Rezime
Transport Layer Security (TLS) 1.0 i 1.1 su bezbednosni protokoli za kreiranje kanala šifrovanja preko računarskih mreža. Microsoft ih podržava od operativnog sistema Windows XP i Windows Server 2003. Međutim, regulatorni zahtevi se menjaju. Takođe, postoje nove bezbednosne slabosti u TLS-u 1.0. Zato vam Microsoft preporučuje da uklonite TLS 1.0 i 1.1 zavisnosti. Takođe preporučujemo da onemogućite TLS 1.0 i 1.1 na nivou operativnog sistema gde je to moguće. Više detalja potražite u članku Onemogućavanje TLS 1.0 i 1.1. U preglednoj ispravki od 20. septembra 2022. podrazumevano ćemo onemogućiti TLS 1.0 i 1.1 za aplikacije na osnovu winhttp i wininet. Ovo je deo tekućih napora. Ovaj članak će vam pomoći da ih ponovo omogućite. Ove promene će se odraziti nakon instaliranja windows ispravki objavljenih 20. septembra 2022. ili posle njih.
Ponašanje prilikom pristupanja TLS 1.0 i 1.1 vezama u pregledaču
Posle 20. septembra 2022. pojaviće se poruka kada pregledač otvori veb lokaciju koja koristi TLS 1.0 ili 1.1. Pogledajte sliku 1. U poruci se navodi da lokacija koristi TLS protokol zastareo ili nebezbedan. Da biste rešili ovaj problem, možete da ažurirate TLS protokol na TLS 1.2 ili noviju verziju. Ako to nije moguće, možete omogućiti TLS kao što je opisano u članku Omogućavanje TLS verzije 1.1 i novije.
Slika 1: Prozor pregledača prilikom pristupa TLS-u 1.0 i 1.1 veb stranici
Ponašanje prilikom pristupa TLS 1.0 i 1.1 vezama u winhttp aplikacijama
Nakon ažuriranja, aplikacije zasnovane na winhttp-u možda neće uspeti. Poruka o grešci je "ERROR_WINHTTP_SECURE_FAILURE izvršavanja WinHttpSendRequest operacije".
Ponašanje prilikom pristupa TLS 1.0 i 1.1 vezama u prilagođenim aplikacijama korisničkog interfejsa na osnovu winhttp ili wininet
Kada aplikacija pokuša da kreira vezu koristeći TLS 1.1 i ispod, veza možda izgleda kao da neće uspeti. Kada zatvorite aplikaciju ili ona prestane da radi, dijalog Pomoćnik za kompatibilnost programa (PCA) pojavljuje se kao što je prikazano na slici 2.
Slika 2: Dijalog "Pomoćnik za kompatibilnost programa" nakon zatvaranja aplikacije
U dijalogu PCA je navedeno: "Ovaj program možda nije ispravno pokrenut". U okviru toga postoje dve opcije:
-
Pokretanje programa pomoću postavki kompatibilnosti
-
Ovaj program je ispravno aktivan
Pokretanje programa pomoću postavki kompatibilnosti
Kada odaberete ovu opciju, aplikacija se ponovo otvara. Sada sve veze koje koriste TLS 1.0 i 1.1 ispravno rade. Od tada se neće pojaviti dijalog PCA. Uređivač registratora dodaje stavke sledećim putanjama:
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store.
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers.
Ako ste ovu opciju greškom odabrali, možete da izbrišete ove stavke. Ako ih izbrišete, videćete dijalog PCA sledeći put kada otvorite aplikaciju.
Slika 3: Lista programa koji treba da se pokreću pomoću postavki kompatibilnosti
Ovaj program je ispravno aktivan
Kada odaberete ovu opciju, aplikacija se normalno zatvara. Sledeći put kada ponovo otvorite aplikaciju, neće se pojaviti dijalog PCA. Sistem blokira sav TLS 1.0 i 1.1 sadržaj. Uređivač registratora dodaje sledeću stavku na putanju Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store. Pogledajte sliku 4. Ako ste ovu opciju greškom odabrali, možete da izbrišete ovu stavku. Ako izbrišete unos, videćete dijalog PCA sledeći put kada otvorite aplikaciju.
Slika 4: Unesite u uređivač registratora koji vas navodi da je aplikacija ispravno funkcionisala
Vaћno Zastareli TLS protokoli omogućeni su samo za određene aplikacije. To važi čak i ako su onemogućene u sistemskim postavkama.
Omogući TLS verziju 1.1 i novije (wininet i postavke programa Internet Explorer)
Ne preporučujemo omogućavanje TLS-a 1.1 i novijih zato što se više ne smatraju bezbednim. Ranjivi su na razne napade, kao što je PUDLE napad. Dakle, pre nego što omogućite TLS 1.1, uradite nešto od sledećeg:
-
Proverite da li je dostupna novija verzija aplikacije.
-
Zatražite od projektanta aplikacije da izvrši promene konfiguracije u aplikaciji kako bi uklonio zavisnost od TLS 1.1 i dolenavedenih.
U slučaju da nijedno rešenje ne funkcioniše, postoje dva načina da omogućite zastarele TLS protokole u sistemskim postavkama:
-
Internet opcije
-
Smernice grupe uređivač
Internet opcije
Da biste otvorili Internet opcije, otkucajte Internet opcije u polje za pretragu na traci zadataka. Takođe možete da izaberete stavku Promeni postavke u dijalogu prikazanom u slici 1. Na kartici Više opcija pomerite se nadole u tabli Postavke . Tamo možete da omogućite ili onemogućite TLS protokole.
Slika 5: Dijalog "Internet svojstva"
The Smernice grupe Editor
Da biste otvorili Smernice grupe uređivača, u polju za pretragu na traci zadataka otkucajte gpedit.msc. Pojavljuje se prozor poput prozora prikazanog na slici 6.
Figure 6: Smernice grupe Editor window
-
Idite na smernice za lokalni računar >(konfiguracija računara ili konfiguracija korisnika) > Administrativni hramovi >Windows komponente > Internet Explorer > Internet Kontrolna tabla > Stranica sa više opcija > Isključite podršku za šifrovanje. Pogledajte sliku 7.
-
Kliknite dvaput na dugme Isključi podršku za šifrovanje.
Slika 7: Putanja za isključivanje podrške za šifrovanje u programu Smernice grupe Editor
-
Izaberite opciju Omogućeno . Zatim koristite padajuću listu da biste izabrali TLS verziju koju želite da omogućite kao što je prikazano na slici 8.
Slika 8: Omogućavanje isključivanja podrške za šifrovanje i padajuće liste
Kada omogućite smernice u programu Smernice grupe uređivaču, ne možete da ih promenite u internet opcijama. Na primer, ako izaberete opciju Koristi SSL3.0 i TLS 1.0, sve ostale opcije neće biti dostupne u internet opcijama. Pogledajte sliku 9. Ne možete da promenite nijednu postavku u internet opcijama ako omogućite Opciju Isključi podršku za šifrovanje u Smernice grupe uređivaču.
Slika 9: Internet opcije koje prikazuju nedostupne SSL i TLS postavke
Omogući TLS verziju 1.1 i noviju (winhttp postavke)
Važne putanje registratora (wininet i postavke programa Internet Explorer)
-
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
-
Ovde možete da pronađete SecureProtocols koji skladišti vrednost trenutno omogućenih protokola ako koristite Smernice grupe uređivaču.
-
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
-
Ovde možete da pronađete SecureProtocols koji skladišti vrednost trenutno omogućenih protokola ako koristite internet opcije.
-
-
Smernice grupe SecureProtocols će imati prednost u odnosu na onu koju su postavile internet opcije.
Omogućavanje povratne informacije o nebesigurnom TLS-u
Gorenavedene izmene omogućiće TLS 1.0 i TLS 1.1. Međutim, neće omogućiti TLS povratni odgovor. Da biste omogućili povratni TLS, morate da postavite EnableInsecureTlsFallback na 1 u registratoru ispod dolenavedenih putanja.
-
Da biste promenili postavke: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
-
Da biste postavili smernice: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
Ako EnableInsecureTlsFallback nije prisutan , morate da kreirate novu DWORD stavku i postavite je na 1.
Važne putanje registratora
-
ForceDefaultSecureProtocols
-
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
-
Podrazumevano ima vrednost FALSE. Podešavanje vrednosti koja nije nula sprečiće aplikacije da postavljaju prilagođene protokole pomoću winhttp opcije.
-
-
EnableInsecureTlsFallback
-
Da biste promenili postavke: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
-
Da biste postavili smernice: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
-
Podrazumevano ima vrednost FALSE. Postavljanje vrednosti koja nije nula omogućiće aplikacijama da se vraćaju na nebezbedne protokole (TLS1.0 i 1.1) ako rukovanje ne uspe uz bezbedne protokole (tls1.2 i novije verzije).
-