarvoisesti winhttp- ja wininet-sovellusten osalta. Tämä on osa jatkuvaa työtä. Tämän artikkelin avulla voit ottaa ne uudelleen käyttöön. Nämä muutokset näkyvät 20. syyskuuta 2022 tai sen jälkeen julkaistujen Windows-päivitysten asentamisen jälkeen.  

Toiminta käytettäessä TLS 1.0- ja 1.1-linkkejä selaimessa

20. syyskuuta 2022 jälkeen näyttöön tulee viesti, kun selain avaa sivuston, joka käyttää TLS 1.0:aa tai 1.1:tä. Katso kuva 1. Viestissä ilmoitetaan, että sivusto käyttää vanhentunutta tai epäluotettavaa TLS-protokollaa. Voit korjata tämän päivittämällä TLS-protokollan TLS 1.2:een tai uudempaa versioon. Jos tämä ei ole mahdollista, voit ottaa TLS:n käyttöön kohdassa TLS-version 1.1 käyttöönotto ja alla kuvatulla tavalla.

Internet Explorer -ikkuna, kun TLS 1.0- ja 1.1-linkkiä käytetään

Kuva 1: Selainikkuna, kun TLS 1.0- ja 1.1-verkkosivuja käytetään

Toiminta käytettäessä TLS 1.0- ja 1.1-linkkejä winhttp-sovelluksissa

Päivityksen jälkeen winhttps:een perustuvat sovellukset saattavat epäonnistua. Virhesanoma on "ERROR_WINHTTP_SECURE_FAILURE WinHttpSendRequest-toiminnon suorittamisen aikana".

Toiminta käytettäessä TLS 1.0- ja 1.1-linkkejä mukautetuissa käyttöliittymäsovelluksissa winhttp- tai wininet-toiminnon perusteella

Kun sovellus yrittää luoda yhteyden TLS 1.1:n ja sen alla olevien ohjeiden avulla, yhteys saattaa näyttää epäonnistuvan. Kun suljet sovelluksen tai se lakkaa toimimasta, Ohjelman yhteensopivuusavustaja (PCA) -valintaikkuna tulee näkyviin kuvan 2 mukaisesti.

Ohjelman yhteensopivuusavustaja -ponnahdusikkuna sovelluksen sulkemisen jälkeen

Kuva 2: Ohjelman yhteensopivuusavustaja -valintaikkuna sovelluksen sulkemisen jälkeen

PCA-valintaikkunassa lukee "Tämä ohjelma ei ehkä toimi oikein". Sen alla on kaksi vaihtoehtoa:

  • Ohjelman suorittaminen yhteensopivuusasetusten avulla

  • Tämä ohjelma toimi oikein

Ohjelman suorittaminen yhteensopivuusasetusten avulla

Kun valitset tämän asetuksen, sovellus avautuu uudelleen. Nyt kaikki linkit, jotka käyttävät TLS 1.0:aa ja 1.1:tä, toimivat oikein. Sen jälkeen PCA-valintaikkuna ei tule näkyviin. Rekisterieditori lisää merkinnät seuraaviin polkuihin:

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers. 

Jos valitsit tämän asetuksen vahingossa, voit poistaa nämä merkinnät. Jos poistat ne, näet PCA-valintaikkunan, kun avaat sovelluksen seuraavan kerran.

Luettelo ohjelmista, jotka on suoritettava yhteensopivuusasetusten avulla

Kuva 3: Luettelo ohjelmista, joiden pitäisi toimia yhteensopivuusasetusten avulla

Tämä ohjelma toimi oikein

Kun valitset tämän asetuksen, sovellus sulkeutuu normaalisti. Kun seuraavan kerran avaat sovelluksen uudelleen, PCA-valintaikkunaa ei näy. Järjestelmä estää kaiken TLS 1.0- ja 1.1-sisällön. Rekisterieditori lisää seuraavan merkinnän polkuun Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store. Katso kuva 4. Jos valitsit tämän asetuksen vahingossa, voit poistaa tämän merkinnän. Jos poistat merkinnän, näet PCA-valintaikkunan, kun avaat sovelluksen seuraavan kerran.

Merkintä rekisterieditorissa määrittämällä, että sovellus toimi oikein

Kuva 4: Rekisterieditorin merkintä, jossa ilmoitetaan, että sovellus toimi oikein

Tärkeää Vanhat TLS-protokollat ovat käytössä vain tietyissä sovelluksissa. Tämä pitää paikkansa, vaikka ne on poistettu käytöstä koko järjestelmän asetuksissa.

Ota käyttöön TLS-versio 1.1 ja sitä uudemmassa (wininetin ja Internet Explorerin asetukset)

Emme suosittele TLS 1.1:n ja sen alla olevan ottaminen käyttöön, koska niitä ei enää pidetä turvallisina. He ovat alttiita erilaisille hyökkäyksille, kuten POODLE-hyökkäykselle. Ennen kuin otat TLS 1.1:n käyttöön, tee jompikumpi seuraavista:

  • Tarkista, onko sovelluksen uudempi versio saatavilla.

  • Pyydä sovelluskehittäjää tekemään määritysmuutoksia sovelluksessa, jotta se voi poistaa riippuvuuden TLS 1.1:stä ja sen alapuolella.

Jos mikään ratkaisuista ei toimi, voit ottaa vanhat TLS-protokollat käyttöön järjestelmänlaajuisissa asetuksissa kahdella tavalla:

  • Internet-asetukset

  • Ryhmäkäytäntöeditori

Internet-asetukset

Avaa Internet-asetukset kirjoittamalla Internet-asetukset tehtäväpalkin hakuruutuun. Voit myös valita Muuta asetuksia kuvassa 1 näkyvästä valintaikkunasta. Vieritä Lisäasetukset-välilehdenAsetukset-paneelissa alaspäin. Siellä voit ottaa TLS-protokollat käyttöön tai poistaa ne käytöstä.

Internet-asetukset-ikkuna

Kuva 5: Internet-ominaisuudet -valintaikkuna

ryhmäkäytäntö editori

Avaa ryhmäkäytäntö editori kirjoittamalla tehtäväpalkin hakuruutuun gpedit.msc. Näkyviin tulee kuva 6:n kaltainen ikkuna. 

Ryhmäkäytäntöeditori-ikkuna

Kuva 6: ryhmäkäytäntö Editori-ikkuna

  1. Siirry kohtaan Paikallisen tietokoneen käytäntö > (Tietokoneasetukset tai Käyttäjäasetukset) > hallintatemppelit > Windowsin osat > Internet Explorer > Internet Ohjauspaneeli > Lisäasetukset-sivu > Poista salaustuki käytöstä. Katso kuva 7.

  2. Kaksoisnapsauta Poista salauksen tuki käytöstä.

    GPedit.msc-salauksen tuen poistaminen käytöstä -polku

    Kuva 7: Salaustuen poistaminen käytöstä ryhmäkäytäntö editorissa

  3. Valitse Käytössä-vaihtoehto . Valitse sitten avattavasta luettelosta TLS-versio, jonka haluat ottaa käyttöön kuvassa 8 esitetyllä tavalla.

    Poista salaustuki käytöstä, kun avattavassa valikossa näkyy erilaisia vaihtoehtoja

    Kuva 8: Ota käyttöön Poista salauksen tuki ja avattava luettelo käytöstä

Kun otat käytännön käyttöön ryhmäkäytäntö editorissa, et voi muuttaa sitä Internet-asetuksissa. Jos valitset esimerkiksi Käytä SSL3.0:aa ja TLS 1.0:aa, kaikki muut vaihtoehdot eivät ole käytettävissä Internet-asetuksissa. Katso kuva 9. Et voi muuttaa mitään Internet-asetusten asetuksia, jos otat käyttöön poista salauksen tuen käytöstä ryhmäkäytäntö Editorissa.

Internet-asetukset, joissa näkyvät harmaat SSL- ja TLS-asetukset

Kuva 9: Internet-asetukset, joissa näkyvät ei-käytettävissä olevat SSL- ja TLS-asetukset

Ota käyttöön TLS-versio 1.1 ja sitä uudemmassa versiossa (winhttp settings)

Katso päivitys, jos haluat ottaa TLS 1.1:n ja TLS 1.2:n käyttöön Windowsin WinHTTP:n oletusarvoisesti suojattuina protokollina.

Tärkeät rekisteripolut (wininetin ja Internet Explorerin asetukset)

  • Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

    • Täältä löydät SecureProtocols-protokollat, joihin tallennetaan tällä hetkellä käytössä olevien protokollien arvo, jos käytät ryhmäkäytäntö-editoria.

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings

    • Täältä löydät SecureProtocols-protokollat, jotka tallentavat tällä hetkellä käytössä olevien protokollien arvon, jos käytät Internet-asetuksia.

  • ryhmäkäytäntö SecureProtocols on etusijalla Internet-asetusten määrittämään asetuksiin nähden.

Epävarman TLS-varakuvan ottaminen käyttöön

Yllä olevat muutokset mahdollistavat TLS 1.0:n ja TLS 1.1:n. Ne eivät kuitenkaan ota käyttöön TLS-varaumaa. Jotta voit ottaa TLS-varatoiminnon käyttöön, määritä EnableInsecureTlsFallback arvoksi 1 alla olevien polkujen alla olevassa rekisterissä.

  • Asetusten muuttaminen: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp

  • Käytännön määrittäminen: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

Jos EnableInsecureTlsFallback ei ole käytettävissä, sinun on luotava uusi DWORD-merkintä ja määritettävä sen arvoksi 1.

Tärkeät rekisteripolut

  1. ForceDefaultSecureProtocols  

    • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp 

    • Se on oletusarvoisesti EPÄTOSI. Jos määrität arvon, joka ei ole nolla, sovellukset eivät voi määrittää mukautettuja protokollia winhttp-vaihtoehdon avulla.

  2. EnableInsecureTlsFallback 

    • Asetusten muuttaminen: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp

    • Käytännön määrittäminen: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

    • Se on oletusarvoisesti EPÄTOSI. Jos määrität arvon, joka ei ole nolla, sovellukset voivat palata epävarmoihin protokolliin (TLS1.0 ja 1.1), jos kättely epäonnistuu suojatuissa protokollissa (tls1.2 ja sitä uudempi).

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.

Osallistumalla yhteisöihin voit kysyä kysymyksiä ja vastata niihin, antaa palautetta sekä kuulla lisää asiantuntijoilta, joilla on runsaasti tietoa.