Rezumat
Transport Layer Security (TLS) 1.0 și 1.1 sunt protocoale de securitate pentru crearea canalelor de criptare prin rețele de computere. Microsoft le-a acceptat începând cu Windows XP și Windows Server 2003. Cu toate acestea, cerințele de reglementare se schimbă. De asemenea, există noi deficiențe de securitate în TLS 1.0. Prin urmare, Microsoft recomandă să eliminați dependențele TLS 1.0 și 1.1. De asemenea, vă recomandăm să dezactivați TLS 1.0 și 1.1 la nivelul sistemului de operare, dacă este posibil. Pentru mai multe detalii, consultați Dezactivarea TLS 1.0 și 1.1. În actualizarea preliminară din 20 septembrie 2022, vom dezactiva TLS 1.0 și 1.1 în mod implicit pentru aplicațiile bazate pe winhttp și wininet. Aceasta face parte dintr-un efort continuu. Acest articol vă va ajuta să le reactivați. Aceste modificări se vor reflecta după instalarea actualizărilor Windows lansate la sau după 20 septembrie 2022.
Comportament la accesarea linkurilor TLS 1.0 și 1.1 în browser
După 20 septembrie 2022, va apărea un mesaj atunci când browserul deschide un site web care utilizează TLS 1.0 sau 1.1. Vedeți Figura 1. Mesajul spune că site-ul utilizează un protocol TLS învechit sau nesigur. Pentru a rezolva această problemă, puteți actualiza protocolul TLS la TLS 1.2 sau o versiune mai recentă. Dacă acest lucru nu este posibil, puteți activa TLS așa cum s-a discutat în Activarea TLS versiunea 1.1 și mai recentă.
Figura 1: Fereastra Browser atunci când accesați paginile web TLS 1.0 și 1.1
Comportament la accesarea linkurilor TLS 1.0 și 1.1 în winhttp aplicații
După actualizare, aplicațiile bazate pe câștighttp pot să nu reușească. Mesajul de eroare este "ERROR_WINHTTP_SECURE_FAILURE în timpul efectuării operațiunii WinHttpSendRequest".
Comportamentul la accesarea linkurilor TLS 1.0 și 1.1 în aplicațiile UI particularizate bazate pe winhttp sau wininet
Atunci când o aplicație încearcă să creeze o conexiune utilizând TLS 1.1 și mai jos, conexiunea poate părea că nu reușește. Atunci când închideți o aplicație sau aceasta nu mai funcționează, caseta de dialog Asistent compatibilitate program (PCA) apare așa cum se arată în Figura 2.
Figure 2: Program Compatibility Assistant dialog after closing an application
Caseta de dialog PCA spune "Este posibil ca acest program să nu fi rulat corect". Sub aceasta, există două opțiuni:
-
Rularea programului utilizând setările de compatibilitate
-
Acest program a rulat corect
Rularea programului utilizând setările de compatibilitate
Atunci când alegeți această opțiune, aplicația se redeschide. Acum, toate linkurile care utilizează TLS 1.0 și 1.1 funcționează corect. De atunci înainte, nu va mai apărea nicio casetă de dialog PCA. Editorul de registry adaugă intrări la următoarele căi:
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store.
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers.
Dacă ați ales din greșeală această opțiune, puteți șterge aceste intrări. Dacă le ștergeți, veți vedea caseta de dialog PCA data viitoare când deschideți aplicația.
Figura 3: Lista de programe care ar trebui să ruleze utilizând setările de compatibilitate
Acest program a rulat corect
Atunci când alegeți această opțiune, aplicația se închide normal. Data viitoare când redeschideți aplicația, nu va mai apărea nicio casetă de dialog PCA. Sistemul blochează tot conținutul TLS 1.0 și 1.1. Editorul de registry adaugă următoarea intrare la calea Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store. Vedeți Figura 4. Dacă ați ales din greșeală această opțiune, aveți posibilitatea să ștergeți această intrare. Dacă ștergeți intrarea, veți vedea caseta de dialog PCA data viitoare când deschideți aplicația.
Figura 4: Intrare în Registry Editor care afirmă că aplicația a rulat corect
Important Protocoalele TLS moștenite sunt activate doar pentru anumite aplicații. Acest lucru este valabil chiar dacă acestea sunt dezactivate în setările la nivel de sistem.
Activați TLS versiunea 1.1 și mai recentă (setările wininet și Internet Explorer)
Nu recomandăm activarea TLS 1.1 și a versiunilor mai vechi, deoarece acestea nu mai sunt considerate sigure. Acestea sunt vulnerabile la atacuri diferite, cum ar fi atacul PUDLE. Așadar, înainte de a activa TLS 1.1, alegeți una dintre următoarele variante:
-
Verificați dacă este disponibilă o versiune mai nouă a aplicației.
-
Solicitați dezvoltatorului aplicației să efectueze modificări de configurare în aplicație pentru a elimina dependența de TLS 1.1 și mai jos.
În cazul în care niciuna dintre soluții nu funcționează, există două modalități de a activa protocoalele TLS moștenite în setările la nivel de sistem:
-
Opțiuni internet
-
Editor politică de grup
Opțiuni internet
Pentru a deschide Opțiuni internet, tastați Opțiuni internet în caseta de căutare din bara de activități. De asemenea, puteți selecta Modificare setări din caseta de dialog afișată în Figura 1. Pe fila Complex , defilați în jos în panoul Setări . Acolo puteți să activați sau să dezactivați protocoalele TLS.
Figure 5: Internet Properties dialog
Editorul Politică de grup
Pentru a deschide Editorul Politică de grup, tastați gpedit.msc în caseta de căutare din bara de activități. Apare o fereastră ca cea afișată în Figura 6.
Figura 6: fereastra Editor Politică de grup
-
Navigați la Local Computer Policy > (Computer Configuration or User Configuration) > Administrative Templets > Windows Components > Internet Explorer > Internet Panou de control > Advanced Page > Dezactivați suportul pentru criptare. Vedeți Figura 7.
-
Faceți dublu clic pe Dezactivați asistența pentru criptare.
Figure 7: Path to turn off encryption support in Politică de grup Editor
-
Selectați opțiunea Activat . Apoi utilizați lista verticală pentru a selecta versiunea TLS pe care doriți să o activați, așa cum se arată în Figura 8.
Figura 8: Activarea opțiunii Dezactivați suportul pentru criptare și lista verticală
După ce activați politica în Editorul de Politică de grup, nu o puteți modifica în Opțiuni internet. De exemplu, dacă selectați Utilizați SSL3.0 și TLS 1.0, toate celelalte opțiuni vor fi indisponibile în Opțiuni internet. Vezi Figura 9. Nu puteți modifica niciuna dintre setările din Opțiuni internet dacă activați Dezactivați suportul pentru criptare în Editorul Politică de grup.
Figura 9: Opțiuni internet afișând setările SSL și TLS indisponibile
Activați TLS versiunea 1.1 și versiunile mai recente (winhttp settings)
Consultați Actualizare pentru a activa TLS 1.1 și TLS 1.2 ca protocoale securizate implicite în WinHTTP în Windows.
Căi de registry importante (setări wininet și Internet Explorer)
-
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
-
Aici puteți găsi SecureProtocols, care stochează valoarea protocoalelor activate în prezent dacă utilizați Editorul Politică de grup.
-
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
-
Aici puteți găsi SecureProtocols, care stochează valoarea protocoalelor activate în prezent, dacă utilizați Opțiuni internet.
-
-
Politică de grup SecureProtocols va avea prioritate față de cel setat de Opțiuni internet.
Activarea revenirii TLS nesigure
Modificările de mai sus vor activa TLS 1.0 și TLS 1.1. Totuși, acestea nu vor activa revenirea TLS. Pentru a activa revenirea TLS, trebuie să setați EnableInsecureTlsFallback la 1 în registry, sub căile de mai jos.
-
Pentru a modifica setările: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttps://support.
-
Pentru a seta politica: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
Dacă EnableInsecureTlsFallback nu este prezent, trebuie să creați o nouă intrare DWORD și să o setați la 1.
Căi de registry importante
-
ForceDefaultSecureProtocols
-
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttps://support.
-
Este FALSE în mod implicit. Setarea unei valori non-zero va împiedica aplicațiile să setați protocoale particularizate utilizând opțiunea winhttp.
-
-
EnableInsecureTlsFallback
-
Pentru a modifica setările: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttps://support.
-
Pentru a seta politica: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
-
Este FALSE în mod implicit. Setarea unei valori non-zero va permite aplicațiilor să revină la protocoalele de nesecurizare (TLS1.0 și 1.1) dacă strângerea de mână nu reușește cu protocoale securizate (tls1.2 și mai recente).
-