Comment activer le protocole tls sur internet explorer. Erreur dans Internet Explorer

Lorsqu'il se rend sur un portail d'état ou de service (par exemple, "EIS"), l'utilisateur peut soudainement rencontrer l'erreur "Impossible de se connecter en toute sécurité à cette page. Le site utilise peut-être des paramètres de sécurité TLS obsolètes ou faibles." Ce problème est assez courant, et a été corrigé depuis plusieurs années dans diverses catégories d'utilisateurs. Examinons l'essence de cette erreur et les options pour la résoudre.

Comme vous le savez, la sécurité de la connexion des utilisateurs aux ressources du réseau est assurée grâce à l'utilisation de SSL / TSL - protocoles cryptographiques responsables de la transmission sécurisée des données sur Internet. Ils utilisent un cryptage symétrique et asymétrique, des codes d'authentification de message, etc. capacités spéciales, vous permettant de garder votre connexion confidentielle, empêchant des tiers de déchiffrer la session.

Si, lors de la connexion à un site, le navigateur détermine que la ressource utilise des paramètres de protocole de sécurité SSL / TSL incorrects, l'utilisateur reçoit le message ci-dessus et l'accès au site peut être bloqué.

Assez souvent, la situation avec le protocole TLS se produit sur le navigateur IE, un outil populaire pour travailler avec des portails gouvernementaux associés à diverses formes de déclaration. Travailler avec de tels portails nécessite la présence obligatoire d'un navigateur Internet Explorer, et c'est sur elle que se pose particulièrement souvent le problème considéré.

Les causes de l'erreur "Le site utilise peut-être des paramètres de sécurité obsolètes ou non approuvés pour le protocole TLS" peuvent être les suivantes :

Comment résoudre le dysfonctionnement : des paramètres de sécurité TLS non approuvés sont utilisés

La solution au problème qui s'est posé peut être dans les méthodes décrites ci-dessous. Mais avant de les décrire, je recommande simplement de redémarrer votre PC - pour toute la trivialité cette méthode s'avère souvent très efficace.

Si cela ne vous aide pas, procédez comme suit :

• Désactivez temporairement votre antivirus. Dans de nombreux cas, l'antivirus a bloqué l'accès à des sites non fiables (selon ses estimations). Désactiver temporairement programme antivirus, ou désactivez la vérification des certificats dans les paramètres de l'antivirus (par exemple, "Ne pas analyser les connexions sécurisées" sur l'antivirus Kaspersky) ;
• Installez la dernière version du programme CryptoPro sur votre ordinateur (en cas de travail antérieur avec ce programme). Une version obsolète du produit peut provoquer une erreur indiquant qu'il n'y a pas de connexion sécurisée à la page ;
• Modifiez vos paramètres IE. Allez dans "Options Internet", sélectionnez l'onglet "Sécurité", puis cliquez sur "Sites de confiance" (l'adresse de votre portail doit déjà y être renseignée, sinon renseignez-la). En bas, décochez l'option "activer le mode protégé".

  

  Cliquez ensuite sur le bouton "Sites" ci-dessus, et décochez l'option "Pour tous les sites de cette zone...". Cliquez sur "OK" et essayez d'aller sur le site du problème.

• Supprimez les cookies de votre navigateur IE. Lancez le navigateur et appuyez sur le bouton Alt pour afficher le menu. Sélectionnez l'onglet "Outils" - "Supprimer l'historique de navigation", cochez la case (si absente) sur l'option " Biscuits… », puis cliquez sur « Supprimer » ;

  

• Désactiver l'utilisation des programmes VPN (le cas échéant) ;
• Essayez d'utiliser un autre navigateur pour accéder à la ressource problématique (au cas où vous n'êtes pas obligé d'utiliser un navigateur spécifique);
• Vérifiez la présence de virus sur votre PC (par exemple, le "Doctor Web Curate" éprouvé vous aidera);
• Désactivez l'option "Secure Boot" dans le BIOS. Malgré un certain non standard de ce conseil, il a aidé bien plus d'un utilisateur à se débarrasser de l'erreur "paramètres TLS obsolètes ou non fiables".

  

  Désactivez l'option "Secure Boot" dans le BIOS

Conclusion

La raison de l'erreur "Le site utilise peut-être des paramètres de sécurité obsolètes ou non fiables pour le protocole TLS" est assez souvent l'antivirus local du PC, bloquant pour une raison quelconque l'accès au portail Internet souhaité. Si une situation problématique survient, il est recommandé de désactiver au préalable votre antivirus afin de vous assurer qu'il ne cause pas le problème en question. Si l'erreur continue de se répéter, je vous recommande de passer à la mise en œuvre des autres conseils décrits ci-dessous afin de résoudre le problème des paramètres de sécurité du protocole TSL non fiables sur votre PC.

En contact avec

En octobre, les ingénieurs de Google ont publié des informations sur une vulnérabilité critique dans SSLVersion 3.0 avec un drôle de nom CANICHE(Padding Oracle On Downgraded Legacy Encryption ou Poodle 🙂). La vulnérabilité permet à un attaquant d'accéder à des informations cryptées avec le protocole SSLv3 à l'aide d'un "man in le milieu". Les vulnérabilités affectent à la fois les serveurs et les clients qui peuvent se connecter à l'aide du protocole SSLv3.

En général, la situation n'est pas surprenante, car. protocole SSL 3.0, introduit pour la première fois en 1996, a déjà 18 ans et est moralement dépassé. Dans la plupart des tâches pratiques, il a déjà été remplacé par un protocole cryptographique TLS(versions 1.0, 1.1 et 1.2).

Pour se protéger contre la vulnérabilité POODLE, il est fortement recommandé désactiver la prise en charge de SSLv3 côté client et côté serveur puis utilisez uniquement TLS. Pour les utilisateurs de logiciels hérités (par exemple, ceux qui utilisent IIS 6 sur Windows XP), cela signifie qu'ils ne pourront plus afficher les pages HTTPS et utiliser d'autres services SSL. Dans le cas où la prise en charge de SSLv3 n'est pas complètement désactivée et qu'un cryptage plus fort est proposé par défaut, la vulnérabilité POODLE se produira toujours. Cela est dû aux particularités du choix et de la négociation du protocole de chiffrement entre le client et le serveur, car lorsque des problèmes sont détectés dans l'utilisation de TLS, il y a une transition automatique vers SSL.

Nous vous recommandons de vérifier tous vos services pouvant utiliser SSL / TLS sous quelque forme que ce soit et de désactiver la prise en charge de SSLv3. Vous pouvez rechercher une vulnérabilité sur votre serveur Web à l'aide de essai en ligne, par exemple ici : http://poodlebleed.com/ .

Note. Il faut bien comprendre que la désactivation de SSL v3 au niveau du système ne fonctionnera que pour les logiciels qui utilisent les API système pour le cryptage SSL (Internet Explorer, IIS, SQL NLA, RRAS, etc.). Les programmes qui utilisent leurs propres outils de chiffrement (Firefox, Opera, etc.) doivent être mis à jour et configurés individuellement.

Désactiver SSLv3 dans Windows au niveau du système

SE Gestion des fenêtres La prise en charge des protocoles SSL/TLS est fournie via le registre.

Dans cet exemple, nous montrerons comment désactiver complètement SSLv3 au niveau du système (à la fois au niveau du client et du serveur) dans Serveur Windows 2012R2 :

Désactiver SSLv2 (Windows 2008 / Server et inférieur)

Dans les systèmes d'exploitation antérieurs à Windows 7 / Windows Server 2008 R2, un protocole encore moins sécurisé et obsolète est utilisé par défaut SSLv2, qui doit également être désactivé pour des raisons de sécurité (plus récemment Versions Windows, SSLv2 au niveau du client est désactivé par défaut et seuls SSLv3 et TLS1.0 sont utilisés). Pour désactiver SSLv2, vous devez répéter la procédure ci-dessus, uniquement pour la clé de registre SSL 2.0.

Dans Windows 2008/2012, SSLv2 au niveau du client est désactivé par défaut.

Activer TLS 1.1 et TLS 1.2 sur Windows Server 2008 R2 et versions ultérieures

Windows Server 2008 R2 / Windows 7 et versions ultérieures prennent en charge les algorithmes de chiffrement TLS 1.1 et TLS 1.2, mais ces protocoles sont désactivés par défaut. Vous pouvez activer la prise en charge de TLS 1.1 et TLS 1.2 dans ces versions de Windows en utilisant un scénario similaire

Utilitaire de gestion des protocoles cryptographiques du système dans Windows Server

Exister utilitaire gratuit IIS Crypto, qui vous permet de gérer facilement les paramètres des protocoles cryptographiques dans Windows Server 2003, 2008 et 2012. Grâce à cet utilitaire, vous pouvez activer ou désactiver l'un des protocoles de chiffrement en seulement deux clics.

Le programme dispose déjà de plusieurs modèles qui vous permettent d'appliquer rapidement des préréglages pour diverses options les paramètres de sécurité.

Si vous rencontrez un problème où l'accès à un site spécifique échoue et qu'un message apparaît dans votre navigateur, il existe une explication raisonnable à cela. Les causes et les solutions au problème sont données dans cet article.

Protocole SSL TLS

Les utilisateurs des organismes budgétaires, et pas seulement budgétaires, dont les activités sont directement liées à la finance, en coopération avec des organismes financiers, par exemple, le ministère des Finances, le Trésor, etc., effectuent toutes leurs opérations exclusivement en utilisant le protocole sécurisé SSL . Fondamentalement, dans leur travail, ils utilisent le navigateur Internet Explorer. Dans certains cas, Mozilla Firefox.

Erreur SSL

L'attention principale, lors de la réalisation de ces opérations, et du travail en général, est accordée au système de protection : certificats, signatures électroniques. Utilisé pour le travail Logiciel Version actuelle de Crypto Pro. Concernant problèmes avec les protocoles SSL et TLS, si Erreur SSL est apparu, très probablement il n'y a pas de support pour ce protocole.

Erreur TLS

Erreur TLS dans de nombreux cas, cela peut également indiquer le manque de prise en charge du protocole. Mais ... voyons ce qui peut être fait dans ce cas.

Prise en charge des protocoles SSL et TLS

Alors, à en utilisant Microsoft Internet Explorer pour visiter un site Web via SSL, la barre de titre affiche Assurez-vous que ssl et tls sont activés. Tout d'abord, vous devez activer la prise en charge du protocole TLS 1.0 dans Internet Explorer.

Si vous visitez un site Web qui exécute Internet Information Services 4.0 ou supérieur, Configuration Internet La prise en charge d'Explorer pour TLS 1.0 permet de sécuriser votre connexion. Bien sûr, à condition que le serveur Web distant que vous essayez d'utiliser supporte ce protocole.

Pour ce faire, le menu Un service sélectionner une équipe options Internet.

Sur l'onglet En outre Au chapitre Sécurité, assurez-vous que les cases suivantes sont cochées :

• Utiliser SSL 2.0
• Utiliser SSL 3.0
• Utiliser SSL 1.0

Cliquez sur le bouton Appliquer , et alors D'ACCORD . Redémarrez votre navigateur .

Après avoir activé TLS 1.0, essayez de visiter à nouveau le site Web.

Politique de sécurité du système

S'il y a encore erreurs avec SSL et TLS si vous ne pouvez toujours pas utiliser SSL, le serveur Web distant ne prend probablement pas en charge TLS 1.0. Dans ce cas, vous devez désactiver la stratégie système qui requiert des algorithmes compatibles FIPS.

Pour ce faire, en Panneaux de contrôle sélectionner Administration, puis double-cliquez Stratégie de sécurité locale.

Dans les paramètres de sécurité locaux, développez le nœud Politiques locales, puis cliquez sur le bouton Options de sécurité.

Selon la politique sur le côté droit de la fenêtre, double-cliquez sur Cryptographie du système : utilisez des algorithmes conformes à la norme FIPS pour le chiffrement, le hachage et la signature, puis cliquez sur le bouton désactivé.

Attention!

La modification prend effet après la réapplication de la stratégie de sécurité locale. Allumez-le, redémarrez votre navigateur.

CryptoPro TLS SSL

Mettre à jour Crypto Pro

L'une des options pour résoudre le problème consiste à mettre à jour CryptoPro, ainsi qu'à configurer une ressource. À ce cas, c'est le travail avec les paiements électroniques. Accédez à Autorité de certification. Pour la ressource, sélectionnez E-Marketplaces.

Après le lancement syntonisation automatique lieu de travail, uniquement attendre la fin de la procédure, ensuite Relancer le navigateur. Si vous devez entrer ou sélectionner une adresse de ressource, choisissez celle dont vous avez besoin. Vous devrez peut-être également redémarrer votre ordinateur une fois la configuration terminée.

Ce code d'erreur apparaît généralement à l'écran lorsque vous accédez à un service ou à un site Web gouvernemental. Un exemple frappant est le portail officiel de l'EIS. Il est possible que des paramètres de protocole TSL obsolètes ou non sécurisés soient à l'origine de l'échec. C'est un problème très courant. Les utilisateurs y sont confrontés pendant une longue période. Voyons maintenant ce qui a causé exactement cette erreur et comment y remédier.

La sécurité de la connexion au site Web est assurée par l'utilisation de protocoles de cryptage spéciaux - SSL et TSL. Ils assurent la protection de la transmission des informations. Les protocoles reposent sur l'utilisation d'outils de chiffrement symétriques et asymétriques. Des codes d'authentification de message et d'autres options sont également utilisés. Ensemble, ces mesures vous permettent de garder la connexion anonyme, de sorte que les tiers sont privés de la possibilité de décrypter la session.

Lorsqu'une erreur apparaît dans le navigateur annonçant des problèmes avec le protocole TSL, cela signifie que le site utilise des paramètres incorrects. Par conséquent, la connexion n'est effectivement pas sécurisée. L'accès au portail est automatiquement bloqué.

Le plus souvent, les utilisateurs qui travaillent via le navigateur Internet Explorer rencontrent une erreur. Plusieurs raisons expliquent cet échec, à savoir :

• l'antivirus bloque la connexion au site Web ;
• la version de l'utilitaire CryptoPro est obsolète ;
• la connexion au portail s'effectue via VPN ;
• paramètres incorrects navigateur Internet explorateur;
• la fonction "SecureBoot" est activée dans le BIOS ;
• il y a des fichiers infectés, des virus sur l'ordinateur.

Nous avons trouvé les raisons de l'erreur. Il est temps d'analyser les voies possibles résolution de problème.

Instructions de dépannage

Si l'erreur n'a pas disparu, il est temps d'essayer des méthodes alternatives :

La pratique montre que chacun des conseils énumérés peut résoudre le problème. Alors suivez simplement les instructions.

Conclusion

Les experts assurent que le défaillance du logiciel apparaît en raison de l'antivirus installé sur l'ordinateur de l'utilisateur. Pour une raison quelconque, le programme bloque l'accès au site Web. Par conséquent, désactivez d'abord l'antivirus, modifiez les paramètres de vérification du certificat. Il est probable que cela résoudra le problème. Si l'erreur n'a pas disparu, essayez chacun des conseils ci-dessus. En conséquence, le problème de sécurité du protocole TSL sera absolument résolu.

Tout notre raisonnement est basé sur le fait que vous utilisez Windows XP ou une version ultérieure (Vista, 7 ou 8), qui a toutes les mises à jour et correctifs appropriés installés. Maintenant, une condition de plus : on parle aujourd'hui des dernières versions des navigateurs, et non « d'Ognelis sphériques dans le vide ».

Ainsi, nous configurons les navigateurs pour qu'ils utilisent les versions actuelles du protocole TLS et n'utilisent pas du tout ses versions obsolètes et SSL. En tout cas, dans la mesure où cela est théoriquement possible.

Et la théorie nous dit que même si Internet Explorer supporte TLS 1.1 et 1.2 depuis la version 8, sous Windows XP et Vista nous ne le forcerons pas à le faire. Cliquez sur : Outils/Options Internet/Avancé et dans la rubrique "Sécurité" on trouve : SSL 2.0, SSL 3.0, TLS 1.0... trouvé autre chose ? Félicitations, vous aurez TLS 1.1/1.2 ! Non trouvé - vous avez Windows XP ou Vista, et à Redmond, vous êtes considéré comme un retardataire.

Donc, nous supprimons les coches de tous les SSL, nous les mettons sur tous les TLS disponibles. Si seul TLS 1.0 est disponible, qu'il en soit ainsi, s'il existe des versions plus à jour, mieux vaut ne sélectionner qu'elles, et décocher TLS 1.0 (et ne pas s'étonner plus tard que certains sites ne s'ouvrent pas via HTTPS) . Cliquez ensuite sur les boutons "Appliquer", "OK".

Avec Opéra, c'est plus simple, il nous organise un vrai banquet du différentes versions protocoles : Outils/Paramètres généraux/Avancé/Sécurité/Protocoles de sécurité. Que voyons-nous ? L'ensemble, à partir duquel nous ne laissons les cases à cocher que pour TLS 1.1 et TLS 1.2, après quoi nous cliquons sur le bouton "Détails" et là nous décochons toutes les lignes sauf celles qui commencent par "256 bits AES" - elles sont au tout finir. Au début de la liste il y a une ligne "256 bit AES ( Anonyme DH/SHA-256), décochez-la également. Cliquez sur "OK" et profitez de la sécurité.

Cependant, Opera a une propriété étrange : si TLS 1.0 est activé, alors s'il est nécessaire d'établir une connexion sécurisée, il utilise immédiatement cette version particulière du protocole, que le site en supporte ou non les plus récents. Comme, pourquoi souche - et tout va bien, tout est protégé. Lorsque vous activez uniquement TLS 1.1 et 1.2, il essaiera d'abord d'utiliser une version plus avancée, et seulement si elle n'est pas prise en charge par le site, le navigateur passera à la version 1.1.

Mais le sphérique Ognelis Firefox ne nous plaira pas du tout : Outils/Paramètres/Avancé/Cryptage : tout ce qu'on peut faire c'est désactiver SSL, TLS n'est disponible qu'en version 1.0, il n'y a rien à faire - on le laisse coché.

Cependant, le mal est appris en comparaison : Chrome et Safari ne contiennent aucun paramètre, quel protocole de cryptage utiliser. Pour autant que nous le sachions, Safari ne prend pas en charge les versions TLS plus récentes que 1.0 dans les versions sous Windows, et puisque la publication de nouvelles versions pour ce système d'exploitation a été interrompue, ce ne sera pas le cas.

Chrome, à notre connaissance, prend en charge TLS 1.1, mais, comme dans le cas de Safari, nous ne pouvons pas refuser d'utiliser SSL. La désactivation de TLS 1.0 dans Chrome est également impossible. Mais avec l'utilisation réelle de TLS 1.1 - une grande question : il a d'abord été activé, puis éteint en raison de problèmes de fonctionnement, et, pour autant que l'on sache, il n'a pas encore été rallumé. Autrement dit, le support semble être là, mais il est, pour ainsi dire, désactivé et il n'y a aucun moyen de le réactiver pour l'utilisateur lui-même. La même histoire avec Firefox - la prise en charge de TLS 1.1, en fait, l'est, mais elle n'est pas encore disponible pour l'utilisateur.

Résumé de la polylettre ci-dessus. Quel est le danger d'utiliser des versions obsolètes des protocoles de chiffrement ? Le fait que quelqu'un d'autre accède à votre connexion sécurisée au site et accède à toutes les informations "là" et "là". Dans un aspect pratique - obtiendra un accès complet à la boîte E-mail, un compte dans le système client-banque, etc.

Il est peu probable qu'il soit possible d'accéder accidentellement à la connexion sécurisée de quelqu'un d'autre, nous ne parlons que d'actions malveillantes. Si la probabilité de telles actions est faible ou si les informations transmises via une connexion sécurisée n'ont pas de valeur particulière, vous ne pouvez pas vous embêter et utiliser des navigateurs qui ne prennent en charge que TLS 1.0.

À autrement- pas le choix : uniquement Opera et uniquement TLS 1.2 (TLS 1.1 n'est qu'une amélioration de TLS 1.0, héritant en partie de ses problèmes de sécurité). Cependant, nos sites préférés peuvent ne pas prendre en charge TLS 1.2 :(