Applies ToWin 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10 Enterprise Multi-Session, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 on Surface Hub Windows 10, version 21H1, all editions Windows 10, version 21H2, all editions

Özet

Aktarım Katmanı Güvenliği (TLS) 1.0 ve 1.1, bilgisayar ağları üzerinden şifreleme kanalları oluşturmaya yönelik güvenlik protokolleridir. Microsoft, Windows XP ve Windows Server 2003'ten bu yana bunları desteklemiştir. Ancak mevzuat gereksinimleri değişiyor. Ayrıca TLS 1.0'da yeni güvenlik zayıflıkları vardır. Bu nedenle Microsoft TLS 1.0 ve 1.1 bağımlılıklarını kaldırmanızı önerir. Ayrıca mümkün olduğunca işletim sistemi düzeyinde TLS 1.0 ve 1.1'i devre dışı bırakmanızı öneririz. Diğer ayrıntılar için bkz. TLS 1.0 ve 1.1 devre dışı bırakma. 20 Eylül 2022 önizleme güncelleştirmesinde, winhttp ve wininet tabanlı uygulamalar için TLS 1.0 ve 1.1'i varsayılan olarak devre dışı bırakacağız. Bu, devam eden bir çabanın bir parçasıdır. Bu makale, bunları yeniden etkinleştirmenize yardımcı olur. Bu değişiklikler, 20 Eylül 2022 tarihinde veya sonrasında yayımlanan Windows güncelleştirmelerini yükledikten sonra yansıtılacaktır.  

Tarayıcıda TLS 1.0 ve 1.1 bağlantılarına erişirken davranış

20 Eylül 2022'den sonra, tarayıcınız TLS 1.0 veya 1.1 kullanan bir web sitesi açtığında bir ileti görüntülenir. Bkz. Şekil 1. İleti, sitenin güncel olmayan veya güvenli olmayan bir TLS protokolü kullandığını belirtir. Bu sorunu çözmek için TLS protokolunu TLS 1.2 veya üzeri bir sürüme güncelleştirebilirsiniz. Bu mümkün değilse, TLS sürüm 1.1'i etkinleştirme ve aşağıda açıklandığı gibi TLS'yi etkinleştirebilirsiniz.

TLS 1.0 ve 1.1 bağlantısına erişirken Internet Explorer penceresi

Şekil 1: TLS 1.0 ve 1.1 web sayfasına erişirken tarayıcı penceresi

Winhttp uygulamalarında TLS 1.0 ve 1.1 bağlantılarına erişirken davranış

Güncelleştirmeden sonra winhttp tabanlı uygulamalar başarısız olabilir. Hata iletisi şudur: "WinHttpSendRequest işlemi gerçekleştirilirken ERROR_WINHTTP_SECURE_FAILURE."

Winhttp veya wininet tabanlı özel kullanıcı arabirimi uygulamalarında TLS 1.0 ve 1.1 bağlantılarına erişirken davranış

Bir uygulama TLS 1.1 ve altı kullanarak bağlantı oluşturmaya çalıştığında, bağlantı başarısız gibi görünebilir. Bir uygulamayı kapattığınızda veya çalışmayı durdurduğunda, Şekil 2'de gösterildiği gibi Program Uyumluluk Yardımcısı (PCA) iletişim kutusu görüntülenir.

Uygulamayı kapattıktan sonra Program Uyumluluk Yardımcısı açılır menüsü

Şekil 2: Bir uygulamayı kapattıktan sonra Program Uyumluluk Yardımcısı iletişim kutusu

PCA iletişim kutusunda "Bu program düzgün çalışmamış olabilir" ifadesi yer alır. Bunun altında iki seçenek vardır:

  • Uyumluluk ayarlarını kullanarak programı çalıştırma

  • Bu program doğru çalıştı

Uyumluluk ayarlarını kullanarak programı çalıştırma

Bu seçeneği belirlediğinizde uygulama yeniden açılır. Artık TLS 1.0 ve 1.1 kullanan tüm bağlantılar düzgün çalışıyor. Bundan sonra HIÇBIR PCA iletişim kutusu görüntülenmez. Kayıt Defteri Düzenleyicisi aşağıdaki yollara girdiler ekler:

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers. 

Bu seçeneği yanlışlıkla seçtiyseniz, bu girdileri silebilirsiniz. Bunları silerseniz, uygulamayı bir sonraki açışınızda PCA iletişim kutusunu görürsünüz.

Uyumluluk ayarları kullanılarak çalıştırılacak programların listesi

Şekil 3: Uyumluluk ayarları kullanılarak çalıştırılması gereken programların listesi

Bu program doğru çalıştı

Bu seçeneği belirlediğinizde uygulama normal şekilde kapanır. Uygulamayı bir sonraki açışınızda PCA iletişim kutusu görüntülenmez. Sistem tüm TLS 1.0 ve 1.1 içeriğini engeller. Kayıt Defteri Düzenleyicisi ,Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store yoluna aşağıdaki girdiyi ekler. Bkz. Şekil 4. Bu seçeneği yanlışlıkla seçtiyseniz, bu girdiyi silebilirsiniz. Girdiyi silerseniz, uygulamayı bir sonraki açışınızda PCA iletişim kutusunu görürsünüz.

Kayıt defteri düzenleyicisinde uygulamanın doğru çalıştığını belirten giriş

Şekil 4: Kayıt Defteri Düzenleyicisi'nde uygulamanın doğru çalıştığını belirten giriş

Önemli Eski TLS protokolleri yalnızca belirli uygulamalar için etkinleştirilir. Sistem genelindeki ayarlarda devre dışı bırakılmış olsalar bile bu durum geçerlidir.

TLS sürüm 1.1 ve altındaki sürümleri etkinleştirme (wininet ve Internet Explorer ayarları)

TlS 1.1 ve altındakilerin artık güvenli olarak kabul edilmediğinden etkinleştirilmesini önermeyiz. KanIŞ saldırısı gibi çeşitli saldırılara karşı savunmasızdırlar. Bu nedenle TLS 1.1'i etkinleştirmeden önce aşağıdakilerden birini yapın:

  • Uygulamanın daha yeni bir sürümünün kullanılabilir olup olmadığını denetleyin.

  • Uygulama geliştiriciden TLS 1.1 ve altındaki bağımlılığı kaldırmak için uygulamada yapılandırma değişiklikleri yapmasını isteyin.

Çözümlerin hiçbiri işe yaramazsa, sistem genelindeki ayarlarda eski TLS protokollerini etkinleştirmenin iki yolu vardır:

  • İnternet Seçenekleri

  • Grup İlkesi Düzenleyicisi

İnternet Seçenekleri

İnternet Seçenekleri'ni açmak için görev çubuğundaki arama kutusuna İnternet Seçenekleri yazın. Şekil 1'de gösterilen iletişim kutusunda Ayarları değiştir'i de seçebilirsiniz. Gelişmiş sekmesinde Ayarlar panelinde aşağı kaydırın. Burada TLS protokollerini etkinleştirebilir veya devre dışı bırakabilirsiniz.

İnternet Seçenekleri penceresi

Şekil 5: İnternet Özellikleri iletişim kutusu

grup ilkesi Düzenleyicisi

grup ilkesi Düzenleyicisi'ni açmak için görev çubuğu arama kutusuna gpedit.msc yazın. Şekil 6'da gösterilene benzer bir pencere görüntülenir. 

Grup ilkesi düzenleyicisi penceresi

Şekil 6: grup ilkesi Düzenleyici penceresi

  1. Yerel Bilgisayar İlkesi > (Bilgisayar Yapılandırması veya Kullanıcı Yapılandırması) > Yönetim Tapınakları > Windows Bileşenleri > Internet Explorer > Internet Denetim Masası >Gelişmiş Sayfa'ya gidin > Şifreleme desteğini kapatın. Bkz. Şekil 7.

  2. Şifreleme desteğini kapat'a çift tıklayın.

    GPedit.msc'de şifreleme desteğini kapatma yolu

    Şekil 7: grup ilkesi Düzenleyicisi'nde şifreleme desteğini kapatma yolu

  3. Etkin seçeneğini belirleyin. Ardından, Şekil 8'de gösterildiği gibi etkinleştirmek istediğiniz TLS sürümünü seçmek için açılan listeyi kullanın.

    Çeşitli seçenekleri gösteren açılan menüyle şifreleme desteğinin etkinleştirilmesi

    Şekil 8: Şifreleme desteğini ve açılan listesini kapatmayı etkinleştirme

İlkeyi grup ilkesi Düzenleyicisi'nde etkinleştirdikten sonra İnternet Seçenekleri'nde değiştiremezsiniz. Örneğin SSL3.0 ve TLS 1.0 kullan'ı seçerseniz İnternet Seçenekleri'nde diğer tüm seçenekler kullanılamaz. Bkz. Şekil 9. grup ilkesi Düzenleyicisi'nde Şifreleme desteğini kapat'ı etkinleştirirseniz İnternet Seçenekleri'ndeki ayarların hiçbirini değiştiremezsiniz.

Gri ssl ve TLS ayarlarıyla İnternet Seçenekleri

Şekil 9: Kullanılamayan SSL ve TLS ayarlarını gösteren İnternet Seçenekleri

TLS sürüm 1.1 ve altındaki sürümleri etkinleştirme (winhttp ayarları)

Bkz. Windows'da WinHTTP'de varsayılan güvenli protokoller olarak TLS 1.1 ve TLS 1.2'yi etkinleştirmek için güncelleştirme.

Önemli kayıt defteri yolları (wininet ve Internet Explorer ayarları)

  • Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

    • Burada, grup ilkesi Düzenleyicisi'ni kullanıyorsanız etkin olan protokollerin değerini depolayan SecureProtocols'u bulabilirsiniz.

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings

    • Burada, İnternet Seçenekleri'ni kullanıyorsanız etkin olan protokollerin değerini depolayan SecureProtocols'u bulabilirsiniz.

  • grup ilkesi SecureProtocols, İnternet Seçenekleri tarafından ayarlanandan önceliklidir.

Güvenli olmayan TLS geri dönüşünü etkinleştirme

Yukarıdaki değişiklikler TLS 1.0 ve TLS 1.1'i etkinleştirir. Ancak TLS geri dönüşünü etkinleştirmez. TLS geri dönüşünü etkinleştirmek için aşağıdaki yolların altındaki kayıt defterinde EnableInsecureTlsFallback değerini 1 olarak ayarlamanız gerekir.

  • Ayarları değiştirmek için: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp

  • İlkeyi ayarlamak için: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

EnableInsecureTlsFallback yoksa, yeni bir DWORD girdisi oluşturup 1 olarak ayarlamanız gerekir.

Önemli kayıt defteri yolları

  1. ForceDefaultSecureProtocols  

    • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp 

    • Varsayılan olarak YANLIŞ'tır. Sıfır olmayan bir değer ayarlamak, uygulamaların winhttp seçeneğini kullanarak özel protokoller ayarlamasını durdurur.

  2. EnableInsecureTlsFallback 

    • Ayarları değiştirmek için: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp

    • İlkeyi ayarlamak için: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

    • Varsayılan olarak YANLIŞ'tır. Sıfır olmayan bir değer ayarlamak, el sıkışması güvenli protokollerle (tls1.2 ve üzeri) başarısız olursa uygulamaların güvenli olmayan protokollere (TLS1.0 ve 1.1) geri dönmesini sağlar.

Daha fazla yardıma mı ihtiyacınız var?

Daha fazla seçenek mi istiyorsunuz?

Abonelik avantajlarını keşfedin, eğitim kurslarına göz atın, cihazınızın güvenliğini nasıl sağlayacağınızı öğrenin ve daha fazlasını yapın.

Topluluklar, soru sormanıza ve soruları yanıtlamanıza, geri bildirimde bulunmanıza ve zengin bilgiye sahip uzmanlardan bilgi almanıza yardımcı olur.