Applies ToWin 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10 Enterprise Multi-Session, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 on Surface Hub Windows 10, version 21H1, all editions Windows 10, version 21H2, all editions

Rezime

Transport Layer Security (TLS) 1.0 i 1.1 su bezbednosni protokoli za kreiranje kanala šifrovanja preko računarskih mreža. Microsoft ih podržava od operativnog sistema Windows XP i Windows Server 2003. Međutim, regulatorni zahtevi se menjaju. Takođe, postoje nove bezbednosne slabosti u TLS-u 1.0. Zato vam Microsoft preporučuje da uklonite TLS 1.0 i 1.1 zavisnosti. Takođe preporučujemo da onemogućite TLS 1.0 i 1.1 na nivou operativnog sistema gde je to moguće. Više detalja potražite u članku Onemogućavanje TLS 1.0 i 1.1. U preglednoj ispravki od 20. septembra 2022. podrazumevano ćemo onemogućiti TLS 1.0 i 1.1 za aplikacije na osnovu winhttp i wininet. Ovo je deo tekućih napora. Ovaj članak će vam pomoći da ih ponovo omogućite. Ove promene će se odraziti nakon instaliranja windows ispravki objavljenih 20. septembra 2022. ili posle njih.  

Ponašanje prilikom pristupanja TLS 1.0 i 1.1 vezama u pregledaču

Posle 20. septembra 2022. pojaviće se poruka kada pregledač otvori veb lokaciju koja koristi TLS 1.0 ili 1.1. Pogledajte sliku 1. U poruci se navodi da lokacija koristi TLS protokol zastareo ili nebezbedan. Da biste rešili ovaj problem, možete da ažurirate TLS protokol na TLS 1.2 ili noviju verziju. Ako to nije moguće, možete omogućiti TLS kao što je opisano u članku Omogućavanje TLS verzije 1.1 i novije.

Prozor programa Internet Explorer prilikom pristupa TLS 1.0 i 1.1 vezi

Slika 1: Prozor pregledača prilikom pristupa TLS-u 1.0 i 1.1 veb stranici

Ponašanje prilikom pristupa TLS 1.0 i 1.1 vezama u winhttp aplikacijama

Nakon ažuriranja, aplikacije zasnovane na winhttp-u možda neće uspeti. Poruka o grešci je "ERROR_WINHTTP_SECURE_FAILURE izvršavanja WinHttpSendRequest operacije".

Ponašanje prilikom pristupa TLS 1.0 i 1.1 vezama u prilagođenim aplikacijama korisničkog interfejsa na osnovu winhttp ili wininet

Kada aplikacija pokuša da kreira vezu koristeći TLS 1.1 i ispod, veza možda izgleda kao da neće uspeti. Kada zatvorite aplikaciju ili ona prestane da radi, dijalog Pomoćnik za kompatibilnost programa (PCA) pojavljuje se kao što je prikazano na slici 2.

Iskačući prozor pomoćnika za kompatibilnost programa nakon zatvaranja aplikacije

Slika 2: Dijalog "Pomoćnik za kompatibilnost programa" nakon zatvaranja aplikacije

U dijalogu PCA je navedeno: "Ovaj program možda nije ispravno pokrenut". U okviru toga postoje dve opcije:

  • Pokretanje programa pomoću postavki kompatibilnosti

  • Ovaj program je ispravno aktivan

Pokretanje programa pomoću postavki kompatibilnosti

Kada odaberete ovu opciju, aplikacija se ponovo otvara. Sada sve veze koje koriste TLS 1.0 i 1.1 ispravno rade. Od tada se neće pojaviti dijalog PCA. Uređivač registratora dodaje stavke sledećim putanjama:

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers. 

Ako ste ovu opciju greškom odabrali, možete da izbrišete ove stavke. Ako ih izbrišete, videćete dijalog PCA sledeći put kada otvorite aplikaciju.

Lista programa koje treba koristiti pomoću postavki kompatibilnosti

Slika 3: Lista programa koji treba da se pokreću pomoću postavki kompatibilnosti

Ovaj program je ispravno aktivan

Kada odaberete ovu opciju, aplikacija se normalno zatvara. Sledeći put kada ponovo otvorite aplikaciju, neće se pojaviti dijalog PCA. Sistem blokira sav TLS 1.0 i 1.1 sadržaj. Uređivač registratora dodaje sledeću stavku na putanju Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store. Pogledajte sliku 4. Ako ste ovu opciju greškom odabrali, možete da izbrišete ovu stavku. Ako izbrišete unos, videćete dijalog PCA sledeći put kada otvorite aplikaciju.

Unos u uređivač registratora koji navodi da je aplikacija ispravno funkcionisala

Slika 4: Unesite u uređivač registratora koji vas navodi da je aplikacija ispravno funkcionisala

Vaћno Zastareli TLS protokoli omogućeni su samo za određene aplikacije. To važi čak i ako su onemogućene u sistemskim postavkama.

Omogući TLS verziju 1.1 i novije (wininet i postavke programa Internet Explorer)

Ne preporučujemo omogućavanje TLS-a 1.1 i novijih zato što se više ne smatraju bezbednim. Ranjivi su na razne napade, kao što je PUDLE napad. Dakle, pre nego što omogućite TLS 1.1, uradite nešto od sledećeg:

  • Proverite da li je dostupna novija verzija aplikacije.

  • Zatražite od projektanta aplikacije da izvrši promene konfiguracije u aplikaciji kako bi uklonio zavisnost od TLS 1.1 i dolenavedenih.

U slučaju da nijedno rešenje ne funkcioniše, postoje dva načina da omogućite zastarele TLS protokole u sistemskim postavkama:

  • Internet opcije

  • Smernice grupe uređivač

Internet opcije

Da biste otvorili Internet opcije, otkucajte Internet opcije u polje za pretragu na traci zadataka. Takođe možete da izaberete stavku Promeni postavke u dijalogu prikazanom u slici 1. Na kartici Više opcija pomerite se nadole u tabli Postavke . Tamo možete da omogućite ili onemogućite TLS protokole.

Prozor "Internet opcije"

Slika 5: Dijalog "Internet svojstva"

The Smernice grupe Editor

Da biste otvorili Smernice grupe uređivača, u polju za pretragu na traci zadataka otkucajte gpedit.msc. Pojavljuje se prozor poput prozora prikazanog na slici 6. 

Prozor uređivača smernica grupe

Figure 6: Smernice grupe Editor window

  1. Idite na smernice za lokalni računar >(konfiguracija računara ili konfiguracija korisnika) > Administrativni hramovi >Windows komponente > Internet Explorer > Internet Kontrolna tabla > Stranica sa više opcija > Isključite podršku za šifrovanje. Pogledajte sliku 7.

  2. Kliknite dvaput na dugme Isključi podršku za šifrovanje.

    Putanja do opcije "Isključi podršku za šifrovanje" u usluzi GPedit.msc

    Slika 7: Putanja za isključivanje podrške za šifrovanje u programu Smernice grupe Editor

  3. Izaberite opciju Omogućeno . Zatim koristite padajuću listu da biste izabrali TLS verziju koju želite da omogućite kao što je prikazano na slici 8.

    Isključi podršku za šifrovanje omogućenu sa padajućim menijem koji prikazuje različite opcije

    Slika 8: Omogućavanje isključivanja podrške za šifrovanje i padajuće liste

Kada omogućite smernice u programu Smernice grupe uređivaču, ne možete da ih promenite u internet opcijama. Na primer, ako izaberete opciju Koristi SSL3.0 i TLS 1.0, sve ostale opcije neće biti dostupne u internet opcijama. Pogledajte sliku 9. Ne možete da promenite nijednu postavku u internet opcijama ako omogućite Opciju Isključi podršku za šifrovanje u Smernice grupe uređivaču.

Internet opcije sa zasivljenim SSL i TLS postavkama

Slika 9: Internet opcije koje prikazuju nedostupne SSL i TLS postavke

Omogući TLS verziju 1.1 i noviju (winhttp postavke)

Pročitajte članak Ažuriranje da biste omogućili TLS 1.1 i TLS 1.2 kao podrazumevane bezbedne protokole u operativnom sistemu WinHTTP u operativnom sistemu Windows.

Važne putanje registratora (wininet i postavke programa Internet Explorer)

  • Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

    • Ovde možete da pronađete SecureProtocols koji skladišti vrednost trenutno omogućenih protokola ako koristite Smernice grupe uređivaču.

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings

    • Ovde možete da pronađete SecureProtocols koji skladišti vrednost trenutno omogućenih protokola ako koristite internet opcije.

  • Smernice grupe SecureProtocols će imati prednost u odnosu na onu koju su postavile internet opcije.

Omogućavanje povratne informacije o nebesigurnom TLS-u

Gorenavedene izmene omogućiće TLS 1.0 i TLS 1.1. Međutim, neće omogućiti TLS povratni odgovor. Da biste omogućili povratni TLS, morate da postavite EnableInsecureTlsFallback na 1 u registratoru ispod dolenavedenih putanja.

  • Da biste promenili postavke: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp

  • Da biste postavili smernice: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

Ako EnableInsecureTlsFallback nije prisutan , morate da kreirate novu DWORD stavku i postavite je na 1.

Važne putanje registratora

  1. ForceDefaultSecureProtocols  

    • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp 

    • Podrazumevano ima vrednost FALSE. Podešavanje vrednosti koja nije nula sprečiće aplikacije da postavljaju prilagođene protokole pomoću winhttp opcije.

  2. EnableInsecureTlsFallback 

    • Da biste promenili postavke: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp

    • Da biste postavili smernice: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

    • Podrazumevano ima vrednost FALSE. Postavljanje vrednosti koja nije nula omogućiće aplikacijama da se vraćaju na nebezbedne protokole (TLS1.0 i 1.1) ako rukovanje ne uspe uz bezbedne protokole (tls1.2 i novije verzije).

Da li vam je potrebna dodatna pomoć?

Želite još opcija?

Istražite pogodnosti pretplate, pregledajte kurseve za obuku, saznajte kako da obezbedite uređaj i još mnogo toga.

Zajednice vam pomažu da postavljate pitanja i odgovarate na pitanja, dajete povratne informacije i čujete mišljenje od stručnjaka sa bogatim znanjem.