Yhteenveto
Transport Layer Security (TLS) 1.0 ja 1.1 ovat suojausprotokollia salauskanavien luomiseen tietokoneverkkojen kautta. Microsoft on tukenut niitä Windows XP:stä ja Windows Server 2003:sta lähtien. Sääntelyvaatimukset ovat kuitenkin muuttumassa. TLS 1.0:ssa on myös uusia tietoturvapuutuksia. Microsoft siis suosittelee TLS 1.0- ja 1.1-riippuvuuksien poistamista. Suosittelemme myös, että poistat TLS 1.0:n ja 1.1:n käytöstä käyttöjärjestelmän tasolla mahdollisuuksien mukaan. Lisätietoja on artikkelissa TLS 1.0:n ja 1.1:n poistaminen käytöstä. 20. syyskuuta 2022 julkaistussa esikatselupäivityksessä poistamme TLS 1.0:n ja 1.1:n käytöstä oletusarvoisesti winhttp- ja wininet-sovellusten osalta. Tämä on osa jatkuvaa työtä. Tämän artikkelin avulla voit ottaa ne uudelleen käyttöön. Nämä muutokset näkyvät 20. syyskuuta 2022 tai sen jälkeen julkaistujen Windows-päivitysten asentamisen jälkeen.
Toiminta käytettäessä TLS 1.0- ja 1.1-linkkejä selaimessa
20. syyskuuta 2022 jälkeen näyttöön tulee viesti, kun selain avaa sivuston, joka käyttää TLS 1.0:aa tai 1.1:tä. Katso kuva 1. Viestissä ilmoitetaan, että sivusto käyttää vanhentunutta tai epäluotettavaa TLS-protokollaa. Voit korjata tämän päivittämällä TLS-protokollan TLS 1.2:een tai uudempaa versioon. Jos tämä ei ole mahdollista, voit ottaa TLS:n käyttöön kohdassa TLS-version 1.1 käyttöönotto ja alla kuvatulla tavalla.
Kuva 1: Selainikkuna, kun TLS 1.0- ja 1.1-verkkosivuja käytetään
Toiminta käytettäessä TLS 1.0- ja 1.1-linkkejä winhttp-sovelluksissa
Päivityksen jälkeen winhttps:een perustuvat sovellukset saattavat epäonnistua. Virhesanoma on "ERROR_WINHTTP_SECURE_FAILURE WinHttpSendRequest-toiminnon suorittamisen aikana".
Toiminta käytettäessä TLS 1.0- ja 1.1-linkkejä mukautetuissa käyttöliittymäsovelluksissa winhttp- tai wininet-toiminnon perusteella
Kun sovellus yrittää luoda yhteyden TLS 1.1:n ja sen alla olevien ohjeiden avulla, yhteys saattaa näyttää epäonnistuvan. Kun suljet sovelluksen tai se lakkaa toimimasta, Ohjelman yhteensopivuusavustaja (PCA) -valintaikkuna tulee näkyviin kuvan 2 mukaisesti.
Kuva 2: Ohjelman yhteensopivuusavustaja -valintaikkuna sovelluksen sulkemisen jälkeen
PCA-valintaikkunassa lukee "Tämä ohjelma ei ehkä toimi oikein". Sen alla on kaksi vaihtoehtoa:
-
Ohjelman suorittaminen yhteensopivuusasetusten avulla
-
Tämä ohjelma toimi oikein
Ohjelman suorittaminen yhteensopivuusasetusten avulla
Kun valitset tämän asetuksen, sovellus avautuu uudelleen. Nyt kaikki linkit, jotka käyttävät TLS 1.0:aa ja 1.1:tä, toimivat oikein. Sen jälkeen PCA-valintaikkuna ei tule näkyviin. Rekisterieditori lisää merkinnät seuraaviin polkuihin:
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store.
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers.
Jos valitsit tämän asetuksen vahingossa, voit poistaa nämä merkinnät. Jos poistat ne, näet PCA-valintaikkunan, kun avaat sovelluksen seuraavan kerran.
Kuva 3: Luettelo ohjelmista, joiden pitäisi toimia yhteensopivuusasetusten avulla
Tämä ohjelma toimi oikein
Kun valitset tämän asetuksen, sovellus sulkeutuu normaalisti. Kun seuraavan kerran avaat sovelluksen uudelleen, PCA-valintaikkunaa ei näy. Järjestelmä estää kaiken TLS 1.0- ja 1.1-sisällön. Rekisterieditori lisää seuraavan merkinnän polkuun Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store. Katso kuva 4. Jos valitsit tämän asetuksen vahingossa, voit poistaa tämän merkinnän. Jos poistat merkinnän, näet PCA-valintaikkunan, kun avaat sovelluksen seuraavan kerran.
Kuva 4: Rekisterieditorin merkintä, jossa ilmoitetaan, että sovellus toimi oikein
Tärkeää Vanhat TLS-protokollat ovat käytössä vain tietyissä sovelluksissa. Tämä pitää paikkansa, vaikka ne on poistettu käytöstä koko järjestelmän asetuksissa.
Ota käyttöön TLS-versio 1.1 ja sitä uudemmassa (wininetin ja Internet Explorerin asetukset)
Emme suosittele TLS 1.1:n ja sen alla olevan ottaminen käyttöön, koska niitä ei enää pidetä turvallisina. He ovat alttiita erilaisille hyökkäyksille, kuten POODLE-hyökkäykselle. Ennen kuin otat TLS 1.1:n käyttöön, tee jompikumpi seuraavista:
-
Tarkista, onko sovelluksen uudempi versio saatavilla.
-
Pyydä sovelluskehittäjää tekemään määritysmuutoksia sovelluksessa, jotta se voi poistaa riippuvuuden TLS 1.1:stä ja sen alapuolella.
Jos mikään ratkaisuista ei toimi, voit ottaa vanhat TLS-protokollat käyttöön järjestelmänlaajuisissa asetuksissa kahdella tavalla:
-
Internet-asetukset
-
Ryhmäkäytäntöeditori
Internet-asetukset
Avaa Internet-asetukset kirjoittamalla Internet-asetukset tehtäväpalkin hakuruutuun. Voit myös valita Muuta asetuksia kuvassa 1 näkyvästä valintaikkunasta. Vieritä Lisäasetukset-välilehdenAsetukset-paneelissa alaspäin. Siellä voit ottaa TLS-protokollat käyttöön tai poistaa ne käytöstä.
Kuva 5: Internet-ominaisuudet -valintaikkuna
ryhmäkäytäntö editori
Avaa ryhmäkäytäntö editori kirjoittamalla tehtäväpalkin hakuruutuun gpedit.msc. Näkyviin tulee kuva 6:n kaltainen ikkuna.
Kuva 6: ryhmäkäytäntö Editori-ikkuna
-
Siirry kohtaan Paikallisen tietokoneen käytäntö > (Tietokoneasetukset tai Käyttäjäasetukset) > hallintatemppelit > Windowsin osat > Internet Explorer > Internet Ohjauspaneeli > Lisäasetukset-sivu > Poista salaustuki käytöstä. Katso kuva 7.
-
Kaksoisnapsauta Poista salauksen tuki käytöstä.
Kuva 7: Salaustuen poistaminen käytöstä ryhmäkäytäntö editorissa
-
Valitse Käytössä-vaihtoehto . Valitse sitten avattavasta luettelosta TLS-versio, jonka haluat ottaa käyttöön kuvassa 8 esitetyllä tavalla.
Kuva 8: Ota käyttöön Poista salauksen tuki ja avattava luettelo käytöstä
Kun otat käytännön käyttöön ryhmäkäytäntö editorissa, et voi muuttaa sitä Internet-asetuksissa. Jos valitset esimerkiksi Käytä SSL3.0:aa ja TLS 1.0:aa, kaikki muut vaihtoehdot eivät ole käytettävissä Internet-asetuksissa. Katso kuva 9. Et voi muuttaa mitään Internet-asetusten asetuksia, jos otat käyttöön poista salauksen tuen käytöstä ryhmäkäytäntö Editorissa.
Kuva 9: Internet-asetukset, joissa näkyvät ei-käytettävissä olevat SSL- ja TLS-asetukset
Ota käyttöön TLS-versio 1.1 ja sitä uudemmassa versiossa (winhttp settings)
Tärkeät rekisteripolut (wininetin ja Internet Explorerin asetukset)
-
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
-
Täältä löydät SecureProtocols-protokollat, joihin tallennetaan tällä hetkellä käytössä olevien protokollien arvo, jos käytät ryhmäkäytäntö-editoria.
-
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
-
Täältä löydät SecureProtocols-protokollat, jotka tallentavat tällä hetkellä käytössä olevien protokollien arvon, jos käytät Internet-asetuksia.
-
-
ryhmäkäytäntö SecureProtocols on etusijalla Internet-asetusten määrittämään asetuksiin nähden.
Epävarman TLS-varakuvan ottaminen käyttöön
Yllä olevat muutokset mahdollistavat TLS 1.0:n ja TLS 1.1:n. Ne eivät kuitenkaan ota käyttöön TLS-varaumaa. Jotta voit ottaa TLS-varatoiminnon käyttöön, määritä EnableInsecureTlsFallback arvoksi 1 alla olevien polkujen alla olevassa rekisterissä.
-
Asetusten muuttaminen: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
-
Käytännön määrittäminen: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
Jos EnableInsecureTlsFallback ei ole käytettävissä, sinun on luotava uusi DWORD-merkintä ja määritettävä sen arvoksi 1.
Tärkeät rekisteripolut
-
ForceDefaultSecureProtocols
-
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
-
Se on oletusarvoisesti EPÄTOSI. Jos määrität arvon, joka ei ole nolla, sovellukset eivät voi määrittää mukautettuja protokollia winhttp-vaihtoehdon avulla.
-
-
EnableInsecureTlsFallback
-
Asetusten muuttaminen: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
-
Käytännön määrittäminen: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
-
Se on oletusarvoisesti EPÄTOSI. Jos määrität arvon, joka ei ole nolla, sovellukset voivat palata epävarmoihin protokolliin (TLS1.0 ja 1.1), jos kättely epäonnistuu suojatuissa protokollissa (tls1.2 ja sitä uudempi).
-