Özet
Aktarım Katmanı Güvenliği (TLS) 1.0 ve 1.1, bilgisayar ağları üzerinden şifreleme kanalları oluşturmaya yönelik güvenlik protokolleridir. Microsoft, Windows XP ve Windows Server 2003'ten bu yana bunları desteklemiştir. Ancak mevzuat gereksinimleri değişiyor. Ayrıca TLS 1.0'da yeni güvenlik zayıflıkları vardır. Bu nedenle Microsoft TLS 1.0 ve 1.1 bağımlılıklarını kaldırmanızı önerir. Ayrıca mümkün olduğunca işletim sistemi düzeyinde TLS 1.0 ve 1.1'i devre dışı bırakmanızı öneririz. Diğer ayrıntılar için bkz. TLS 1.0 ve 1.1 devre dışı bırakma. 20 Eylül 2022 önizleme güncelleştirmesinde, winhttp ve wininet tabanlı uygulamalar için TLS 1.0 ve 1.1'i varsayılan olarak devre dışı bırakacağız. Bu, devam eden bir çabanın bir parçasıdır. Bu makale, bunları yeniden etkinleştirmenize yardımcı olur. Bu değişiklikler, 20 Eylül 2022 tarihinde veya sonrasında yayımlanan Windows güncelleştirmelerini yükledikten sonra yansıtılacaktır.
Tarayıcıda TLS 1.0 ve 1.1 bağlantılarına erişirken davranış
20 Eylül 2022'den sonra, tarayıcınız TLS 1.0 veya 1.1 kullanan bir web sitesi açtığında bir ileti görüntülenir. Bkz. Şekil 1. İleti, sitenin güncel olmayan veya güvenli olmayan bir TLS protokolü kullandığını belirtir. Bu sorunu çözmek için TLS protokolunu TLS 1.2 veya üzeri bir sürüme güncelleştirebilirsiniz. Bu mümkün değilse, TLS sürüm 1.1'i etkinleştirme ve aşağıda açıklandığı gibi TLS'yi etkinleştirebilirsiniz.
Şekil 1: TLS 1.0 ve 1.1 web sayfasına erişirken tarayıcı penceresi
Winhttp uygulamalarında TLS 1.0 ve 1.1 bağlantılarına erişirken davranış
Güncelleştirmeden sonra winhttp tabanlı uygulamalar başarısız olabilir. Hata iletisi şudur: "WinHttpSendRequest işlemi gerçekleştirilirken ERROR_WINHTTP_SECURE_FAILURE."
Winhttp veya wininet tabanlı özel kullanıcı arabirimi uygulamalarında TLS 1.0 ve 1.1 bağlantılarına erişirken davranış
Bir uygulama TLS 1.1 ve altı kullanarak bağlantı oluşturmaya çalıştığında, bağlantı başarısız gibi görünebilir. Bir uygulamayı kapattığınızda veya çalışmayı durdurduğunda, Şekil 2'de gösterildiği gibi Program Uyumluluk Yardımcısı (PCA) iletişim kutusu görüntülenir.
Şekil 2: Bir uygulamayı kapattıktan sonra Program Uyumluluk Yardımcısı iletişim kutusu
PCA iletişim kutusunda "Bu program düzgün çalışmamış olabilir" ifadesi yer alır. Bunun altında iki seçenek vardır:
-
Uyumluluk ayarlarını kullanarak programı çalıştırma
-
Bu program doğru çalıştı
Uyumluluk ayarlarını kullanarak programı çalıştırma
Bu seçeneği belirlediğinizde uygulama yeniden açılır. Artık TLS 1.0 ve 1.1 kullanan tüm bağlantılar düzgün çalışıyor. Bundan sonra HIÇBIR PCA iletişim kutusu görüntülenmez. Kayıt Defteri Düzenleyicisi aşağıdaki yollara girdiler ekler:
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store.
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers.
Bu seçeneği yanlışlıkla seçtiyseniz, bu girdileri silebilirsiniz. Bunları silerseniz, uygulamayı bir sonraki açışınızda PCA iletişim kutusunu görürsünüz.
Şekil 3: Uyumluluk ayarları kullanılarak çalıştırılması gereken programların listesi
Bu program doğru çalıştı
Bu seçeneği belirlediğinizde uygulama normal şekilde kapanır. Uygulamayı bir sonraki açışınızda PCA iletişim kutusu görüntülenmez. Sistem tüm TLS 1.0 ve 1.1 içeriğini engeller. Kayıt Defteri Düzenleyicisi ,Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store yoluna aşağıdaki girdiyi ekler. Bkz. Şekil 4. Bu seçeneği yanlışlıkla seçtiyseniz, bu girdiyi silebilirsiniz. Girdiyi silerseniz, uygulamayı bir sonraki açışınızda PCA iletişim kutusunu görürsünüz.
Şekil 4: Kayıt Defteri Düzenleyicisi'nde uygulamanın doğru çalıştığını belirten giriş
Önemli Eski TLS protokolleri yalnızca belirli uygulamalar için etkinleştirilir. Sistem genelindeki ayarlarda devre dışı bırakılmış olsalar bile bu durum geçerlidir.
TLS sürüm 1.1 ve altındaki sürümleri etkinleştirme (wininet ve Internet Explorer ayarları)
TlS 1.1 ve altındakilerin artık güvenli olarak kabul edilmediğinden etkinleştirilmesini önermeyiz. KanIŞ saldırısı gibi çeşitli saldırılara karşı savunmasızdırlar. Bu nedenle TLS 1.1'i etkinleştirmeden önce aşağıdakilerden birini yapın:
-
Uygulamanın daha yeni bir sürümünün kullanılabilir olup olmadığını denetleyin.
-
Uygulama geliştiriciden TLS 1.1 ve altındaki bağımlılığı kaldırmak için uygulamada yapılandırma değişiklikleri yapmasını isteyin.
Çözümlerin hiçbiri işe yaramazsa, sistem genelindeki ayarlarda eski TLS protokollerini etkinleştirmenin iki yolu vardır:
-
İnternet Seçenekleri
-
Grup İlkesi Düzenleyicisi
İnternet Seçenekleri
İnternet Seçenekleri'ni açmak için görev çubuğundaki arama kutusuna İnternet Seçenekleri yazın. Şekil 1'de gösterilen iletişim kutusunda Ayarları değiştir'i de seçebilirsiniz. Gelişmiş sekmesinde Ayarlar panelinde aşağı kaydırın. Burada TLS protokollerini etkinleştirebilir veya devre dışı bırakabilirsiniz.
Şekil 5: İnternet Özellikleri iletişim kutusu
grup ilkesi Düzenleyicisi
grup ilkesi Düzenleyicisi'ni açmak için görev çubuğu arama kutusuna gpedit.msc yazın. Şekil 6'da gösterilene benzer bir pencere görüntülenir.
Şekil 6: grup ilkesi Düzenleyici penceresi
-
Yerel Bilgisayar İlkesi > (Bilgisayar Yapılandırması veya Kullanıcı Yapılandırması) > Yönetim Tapınakları > Windows Bileşenleri > Internet Explorer > Internet Denetim Masası >Gelişmiş Sayfa'ya gidin > Şifreleme desteğini kapatın. Bkz. Şekil 7.
-
Şifreleme desteğini kapat'a çift tıklayın.
Şekil 7: grup ilkesi Düzenleyicisi'nde şifreleme desteğini kapatma yolu
-
Etkin seçeneğini belirleyin. Ardından, Şekil 8'de gösterildiği gibi etkinleştirmek istediğiniz TLS sürümünü seçmek için açılan listeyi kullanın.
Şekil 8: Şifreleme desteğini ve açılan listesini kapatmayı etkinleştirme
İlkeyi grup ilkesi Düzenleyicisi'nde etkinleştirdikten sonra İnternet Seçenekleri'nde değiştiremezsiniz. Örneğin SSL3.0 ve TLS 1.0 kullan'ı seçerseniz İnternet Seçenekleri'nde diğer tüm seçenekler kullanılamaz. Bkz. Şekil 9. grup ilkesi Düzenleyicisi'nde Şifreleme desteğini kapat'ı etkinleştirirseniz İnternet Seçenekleri'ndeki ayarların hiçbirini değiştiremezsiniz.
Şekil 9: Kullanılamayan SSL ve TLS ayarlarını gösteren İnternet Seçenekleri
TLS sürüm 1.1 ve altındaki sürümleri etkinleştirme (winhttp ayarları)
Önemli kayıt defteri yolları (wininet ve Internet Explorer ayarları)
-
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
-
Burada, grup ilkesi Düzenleyicisi'ni kullanıyorsanız etkin olan protokollerin değerini depolayan SecureProtocols'u bulabilirsiniz.
-
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
-
Burada, İnternet Seçenekleri'ni kullanıyorsanız etkin olan protokollerin değerini depolayan SecureProtocols'u bulabilirsiniz.
-
-
grup ilkesi SecureProtocols, İnternet Seçenekleri tarafından ayarlanandan önceliklidir.
Güvenli olmayan TLS geri dönüşünü etkinleştirme
Yukarıdaki değişiklikler TLS 1.0 ve TLS 1.1'i etkinleştirir. Ancak TLS geri dönüşünü etkinleştirmez. TLS geri dönüşünü etkinleştirmek için aşağıdaki yolların altındaki kayıt defterinde EnableInsecureTlsFallback değerini 1 olarak ayarlamanız gerekir.
-
Ayarları değiştirmek için: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
-
İlkeyi ayarlamak için: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
EnableInsecureTlsFallback yoksa, yeni bir DWORD girdisi oluşturup 1 olarak ayarlamanız gerekir.
Önemli kayıt defteri yolları
-
ForceDefaultSecureProtocols
-
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
-
Varsayılan olarak YANLIŞ'tır. Sıfır olmayan bir değer ayarlamak, uygulamaların winhttp seçeneğini kullanarak özel protokoller ayarlamasını durdurur.
-
-
EnableInsecureTlsFallback
-
Ayarları değiştirmek için: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
-
İlkeyi ayarlamak için: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
-
Varsayılan olarak YANLIŞ'tır. Sıfır olmayan bir değer ayarlamak, el sıkışması güvenli protokollerle (tls1.2 ve üzeri) başarısız olursa uygulamaların güvenli olmayan protokollere (TLS1.0 ve 1.1) geri dönmesini sağlar.
-