Kaip įjungti tls internet explorer protokolą. „Internet Explorer“ klaida

Eidamas į bet kurį valdžios ar paslaugų portalą (pavyzdžiui, EIS), vartotojas gali staiga susidurti su klaida „Neįmanoma saugiai prisijungti prie šio puslapio. Svetainėje gali būti naudojami pasenę arba silpni TLS saugos nustatymai. Ši problema yra gana dažna ir jau keletą metų pastebima įvairių kategorijų naudotojams. Pažvelkime į šios klaidos esmę ir jos sprendimo galimybes.

Kaip žinia, vartotojų prisijungimo prie tinklo išteklių saugumas užtikrinamas naudojant SSL/TSL – kriptografinius protokolus, atsakingus už saugų duomenų perdavimą internete. Jie naudoja simetrinį ir asimetrinį šifravimą, pranešimų autentifikavimo kodus ir kt specialios savybės, leidžianti išlaikyti ryšio konfidencialumą, neleidžiant trečiosioms šalims iššifruoti jūsų seanso.

Jei prisijungdama prie svetainės naršyklė nustato, kad resursas naudoja neteisingus SSL/TSL saugos protokolo parametrus, vartotojas gauna aukščiau pateiktą pranešimą, todėl prieiga prie svetainės gali būti užblokuota.

Gana dažnai situacija su TLS protokolu iškyla IE naršyklėje - populiariame įrankyje dirbant su specialiais valstybiniai portalai susiję su įvairiomis ataskaitų formomis. Norint dirbti su tokiais portalais, reikalinga naršyklė. Internet Explorer, ir būtent čia ypač dažnai iškyla nagrinėjama problema.

Klaidos „Svetainėje gali būti naudojami pasenę arba nesaugūs TLS saugos nustatymai“ priežastys gali būti šios:

Kaip ištaisyti sutrikimą: naudojami silpni TLS saugos nustatymai

Problemos sprendimas gali būti toliau aprašyti metodai. Tačiau prieš juos aprašant rekomenduoju tiesiog iš naujo paleisti kompiuterį – kad ir koks nereikšmingas būtų šis metodas dažnai pasirodo esąs gana veiksmingas.

Jei tai nepadeda, atlikite šiuos veiksmus:

• Laikinai išjunkite antivirusinę programą. Nemažai atvejų antivirusinė programa blokavo prieigą prie nepatikimų (jos vertinimu) svetainių. Laikinai išjungti antivirusinė programa, arba išjunkite sertifikatų tikrinimą antivirusiniuose nustatymuose (pvz., „Kaspersky antivirusinėje“ „Netikrinti saugių ryšių“);
• Įdiekite naujausią CryptoPro programos versiją savo kompiuteryje (jei anksčiau dirbote su šia programa). Pasenusi produkto versija gali sukelti klaidą, kad puslapis nėra saugiai prijungtas;
• Pakeiskite IE nustatymus. Eikite į „Naršyklės parinktys“, pasirinkite skirtuką „Sauga“, tada spustelėkite „Patikimos svetainės“ (ten jau turėtų būti įvestas jūsų portalo adresas, jei ne, įveskite). Apačioje panaikinkite parinkties „Įjungti apsaugotą režimą“ žymėjimą.

  

  Tada spustelėkite aukščiau esantį mygtuką „Svetainės“ ir panaikinkite parinkties „Visoms svetainėms šioje zonoje...“ žymėjimą. Spustelėkite „Gerai“ ir pabandykite eiti į probleminę svetainę.

• Ištrinkite IE naršyklės slapukus. Paleiskite naršyklę ir paspauskite Alt mygtuką, kad būtų rodomas meniu. Pasirinkite skirtuką „Įrankiai“ - „Ištrinti naršyklės istoriją“, pažymėkite langelį (jei nėra) prie parinkties „ Slapukai...“, tada spustelėkite „Ištrinti“;

  

• Išjungti VPN programų naudojimą (jei yra);
• Pabandykite naudoti kitą naršyklę, kad pereitumėte į probleminį šaltinį (jei jums nereikia naudoti jokios konkrečios naršyklės);
• Patikrinkite, ar kompiuteryje nėra virusų (pavyzdžiui, patikrintas Doctor Web Curate padės);
• BIOS išjunkite parinktį „Saugus įkrovimas“. Nepaisant tam tikro nestandartinio šio patarimo pobūdžio, jis padėjo ne vienam vartotojui atsikratyti „pasenusių arba nepatikimų TLS parametrų“ klaidos.

  

  BIOS išjunkite parinktį „Saugus įkrovimas“.

Išvada

Klaidos „Svetainėje gali būti naudojami pasenę arba nepatikimi TLS protokolo saugumo parametrai“ priežastis gana dažnai yra vietinė kompiuterio antivirusinė programa, kuri dėl tam tikrų priežasčių blokuoja prieigą prie norimo interneto portalo. Iškilus probleminei situacijai, pirmiausia rekomenduojama išjungti antivirusinę programą, kad įsitikintumėte, jog ji nesukelia atitinkamos problemos. Jei klaida kartojasi, rekomenduoju pereiti prie kitų toliau aprašytų patarimų, kad išspręstumėte nepatikimų TSL protokolo saugos nustatymų jūsų kompiuteryje problemą.

Spalio mėn. Google inžinieriai paskelbė informaciją apie kritinį pažeidžiamumą SSL versija 3.0, kuri gavo juokingą pavadinimą PUDLIS(Padding Oracle On Downgraded Legacy Encryption arba pudelis 🙂). Dėl pažeidžiamumo užpuolikas gali pasiekti informaciją, užšifruotą SSLv3 protokolu, naudojant „žmogaus viduje“ ataką. vidurį“ Tiek serveriai, tiek klientai, galintys prisijungti naudodami SSLv3 protokolą, yra pažeidžiami.

Apskritai situacija nestebina, nes... protokolas SSL 3.0, pirmą kartą pristatytas dar 1996 m., jau 18 metų ir jau morališkai pasenęs. Daugumoje praktinių užduočių jis jau buvo pakeistas kriptografiniu protokolu TLS(1.0, 1.1 ir 1.2 versijos).

Norint apsisaugoti nuo POODLE pažeidžiamumo, rekomenduojama visiškai išjungti SSLv3 palaikymą tiek kliento, tiek serverio pusėje ir nuo šiol naudoti tik TLS. Pasenusios programinės įrangos naudotojams (pvz., naudojantiems IIS 6 sistemoje Windows XP), tai reiškia, kad jie nebegalės peržiūrėti HTTPS puslapių ar naudotis kitomis SSL paslaugomis. Jei SSLv3 palaikymas nėra visiškai išjungtas ir pagal numatytuosius nustatymus siūlomas stipresnis šifravimas, POODLE pažeidžiamumas vis tiek išliks. Taip yra dėl šifravimo protokolo pasirinkimo ir susitarimo tarp kliento ir serverio ypatumų, nes Jei aptinkama TLS naudojimo problema, automatiškai pereinama prie SSL.

Rekomenduojame patikrinti visas paslaugas, kurios gali naudoti SSL/TLS bet kokia forma, ir išjungti SSLv3 palaikymą. Galite patikrinti savo žiniatinklio serverį, ar nėra pažeidžiamumų, naudodami internetinis testas, pavyzdžiui, čia: http://poodlebleed.com/.

Pastaba. Turite aiškiai suprasti, kad SSL v3 išjungimas visos sistemos lygiu veiks tik programinėje įrangoje, kuri naudoja sistemos API SSL šifravimui (Internet Explorer, IIS, SQL NLA, RRAS ir kt.). Programas, kurios naudoja savo šifravimo įrankius (Firefox, Opera ir kt.), reikia atnaujinti ir konfigūruoti individualiai.

SSLv3 išjungimas sistemoje Windows sistemos lygiu

OS „Windows“ valdymas SSL/TLS protokolų palaikymas teikiamas per registrą.

Šiame pavyzdyje parodysime, kaip visiškai išjungti SSLv3 sistemos lygiu (tiek kliento, tiek serverio lygiu) „Windows Server“. 2012 R2:

Išjungti SSLv2 („Windows 2008“ / „Server“ ir senesnės versijos)

Ankstesnės nei Windows 7 / Windows Server 2008 R2 OS pagal numatytuosius nustatymus naudoja dar mažiau saugų ir pasenusį protokolą SSL v2, kuris saugumo sumetimais taip pat turėtų būti išjungtas (naujausioje „Windows“ versijos, SSLv2 kliento lygiu pagal numatytuosius nustatymus yra išjungtas ir naudojami tik SSLv3 ir TLS1.0). Norėdami išjungti SSLv2, turite pakartoti aukščiau aprašytą procedūrą tik su registro raktu SSL 2.0.

Windows 2008/2012 SSLv2 pagal numatytuosius nustatymus yra išjungtas kliento lygiu.

Įgalinkite TLS 1.1 ir TLS 1.2 Windows Server 2008 R2 ir naujesnėse versijose

„Windows Server 2008 R2“ / „Windows 7“ ir naujesnės versijos palaiko TLS 1.1 ir TLS 1.2 šifravimo algoritmus, tačiau pagal numatytuosius nustatymus šie protokolai yra išjungti. Galite įjungti TLS 1.1 ir TLS 1.2 palaikymą šiose „Windows“ versijose naudodami panašų scenarijų

Priemonė, skirta valdyti sistemos kriptografinius protokolus sistemoje „Windows Server“.

Egzistuoja nemokamas įrankis IIS Crypto, leidžianti patogiai valdyti kriptografinių protokolų parametrus Windows Server 2003, 2008 ir 2012. Naudodami šią priemonę galite įjungti arba išjungti bet kurį šifravimo protokolą vos dviem paspaudimais.

Programoje jau yra keli šablonai, leidžiantys greitai pritaikyti išankstinius nustatymus įvairių variantų saugos parametrai.

Jei susiduriate su problema, kai nepavyksta pasiekti konkrečios svetainės, o naršyklėje pasirodo pranešimas, tai yra pagrįstas paaiškinimas. Problemos priežastys ir sprendimai pateikiami šiame straipsnyje.

SSL TLS protokolas

Biudžetinių organizacijų, o ne tik biudžetinių, kurių veikla yra tiesiogiai susijusi su finansais, vartotojai, bendradarbiaudami su finansinėmis organizacijomis, pavyzdžiui, Finansų ministerija, Iždu ir kt., visas savo operacijas atlieka tik naudodami saugų SSL protokolą. Iš esmės savo darbe jie naudoja „Internet Explorer“ naršyklę. Kai kuriais atvejais – „Mozilla Firefox“.

SSL klaida

Pagrindinis dėmesys atliekant šias operacijas ir apskritai darbą skiriamas apsaugos sistemai: sertifikatams, elektroniniai parašai. Naudotas darbui programinė įranga CryptoPro dabartinė versija. Kalbant apie problemų su SSL ir TLS protokolais, Jei SSL klaida pasirodė, greičiausiai šis protokolas nepalaikomas.

TLS klaida

TLS klaida daugeliu atvejų tai taip pat gali rodyti protokolo palaikymo trūkumą. Bet... pažiūrėkime, ką tokiu atveju galima padaryti.

SSL ir TLS protokolų palaikymas

Taigi, kada naudojant Microsoft Internet Explorer, norėdami apsilankyti SSL apsaugotoje svetainėje, rodoma pavadinimo juosta Įsitikinkite, kad įjungti ssl ir tls protokolai. Visų pirma, „Internet Explorer“ turite įjungti TLS 1.0 protokolo palaikymą.

Jei lankotės svetainėje, kurioje veikia 4.0 ar naujesnės versijos Internet Information Services, Interneto sąranka„Explorer“ TLS 1.0 palaikymas padeda apsaugoti jūsų ryšį. Žinoma, jei nuotolinis žiniatinklio serveris, kurį bandote naudoti, palaiko šį protokolą.

Norėdami tai padaryti meniu Aptarnavimas pasirinkti komandą Interneto parinktys.

Skirtuke Papildomai skyriuje Saugumas, įsitikinkite, kad pažymėti šie žymimieji laukeliai:

• Naudokite SSL 2.0
• Naudokite SSL 3.0
• Naudokite SSL 1.0

Spustelėkite mygtuką Taikyti ir tada Gerai . Iš naujo paleiskite naršyklę .

Įjungę TLS 1.0, pabandykite dar kartą apsilankyti svetainėje.

Sistemos saugumo politika

Jei jie vis tiek atsiranda SSL ir TLS klaidos Jei vis tiek negalite naudoti SSL, nuotolinis žiniatinklio serveris tikriausiai nepalaiko TLS 1.0. Tokiu atveju turite išjungti sistemos politiką, kuriai reikalingi su FIPS suderinami algoritmai.

Norėdami tai padaryti, į Valdymo pultai pasirinkite Administravimas, tada dukart spustelėkite Vietinė saugumo politika.

Vietos saugos nustatymuose išskleiskite Vietos politika ir tada spustelėkite mygtuką Saugos nustatymai.

Pagal politiką dešinėje lango pusėje dukart spustelėkite Sistemos kriptografija: šifravimui, maišai ir pasirašymui naudokite su FIPS suderinamus algoritmus ir tada spustelėkite mygtuką Išjungta.

Dėmesio!

Pakeitimas įsigalioja, kai iš naujo taikoma vietinė saugos politika. Įjunkite jį ir iš naujo paleiskite naršyklę.

CryptoPro TLS SSL

Atnaujinkite CryptoPro

Viena iš problemos sprendimo variantų yra atnaujinti CryptoPro, taip pat sukonfigūruoti išteklius. IN šiuo atveju, tai veikia su elektroniniais mokėjimais. Eikite į sertifikavimo įstaigą. Kaip šaltinį pasirinkite Elektroninės prekyvietės.

Po paleidimo automatiniai nustatymai darbo vieta, bus tik palaukite, kol procedūra bus baigta, po kurio iš naujo įkelti naršyklę. Jei reikia įvesti arba pasirinkti ištekliaus adresą, pasirinkite tą, kurio jums reikia. Taip pat gali reikėti iš naujo paleisti kompiuterį, kai sąranka bus baigta.

Šis klaidos kodas paprastai rodomas ekrane, kai apsilankote tarnybos ar vyriausybės svetainėje. Ryškus pavyzdys yra oficialus EIS portalas. Gali būti, kad gedimą sukėlė pasenę arba nesaugūs TSL protokolo parametrai. Tai labai dažna problema. Vartotojai su tuo susiduria ilgą laiką. Dabar išsiaiškinkime, kas tiksliai sukėlė šią klaidą ir kaip ją ištaisyti.

Prisijungimo prie svetainės saugumas užtikrinamas naudojant specialius šifravimo protokolus – SSL ir TSL. Jie užtikrina informacijos perdavimo saugumą. Protokolai sukurti naudojant simetrinius ir asimetrinius šifravimo įrankius. Taip pat naudojami pranešimų autentifikavimo kodai ir kitos parinktys. Kartu šios priemonės leidžia išlaikyti ryšio anonimiškumą, todėl trečiosios šalys netenka galimybės iššifruoti seanso.

Kai naršyklėje pasirodo klaida, nurodanti TSL protokolo problemas, tai reiškia, kad svetainė naudoja neteisingus parametrus. Todėl ryšys tikrai nėra saugus. Prieiga prie portalo automatiškai blokuojama.

Dažniausiai su šia klaida susiduria vartotojai, dirbantys per Internet Explorer naršyklę. Yra keletas šios nesėkmės priežasčių, būtent:

• antivirusinė programa blokuoja ryšį su svetaine;
• „CryptoPro“ programos versija yra pasenusi;
• prisijungimas prie portalo vykdomas per VPN;
• neteisingi Internet Explorer naršyklės nustatymai;
• BIOS suaktyvinta funkcija „SecureBoot“;
• Kompiuteryje yra užkrėstų failų ir virusų.

Mes išsiaiškinome klaidos priežastis. Atėjo laikas analizuoti galimi būdai problemos sprendimas.

Trikčių šalinimo instrukcijos

Jei klaida neišnyko, laikas išbandyti alternatyvius metodus:

Praktika rodo, kad kiekvienas iš išvardytų patarimų gali pašalinti problemą. Taigi tiesiog vykdykite instrukcijas.

Išvada

Ekspertai tvirtina, kad nagrinėjama tema programinės įrangos gedimas atsiranda dėl vartotojo kompiuteryje įdiegtos antivirusinės programos. Dėl tam tikrų priežasčių programa blokuoja prieigą prie svetainės. Todėl pirmiausia tiesiog išjunkite antivirusinę programą ir pakeiskite sertifikato tikrinimo nustatymus. Tikėtina, kad tai išspręs problemą. Jei klaida išlieka, išbandykite kiekvieną iš aukščiau pateiktų patarimų. Dėl to TSL protokolo saugumo problema bus visiškai išspręsta.

Visi mūsų argumentai yra pagrįsti tuo, kad operacinė sistema yra Windows XP arba naujesnė versija (Vista, 7 arba 8), kurioje buvo įdiegti visi atitinkami atnaujinimai ir pataisos. Dabar yra dar viena sąlyga: kalbame apie naujausias naršyklių versijas, o ne apie „sferinį Ognelį vakuume“.

Taigi, sukonfigūruokime naudoti naršykles dabartinės versijos TLS protokolą ir visai nenaudojant pasenusių jo versijų bei SSL. Bent jau kiek įmanoma teoriškai.

Ir teorija sako, kad nors „Internet Explorer“ palaiko TLS 1.1 ir 1.2 jau nuo 8 versijos, „Windows XP“ ir „Vista“ mes nepriversime to daryti. Spustelėkite: Įrankiai/Interneto parinktys/Išplėstinė ir skiltyje „Sauga“ randame: SSL 2.0, SSL 3.0, TLS 1.0... ar dar ką nors radote? Sveikiname, turėsite TLS 1.1/1.2! Jei jie to nerado, turite Windows XP arba Vista, o Redmonde jie laiko jus atsilikusiu.

Taigi, panaikinkite visų SSL langelių žymėjimą, pažymėkite visus galimus TLS langelius. Jei galimas tik TLS 1.0, tada jei yra daugiau dabartinių versijų, geriau pasirinkti tik jas ir panaikinti TLS 1.0 žymėjimą (ir vėliau nenustebkite, kad kai kurios svetainės neatsidaro per HTTPS). Tada spustelėkite mygtukus „Taikyti“ ir „Gerai“.

Su Opera lengviau – ji surengia mums tikrą banketą skirtingos versijos protokolai: Įrankiai/Bendrieji nustatymai/Išplėstiniai/Sauga/Protokolų sauga. Ką mes matome? Visas rinkinys, iš kurio paliekame žymimuosius langelius tik TLS 1.1 ir TLS 1.2, po to paspaudžiame mygtuką „Išsami informacija“ ir ten panaikiname visų eilučių žymėjimą, išskyrus tas, kurios prasideda „256 bitų AES“ - jos yra pačioje vietoje. pabaiga. Sąrašo pradžioje yra eilutė „256 bitų AES ( Anonimas DH/SHA-256), taip pat panaikinkite žymėjimą. Spustelėkite „Gerai“ ir džiaukitės saugumu.

Tačiau „Opera“ turi vieną keistą savybę: jei įjungtas TLS 1.0, tada, jei reikia užmegzti saugų ryšį, ji iš karto naudoja šią protokolo versiją, nepaisant to, ar svetainė palaiko naujesnes. Kaip, kam vargti – viskas gerai, viskas saugoma. Kai įjungtos tik TLS 1.1 ir 1.2, pirmiausia bus bandoma naudoti pažangesnę versiją ir tik jei svetainė jos nepalaiko, naršyklė persijungs į 1.1 versiją.

Bet sferinis Ognelis Firefox mūsų visai nedžiugins: Tools/Settings/Advanced/Encryption: viskas, ką galime padaryti, tai išjungti SSL, TLS yra tik 1.0 versijoje, nėra ką veikti - paliekame su varnele.

Tačiau blogiausia išmokstama palyginus: „Chrome“ ir „Safari“ iš viso nėra nustatymų, kurį šifravimo protokolą naudoti. Kiek mums žinoma, „Safari“ nepalaiko naujesnių nei 1.0 TLS versijų „Windows“ OS versijose, o kadangi naujų šios OS versijų išleidimas buvo nutrauktas, tai ir nebus.

„Chrome“, kiek žinome, palaiko TLS 1.1, tačiau, kaip ir „Safari“ atveju, negalime atsisakyti naudoti SSL. Nėra jokio būdo išjungti TLS 1.0 naršyklėje „Chrome“. Tačiau iš tikrųjų naudojant TLS 1.1 kyla didelis klausimas: ji iš pradžių buvo įjungta, paskui išjungta dėl veikimo problemų ir, kiek galima spręsti, dar nebuvo įjungta. Tai yra, atrodo, kad palaikymas yra, bet atrodo, kad jis išjungtas, o vartotojas negali jo vėl įjungti. Ta pati istorija yra su „Firefox“ – ji iš tikrųjų palaiko TLS 1.1, tačiau ji dar nepasiekiama vartotojui.

Santrauka iš aukščiau pateikto daugiaraščio. Kokie bendri pavojai kyla naudojant pasenusias šifravimo protokolų versijas? Tai, kad kažkas kitas prisijungs prie jūsų saugaus ryšio su svetaine ir gaus prieigą prie visos informacijos „ten“ ir „ten“. Praktiškai jis turės visišką prieigą prie pašto dėžutės. paštu, sąskaita klientas-banko sistemoje ir kt.

Mažai tikėtina, kad netyčia įsilaužsite į saugų kažkieno ryšį, kalbame tik apie piktybinius veiksmus. Jei tokių veiksmų tikimybė maža arba saugiu ryšiu perduodama informacija nėra itin vertinga, tuomet nereikia vargti ir naudotis naršyklėmis, kurios palaiko tik TLS 1.0.

IN kitaip– nėra pasirinkimo: tik Opera ir tik TLS 1.2 (TLS 1.1 yra tik TLS 1.0 patobulinimas, iš dalies paveldėjęs jos saugumo problemas). Tačiau mūsų mėgstamiausios svetainės gali nepalaikyti TLS 1.2 :(