Gabim i parametrave të protokollit tls të pabesueshëm të Windows 10. Protokolli TLS në Internet Explorer

Kur shkon në çdo portal qeveritar ose shërbimi (për shembull, EIS), përdoruesi mund të hasë papritur gabimin "Nuk është e mundur të lidheni në mënyrë të sigurt me këtë faqe. Faqja mund të jetë duke përdorur cilësime të vjetëruara ose të dobëta të sigurisë TLS." Ky problem është mjaft i zakonshëm dhe është vërejtur prej disa vitesh në mesin e kategorive të ndryshme të përdoruesve. Le të shohim thelbin e këtij gabimi dhe opsionet për zgjidhjen e tij.

Siç e dini, siguria e lidhjeve të përdoruesve me burimet e rrjetit sigurohet përmes përdorimit të SSL/TSL - protokolleve kriptografike përgjegjëse për transmetimin e sigurt të të dhënave në internet. Ata përdorin kriptim simetrik dhe asimetrik, kode të vërtetimit të mesazheve dhe veçori të tjera të veçanta që ju lejojnë të ruani konfidencialitetin e lidhjes suaj, duke parandaluar palët e treta të deshifrojnë seancën tuaj.

Nëse, kur lidhet me një sajt, shfletuesi zbulon se burimi përdor parametra të gabuar të protokollit të sigurisë SSL/TSL, përdoruesi merr mesazhin e mësipërm dhe qasja në sajt mund të bllokohet.

Shumë shpesh, situata me protokollin TLS lind në shfletuesin IE, një mjet popullor për të punuar me portalet speciale të qeverisë që lidhen me forma të ndryshme raportimi. Puna me portale të tilla kërkon praninë e shfletuesit Internet Explorer, dhe problemi në fjalë lind veçanërisht shpesh në të.

Arsyet për gabimin "Sajti mund të jetë duke përdorur cilësime të vjetëruara ose të pasigurta të sigurisë TLS" mund të jenë si më poshtë:

Si të rregulloni mosfunksionimin: Po përdoren cilësime të dobëta të sigurisë TLS

Zgjidhja e problemit mund të jetë metodat e përshkruara më poshtë. Por, përpara se t'i përshkruani ato, unë rekomandoj që thjesht të rindizni kompjuterin tuaj - megjithëse e parëndësishme, kjo metodë shpesh rezulton të jetë mjaft efektive.

Nëse nuk ju ndihmon, atëherë bëni sa më poshtë:

konkluzioni

Shkaku i gabimit "Sajti mund të jetë duke përdorur parametra të vjetëruar ose jo të besueshëm të sigurisë të protokollit TLS" është mjaft shpesh një antivirus lokal i PC, i cili për arsye të caktuara bllokon hyrjen në portalin e dëshiruar të Internetit. Nëse lind një situatë problematike, rekomandohet që fillimisht të çaktivizoni antivirusin tuaj për t'u siguruar që ai nuk po shkakton problemin në fjalë. Nëse gabimi vazhdon të përsëritet, atëherë unë rekomandoj të vazhdoni me zbatimin e këshillave të tjera të përshkruara më poshtë për të zgjidhur problemin e cilësimeve të sigurisë jo të besueshme të protokollit TSL në kompjuterin tuaj.

Protokolli SSL TLS

Përdoruesit organizatat buxhetore, dhe jo vetëm buxhetore, aktivitetet e të cilave lidhen drejtpërdrejt me financat, në ndërveprim me organizatat financiare, p.sh. Ministria e Financave, Thesari etj., kryejnë të gjitha operacionet e tyre ekskluzivisht duke përdorur protokollin e sigurt SSL. Në thelb, në punën e tyre ata përdorin shfletuesin Internet Explorer. Në disa raste Mozilla Firefox.

Lajme kompjuterike, rishikime, zgjidhja e problemeve kompjuterike, Lojra kompjuterike, drejtues dhe pajisje dhe të tjera programet kompjuterike." title="programe, drejtues, probleme me kompjuterin, lojra" target="_blank">!}

Gabim SSL

Vëmendja kryesore gjatë kryerjes së këtyre operacioneve dhe punës në përgjithësi i kushtohet sistemit të sigurisë: certifikatat, nënshkrimet elektronike. Përdoret për punë software Versioni aktual i CryptoPro. në lidhje me probleme me protokollet SSL dhe TLS, Nëse Gabim SSL u shfaq, ka shumë të ngjarë që nuk ka mbështetje për këtë protokoll.

Gabim TLS

Gabim TLS në shumë raste mund të tregojë edhe mungesë të mbështetjes së protokollit. Por... le të shohim se çfarë mund të bëhet në këtë rast.

Mbështetja e protokollit SSL dhe TLS

Pra, kur përdorni Microsoft Internet Explorer për të vizituar një faqe interneti të siguruar me SSL, shfaqet shiriti i titullit Sigurohuni që protokollet ssl dhe tls janë të aktivizuara. Para së gjithash, është e nevojshme aktivizoni mbështetjen e protokollit TLS 1.0 në Internet Explorer.

Lajme kompjuterike, rishikime, zgjidhje për problemet me kompjuterin, lojëra kompjuterike, drejtues dhe pajisje dhe programe të tjera kompjuterike." title="programs, drivers, probleme me kompjuterin, lojra" target="_blank">Компьютерная помощь, драйверы, программы, игры!}

Nëse jeni duke vizituar një faqe interneti që përdor Internet Information Services 4.0 ose më të lartë, konfigurimi i Internet Explorer për të mbështetur TLS 1.0 ndihmon në sigurimin e lidhjes tuaj. Sigurisht, me kusht që serveri i largët i uebit që po përpiqeni të përdorni e mbështet këtë protokoll.

Për ta bërë këtë në meny Shërbimi zgjidhni ekipin Opsionet e Internetit.

Në skedën Për më tepër Në kapitull Siguria, sigurohuni që të jenë zgjedhur kutitë e mëposhtme të kontrollit:

Përdorni SSL 2.0
Përdorni SSL 3.0
Përdorni TLS 1.0

Klikoni butonin Aplikoni , dhe pastaj Ne rregull . Rinisni shfletuesin tuaj .

Pasi të aktivizoni TLS 1.0, provoni të vizitoni përsëri faqen e internetit.

Politika e Sigurisë së Sistemit

Nëse ato ende ndodhin gabime me SSL dhe TLS Nëse ende nuk mund të përdorni SSL, serveri i largët i uebit ndoshta nuk e mbështet TLS 1.0. Në këtë rast, është e nevojshme çaktivizoni politikën e sistemit, e cila kërkon algoritme në përputhje me FIPS.

Për ta bërë këtë, në Panelet e kontrollit zgjidhni Administrata, dhe pastaj klikoni dy herë Politika Lokale e Sigurisë.

Në Cilësimet e Sigurisë Lokale, zgjeroje Politikat lokale dhe pastaj klikoni butonin Cilësimet e sigurisë.

Sipas politikës në anën e djathtë të dritares, klikoni dy herë Kriptografia e sistemit: përdorni algoritme në përputhje me FIPS për kriptim, hash dhe nënshkrim dhe pastaj klikoni butonin I paaftë .

Kujdes! Ndryshimi hyn në fuqi pasi të riaplikohet politika lokale e sigurisë. Kjo eshte ndize Dhe rinisni shfletuesin tuaj .

CryptoPro TLS SSL

Përditëso CryptoPro

Tjetra, një nga opsionet për zgjidhjen e problemit është përditësimi i CryptoPro, si dhe konfigurimi i burimit. Në këtë rast, kjo është puna me pagesa elektronike. Prandaj, shkojmë në Qendrën e Certifikimit për të konfiguruar automatikisht burimin. Ne zgjedhim platformat e tregtimit elektronik si burim.

Pas fillimit të konfigurimit automatik të vendit të punës, gjithçka që mbetet është prisni që procedura të përfundojë, pastaj ringarkoni shfletuesin. Nëse duhet të futni ose zgjidhni një adresë burimi, zgjidhni atë që ju nevojitet. Mund t'ju duhet gjithashtu të rinisni kompjuterin tuaj kur të përfundojë konfigurimi.

Konfigurimi i SSL TLS

Konfigurimi i rrjetit

Një tjetër opsion mund të jetë çaktivizimi i NetBIOS mbi TCP/IP- ndodhet në vetitë e lidhjes.

Regjistrimi DLL

Hapni Command Prompt si Administrator dhe futni komandën regsvr32 cpcng. Për një OS 64-bit, duhet të përdorni të njëjtin regsvr32 që është në syswow64.

Ky kod gabimi zakonisht shfaqet në ekran kur shkoni në një uebsajt të shërbimit ose të qeverisë. Një shembull i mrekullueshëm është portali zyrtar EIS. Është e mundur që dështimi të jetë shkaktuar nga parametra të vjetëruar ose të pasigurt të protokollit TSL. Ky është një problem shumë i zakonshëm. Përdoruesit e hasin atë për një periudhë të gjatë kohore. Tani le të kuptojmë se çfarë e shkaktoi saktësisht këtë gabim dhe si ta rregullojmë atë.

Siguria e lidhjes me faqen e internetit sigurohet duke përdorur protokolle speciale të kriptimit – SSL dhe TSL. Ato ofrojnë siguri për transmetimin e informacionit. Protokollet janë ndërtuar mbi përdorimin e mjeteve të kriptimit simetrik dhe asimetrik. Përdoren gjithashtu kodet e vërtetimit të mesazheve dhe opsione të tjera. Të marra së bashku, këto masa bëjnë të mundur ruajtjen e anonimitetit të lidhjes, kështu që palëve të treta u hiqet mundësia për të deshifruar seancën.

Kur shfaqet një gabim në shfletuesin që tregon probleme me protokollin TSL, kjo do të thotë që faqja e internetit po përdor parametra të pasaktë. Prandaj, lidhja nuk është vërtet e sigurt. Qasja në portal bllokohet automatikisht.

Më shpesh, përdoruesit që punojnë përmes shfletuesit të Internet Explorer hasin në këtë gabim. Ka disa arsye për këtë dështim, përkatësisht:

antivirusi bllokon lidhjen me faqen e internetit;
versioni i mjetit CryptoPro është i vjetëruar;
lidhja me portalin kryhet përmes VPN;
cilësimet e pasakta të shfletuesit të Internet Explorer;
funksioni "SecureBoot" aktivizohet në BIOS;
Ka skedarë dhe viruse të infektuar në kompjuter.

Ne kuptuam arsyet e gabimit. Është koha për të analizuar mënyrat e mundshme zgjidhjen e problemit.

Udhëzime për zgjidhjen e problemeve

Nëse gabimi nuk është zhdukur, atëherë është koha të provoni metoda alternative:

Praktika tregon se secila nga këshillat e listuara mund ta eliminojë problemin. Pra, thjesht ndiqni udhëzimet.

konkluzioni

Ekspertët pohojnë se dështimi i softuerit në fjalë shfaqet për shkak të antivirusit të instaluar në kompjuterin e përdoruesit. Për disa arsye programi po bllokon hyrjen në faqen e internetit. Prandaj, së pari thjesht çaktivizoni antivirusin dhe ndryshoni cilësimet e verifikimit të certifikatës. Ka të ngjarë që kjo të zgjidhë problemin. Nëse gabimi vazhdon, atëherë provoni secilën nga këshillat e sugjeruara më sipër. Si rezultat, problemi i sigurisë së protokollit TSL do të zgjidhet absolutisht.

Sot, shumë njerëz dhe organizata përdorin shërbimet e bankingut në internet. Bankat kryejnë periodikisht kontrolle sigurie të sistemeve të tyre, lëshojnë udhëzime dhe rekomandime për punë të sigurt me bankingun në internet, por përdoruesit jo gjithmonë e dinë nëse lidhja me bankën e internetit që ata janë mësuar të përdorin është e mbrojtur mirë.

Në këtë artikull do të vlerësojmë sigurinë e lidhjeve me shërbimet në internet të bankave ruse TOP-50 (sipas aktiveve).

Siguria e lidhjes së përdoruesve me bankat online sigurohet duke përdorur protokollet SSL/TLS. Aktualisht, ka dobësi të njohura "të profilit të lartë" SSL/TLS, të cilave u janë dhënë emra dhe/ose logo (Beast, Poodle, Heartbleed, Freak, Logjam). Dobësitë e njohura SSL/TLS, ndër të tjera, ju lejojnë të deshifroni seancat, të përgjoni dhe zëvendësoni të dhënat e transferuara midis përdoruesit dhe serverit, të cilat, për arsye të dukshme, anashkalohen nga shumica e përdoruesve.

Shpesh problemi qëndron në përdorimin e algoritmeve kriptografike të vjetruara dhe të dobëta në nivelin aktual të fuqisë kompjuterike, dhe në disa raste prania e dobësive të pazgjidhura në softuerin e përdorur. E gjithë kjo rrezikon sigurinë e pagesave të bëra nga përdoruesit në bankat online.

Niveli i sigurisë SSL/TLS i bankave ruse

Për të vlerësuar nivelin e sigurisë së konfigurimit SSL/TLS në serverët tuaj, mund të përdorni mjetin falas të Testimit të Serverit SSL nga Qualys SSL Labs. Duke përdorur këtë mjet, studiuesi i pavarur Troy Hunt përpiloi një përmbledhje të nivelit të duhur të sigurisë së bankave australiane.

Në komentet e artikullit të Troy mund të shihni lidhje me tabela të ngjashme për vende të ndryshme: Lituania, Danimarka, Holanda, Hollanda-2, Republika Çeke, Britania e Madhe.

Kam përgatitur një tabelë të ngjashme (të datës 22.05.15) për bankat TOP-50 të Federatës Ruse.
Në përgjithësi, situata është larg nga ideale. Ndër bankat në dhjetëshen e parë ka katër nota “F” dhe krahasuar me vendet e tjera ky është një tregues i dobët.

Me përjashtim të Logjam-it, ka kaluar mjaft kohë që nga zbulimi i këtyre dobësive dhe problemeve të protokollit/kripto-algoritmit, gjë që së paku tregon se shumë banka nuk monitorojnë periodikisht sigurinë e burimeve të tyre të internetit ose nuk kryejnë kompensime të përshtatshme. masat.

Çdo burimi në internet i caktohet një vlerësim "SSL Server Test" në një shkallë nga A në F. Plus dhe ngjyrë jeshile do të thotë se nuk ka cenueshmëri/problem përkatës. Minus dhe e kuqja tregojnë të kundërtën. Disa burime të internetit nuk mund të kontrolloheshin për arsyet e treguara në tabelë.

Përfundimet kryesore

Disa banka ende përdorin parametra të pasigurt të shkëmbimit të çelësave Diffie-Hellman me gjatësi kyçe prej 512 dhe 768 bit, gjë që i ka zvogëluar ato automatikisht vlerësimi i përgjithshëm në "F" (ky rast ndodh edhe në dhjetëshen e parë). Burimet e cenueshme janë shënuar me minus në kolonën “DH”.
Disa banka janë të cenueshme ndaj sulmeve FREAK, të cilat e uli vlerësimin e tyre të përgjithshëm në "F". Duke përdorur këtë dobësi, sulmuesit mund të detyrojnë shfletuesin e klientit të përdorë kriptografi të dobët nga grupi i shifrimit RSA "eksporti". Burimet e cenueshme ndaj sulmit janë shënuar me minus në kolonën "Freak".
Një pjesë e konsiderueshme e burimeve të internetit kanë një cenueshmëri POODLE, e cila e uli vlerësimin e tyre të përgjithshëm në "F". Duke përdorur këtë dobësi, sulmuesit mund të kenë akses në informacionin e koduar të transmetuar midis klientit dhe serverit. Në thelb, këto janë dobësi të pasigurta të protokollit SSL3 dhe mund të rregullohen duke çaktivizuar protokollin SSL3 në serverët e uebit. Në dy raste, protokolli i cenueshëm ndaj POODLE është TLS dhe kërkohet një patch për të rregulluar cenueshmërinë. Burimet e pambrojtura ndaj sulmit janë shënuar me minus në kolonën "POODLE".
Disa banka ende përdorin protokollin e pasigurt SSL2, i cili ka ulur vlerësimin e tyre të përgjithshëm në një "F". Protokolli SSL2 përdor një funksion hash kriptografik të pasigurt MD5 dhe shifra të dobëta. Sulmet MITM janë të mundshme për shkak të mungesës së verifikimit SSL. Përveç kësaj, SSL2 përdor gjithashtu flamurin TCP FIN për të mbyllur seancën, i cili mund të mashtrohet, duke e lënë përdoruesin të pavetëdijshëm nëse transferimi i të dhënave ka përfunduar. Burimet që mbështesin protokollin SSL2 janë shënuar me minus në kolonën "SSL2".
Një pjesë e konsiderueshme e burimeve të internetit kanë cenueshmërinë Logjam, e cila u zbulua kohët e fundit. Prania e cenueshmërisë uli vlerësimin e përgjithshëm në "B". Ashtu si cenueshmëria FREAK, Logjam lejon një sulmues të detyrojë shfletuesin e klientit të përdorë kriptografi të dobët DH me çelësa 512-bit. Burimet e cenueshme ndaj sulmit janë shënuar me minus në kolonën "Logjam".
Një pjesë e konsiderueshme e bankave ende përdorin protokollin e vjetëruar dhe të pasigurt SSL3, i cili ka reduktuar rezultatin e tyre të përgjithshëm në një "B". Burimet që mbështesin protokollin SSL3 janë shënuar me minus në kolonën "SSL3".
Disa faqe interneti nuk mbështesin versionin më të fundit dhe më të sigurt të protokollit TLS 1.2, i cili ul vlerësimin e tyre të përgjithshëm në një B. Burimet që nuk mbështesin protokollin TLS 1.2 shënohen me minus në kolonën "TLS1.2".
Shumica e bankave ende përdorin shifra RC4, gjë që e ka ulur vlerësimin e tyre të përgjithshëm në një "B". Dobësia RC4 është për shkak të rastësisë së pamjaftueshme të rrjedhës së biteve të përdorura për të rrahur mesazhin, duke lejuar që të dhënat e përgjuara të deshifrohen. Burimet që mbështesin shifrën RC4 janë shënuar me minus në kolonën "RC4".
Shumica dërrmuese e bankave ende përdorin algoritmin e hashimit SHA-1, i cili konsiderohet i dobët dhe i pasigurt. Tashmë, shfletuesit e uebit caktojnë statuse të ndryshme për lidhjet me SHA-1 ("e sigurt por me gabime", "të pasigurt", "të pabesueshme"). Duke injoruar refuzimin aktual të SHA-1, bankat po i mësojnë përdoruesit e tyre që të mos i kushtojnë vëmendje statuseve dhe mesazheve të tilla të shfletuesit. Përdorimi i SHA-1 praktikisht nuk kishte asnjë efekt në rezultatin e përgjithshëm dhe është shënuar me minus në kolonën "SHA-1".
Shumica dërrmuese e bankave nuk kanë zbatuar ose zbatuar pjesërisht përcaktimin e sigurisë së protokolleve kyçe të marrëveshjeve - Forward Secrecy. Kur përdorni Forward Secrecy, çelësat e sesionit nuk do të rrezikohen nëse çelësi privat është i rrezikuar. Burimet që nuk përdorin Forward Secrecy për shumicën e shfletuesve modernë janë shënuar me minus në kolonën "FS".
Vlen të përmendet se dobësia Heartbleed për fat të mirë nuk u gjet në asnjë nga burimet e testuara të internetit.

Vlerësimet e mësipërme humbasin rëndësinë e tyre me kalimin e kohës, gjë që mund të kërkojë ri-kontrollimin e tyre duke përdorur "SSL Server Test". Për shembull, gjatë shkrimit të këtij artikulli, vlerësimi i serverit të internetit VTB24 Telebank ndryshoi nga "F" në "A-", dhe dobësia Poodle u eliminua në faqen e internetit të bankës së Internetit Rosbank. Rezultatet e kontrolleve të "SSL Server Test" ofrojnë rekomandime për zgjidhjen e problemeve të identifikuara, të cilat mund të përmblidhen në kërkesat për konfigurimin e SSL/TLS në serverët e uebit:

Çaktivizo mbështetjen për protokollet e pasigurta SSL2, SSL3.
Aktivizo mbështetjen për protokollin më të avancuar TLS 1.2.
Ndalo përdorimin e certifikatave SHA-1.
Ndalo përdorimin e shifrës RC4.
Konfiguro Forward Secrecy dhe sigurohu që funksioni funksionon për shumicën e shfletuesve modernë.
Rregulloni cenueshmërinë e Poodle duke çaktivizuar protokollin SSL3 ose duke instaluar një patch për cenueshmërinë e protokollit TLS.
Rregulloni cenueshmërinë e Freak duke çaktivizuar mbështetjen për eksportimin e paketave të shifrave.
Adresoni cenueshmërinë Logjam duke çaktivizuar mbështetjen për eksportimin e paketave të shifrave dhe duke gjeneruar një grup unik 2048-bit Diffie-Hellman.

Përdoruesit këshillohen me kujdesçaktivizoni SSL 2.0 dhe SSL 3.0 në cilësimet e shfletuesit tuaj dhe aktivizoni mbështetjen për TLS 1.0, TLS 1.1 dhe TLS 1.2 (kini kujdes, sepse ka banka që mbështesin nga ana e serverit vetëm SSL 3.0). Dhe, natyrisht, kur lidheni, përdoruesit duhet të hedhin një vështrim më të afërt në certifikatën e serverit dhe statusin e tij në shfletues.

TLS është një pasardhës i SSL, një protokoll që siguron një lidhje të besueshme dhe të sigurt midis nyjeve në internet. Përdoret në zhvillimin e klientëve të ndryshëm, duke përfshirë shfletuesit dhe aplikacionet klient-server. Çfarë është TLS në Internet Explorer?

Pak për teknologjinë

Të gjitha ndërmarrjet dhe organizatat që angazhohen në transaksione financiare përdorin këtë protokoll për të parandaluar përgjimin e paketave dhe aksesin e paautorizuar nga ndërhyrës. Kjo teknologji është krijuar për të mbrojtur lidhjet e rëndësishme nga sulmet nga ndërhyrës.

Në thelb, organizatat e tyre përdorin një shfletues të integruar. Në disa raste - Mozilla Firefox.

Aktivizimi ose çaktivizimi i një protokolli

Ndonjëherë është e pamundur të hysh në disa sajte sepse mbështetja për teknologjitë SSL dhe TLS është e çaktivizuar. Një njoftim shfaqet në shfletuesin. Pra, si mund t'i aktivizoni protokollet në mënyrë që të mund të vazhdoni të shijoni komunikime të sigurta?
1. Hapni Panelin e Kontrollit nëpërmjet Start. Një mënyrë tjetër: hapni Explorer dhe klikoni në ikonën e ingranazheve në këndin e sipërm të djathtë.

2. Shkoni te seksioni "Opsionet e shfletuesit" dhe hapni bllokun "Advanced".

3.Kontrollo kutitë pranë "Përdor TLS 1.1 dhe TLS 1.2".

4. Klikoni OK për të ruajtur ndryshimet tuaja. Nëse dëshironi të çaktivizoni protokollet, gjë që nuk rekomandohet shumë, veçanërisht nëse përdorni banking në internet, zgjidhni të njëjtat artikuj.

Cili është ndryshimi midis 1.0 dhe 1.1 dhe 1.2? 1.1 është vetëm një version paksa i përmirësuar i TLS 1.0, i cili trashëgoi pjesërisht të metat e tij. 1.2 është versioni më i sigurt i protokollit. Nga ana tjetër, jo të gjitha sajtet mund të hapen me këtë version protokolli të aktivizuar.

Siç e dini, mesazheri i Skype është i lidhur drejtpërdrejt me Internet Explorer si një komponent i Windows. Nëse nuk e keni protokollin TLS të shënuar në cilësimet, atëherë mund të shfaqen probleme me Skype. Programi thjesht nuk do të jetë në gjendje të lidhet me serverin.

Nëse mbështetja TLS është e çaktivizuar në cilësimet e Internet Explorer, të gjitha funksionet e programit të lidhura me rrjetin nuk do të funksionojnë. Për më tepër, siguria e të dhënave tuaja varet nga kjo teknologji. Mos e neglizhoni nëse kryeni transaksione financiare në këtë shfletues (blerje në dyqane online, transferim parash përmes bankingut online ose e-portofolit, etj.).