Cum se activează protocolul tls Internet Explorer. Eroare în Internet Explorer

Când accesează orice portal guvernamental sau de servicii (de exemplu, EIS), utilizatorul poate întâlni brusc eroarea „Nu este posibil să se conecteze în siguranță la această pagină. Site-ul poate folosi setări de securitate TLS învechite sau slabe.” Această problemă este destul de comună și este observată de câțiva ani în rândul diferitelor categorii de utilizatori. Să ne uităm la esența acestei erori și la opțiunile de rezolvare.

După cum știți, securitatea conexiunilor utilizatorilor la resursele rețelei este asigurată prin utilizarea SSL/TSL - protocoale criptografice responsabile cu transmiterea securizată a datelor pe Internet. Ei folosesc criptare simetrică și asimetrică, coduri de autentificare a mesajelor și altele caracteristici speciale, permițându-vă să păstrați confidențialitatea conexiunii, împiedicând terții să vă decripteze sesiunea.

Dacă, la conectarea la un site, browserul detectează că resursa folosește parametri incorecți ai protocolului de securitate SSL/TSL, utilizatorul primește mesajul de mai sus, iar accesul la site poate fi blocat.

Destul de des, situația cu protocolul TLS apare pe browserul IE - un instrument popular pentru lucrul cu special portaluri de stat asociate cu diverse forme de raportare. Lucrul cu astfel de portaluri necesită un browser. Internet Explorer, și aici problema luată în considerare apare în mod deosebit de des.

Cauzele erorii „Site-ul poate folosi setări de securitate TLS învechite sau nesigure” pot fi următoarele:

Cum să remediați disfuncția: Se folosesc setări de securitate TLS slabe

Soluția problemei poate fi metodele descrise mai jos. Dar înainte de a le descrie, vă recomand să reporniți pur și simplu computerul - indiferent cât de banal această metodă adesea se dovedește a fi destul de eficient.

Dacă nu ajută, atunci faceți următoarele:

• Dezactivează-ți temporar antivirusul. În destul de multe cazuri, antivirusul a blocat accesul la site-uri nesigure (conform evaluării sale). Dezactivați temporar program antivirus, sau dezactivați verificarea certificatelor în setările antivirus (de exemplu, „Nu verificați conexiunile securizate” pe Kaspersky antivirus);
• Instalați cea mai recentă versiune a programului CryptoPro pe computer (în cazul lucrului anterior cu acest program). O versiune învechită a produsului poate provoca o eroare conform căreia pagina nu este conectată în siguranță;
• Schimbați setările IE. Accesați „Opțiuni browser”, selectați fila „Securitate”, apoi faceți clic pe „Site-uri de încredere” (adresa portalului dvs. ar trebui să fie deja introdusă acolo, dacă nu, atunci introduceți-o). În partea de jos, debifați opțiunea „Activați modul protejat”.

  

  Apoi faceți clic pe butonul „Site-uri” de mai sus și debifați opțiunea „Pentru toate site-urile din această zonă...”. Faceți clic pe „Ok” și încercați să accesați site-ul problematic.

• Ștergeți cookie-urile browserului IE. Lansați browserul și apăsați butonul Alt pentru a afișa meniul. Selectați fila „Instrumente” - „Ștergeți istoricul browserului”, bifați caseta (dacă nu este prezentă) pe opțiunea „ Cookie-uri...”, apoi faceți clic pe „Ștergeți”;

  

• Dezactivați utilizarea programelor VPN (dacă există);
• Încercați să utilizați un browser diferit pentru a naviga la resursa problematică (în cazul în care nu vi se cere să utilizați un browser specific);
• Verificați-vă computerul pentru viruși (de exemplu, doctor Web Curate vă va ajuta);
• Dezactivați opțiunea „Secure Boot” din BIOS. În ciuda naturii nestandardizate a acestui sfat, acesta a ajutat mai mult de un utilizator să scape de eroarea „parametrilor TLS învechiți sau nesiguri”.

  

  Dezactivați opțiunea „Secure Boot” din BIOS

Concluzie

Cauza erorii „Site-ul poate folosi parametri de securitate a protocolului TLS învechiți sau nesiguri” este destul de des un antivirus local pentru computer, care, din anumite motive, blochează accesul la portalul de internet dorit. Dacă apare o situație problematică, este recomandat să dezactivați mai întâi antivirusul pentru a vă asigura că acesta nu cauzează problema în cauză. Dacă eroarea continuă să se repete, atunci vă recomand să treceți la implementarea altor sfaturi descrise mai jos pentru a rezolva problema setărilor nesigure de securitate a protocolului TSL pe computer.

În octombrie, inginerii Google au publicat informații despre o vulnerabilitate critică în SSL versiunea 3.0, care a primit un nume amuzant PUDEL(Umplutură Oracle pe criptare moștenită retrogradată sau pudel 🙂). Vulnerabilitatea permite unui atacator să obțină acces la informații criptate cu protocolul SSLv3 folosind un atac „man in” mijlocul" Atât serverele, cât și clienții care se pot conecta folosind protocolul SSLv3 sunt vulnerabili la vulnerabilitate.

În general, situația nu este surprinzătoare, deoarece... protocol SSL 3.0, introdus pentru prima dată în 1996, are deja 18 ani și este deja depășit din punct de vedere moral. În majoritatea sarcinilor practice, acesta a fost deja înlocuit cu un protocol criptografic TLS(versiunile 1.0, 1.1 și 1.2).

Pentru a vă proteja împotriva vulnerabilității POODLE, se recomandă să faceți pe deplin dezactivați suportul SSLv3 atât pe partea client, cât și pe partea serveruluiși de acum înainte folosiți numai TLS. Pentru utilizatorii de software vechi (cum ar fi cei care folosesc IIS 6 pe Windows XP), aceasta înseamnă că nu vor mai putea vizualiza pagini HTTPS sau nu vor mai putea folosi alte servicii SSL. Dacă suportul SSLv3 nu este complet dezactivat și este oferită implicit o criptare mai puternică, vulnerabilitatea POODLE va exista în continuare. Acest lucru se datorează particularităților de alegere și de a conveni asupra protocolului de criptare între client și server, deoarece Dacă este detectată o problemă în utilizarea TLS, are loc o tranziție automată la SSL.

Vă recomandăm să verificați toate serviciile care pot utiliza SSL/TLS sub orice formă și să dezactivați suportul SSLv3. Puteți verifica serverul dvs. web pentru vulnerabilități folosind test online, de exemplu, aici: http://poodlebleed.com/.

Nota. Trebuie să se înțeleagă clar că dezactivarea SSL v3 la nivel de sistem va funcționa numai pentru software care utilizează API-uri de sistem pentru criptarea SSL (Internet Explorer, IIS, SQL NLA, RRAS etc.). Programele care folosesc propriile instrumente cripto (Firefox, Opera etc.) trebuie actualizate și configurate individual.

Dezactivarea SSLv3 în Windows la nivel de sistem

În OS Control Windows suportul pentru protocoalele SSL/TLS este furnizat prin intermediul registrului.

În acest exemplu, vom arăta cum să dezactivați complet SSLv3 la nivel de sistem (atât la nivel de client, cât și la nivel de server) în Windows Server 2012 R2:

Dezactivați SSLv2 (Windows 2008 / Server și mai jos)

Sistemele de operare anterioare Windows 7 / Windows Server 2008 R2 utilizează implicit un protocol și mai puțin sigur și învechit SSL v2, care ar trebui, de asemenea, dezactivat din motive de securitate (în mai recent versiuni Windows, SSLv2 la nivel de client este dezactivat implicit și sunt utilizate numai SSLv3 și TLS1.0). Pentru a dezactiva SSLv2, trebuie să repetați procedura descrisă mai sus, doar pentru cheia de registry SSL 2.0.

Pe Windows 2008/2012, SSLv2 este dezactivat implicit la nivel de client.

Activați TLS 1.1 și TLS 1.2 în Windows Server 2008 R2 și versiuni ulterioare

Windows Server 2008 R2 / Windows 7 și versiuni ulterioare acceptă algoritmii de criptare TLS 1.1 și TLS 1.2, dar aceste protocoale sunt dezactivate implicit. Puteți activa suportul pentru TLS 1.1 și TLS 1.2 în aceste versiuni de Windows folosind un scenariu similar

Un utilitar pentru gestionarea protocoalelor criptografice de sistem în Windows Server

Există utilitate gratuită IIS Crypto, care vă permite să gestionați în mod convenabil parametrii protocoalelor criptografice în Windows Server 2003, 2008 și 2012. Folosind acest utilitar, puteți activa sau dezactiva oricare dintre protocoalele de criptare în doar două clicuri.

Programul are deja mai multe șabloane care vă permit să aplicați rapid presetări pentru diverse opțiuni setări de securitate.

Dacă întâmpinați o problemă în care accesul la un anumit site nu eșuează și apare un mesaj în browser, există o explicație rezonabilă pentru aceasta. Cauzele și soluțiile problemei sunt prezentate în acest articol.

Protocolul SSL TLS

Utilizatorii organizațiilor bugetare, și nu numai bugetare, ale căror activități sunt direct legate de finanțe, în interacțiune cu organizațiile financiare, de exemplu, Ministerul Finanțelor, Trezoreria etc., își desfășoară toate operațiunile exclusiv folosind protocolul securizat SSL. Practic, în munca lor ei folosesc browserul Internet Explorer. În unele cazuri - Mozilla Firefox.

Eroare SSL

Atenția principală la efectuarea acestor operațiuni și a muncii în general este acordată sistemului de securitate: certificate, semnături electronice. Folosit pentru muncă software CryptoPro versiunea curentă. Referitor la probleme cu protocoalele SSL și TLS, Dacă Eroare SSL a apărut, cel mai probabil nu există suport pentru acest protocol.

Eroare TLS

Eroare TLSîn multe cazuri, poate indica și lipsa suportului pentru protocol. Dar... să vedem ce se poate face în acest caz.

Suport protocol SSL și TLS

Deci, când folosind Microsoft Internet Explorer, pentru a vizita un site web securizat prin SSL, se afișează bara de titlu Asigurați-vă că protocoalele ssl și tls sunt activate. În primul rând, trebuie să activați suportul pentru protocolul TLS 1.0 în Internet Explorer.

Dacă vizitați un site web care rulează Internet Information Services 4.0 sau o versiune ulterioară, Configurare Internet Suportul TLS 1.0 al Explorer vă ajută să vă securizați conexiunea. Desigur, cu condiția ca serverul web la distanță pe care încercați să îl utilizați să accepte acest protocol.

Pentru a face acest lucru în meniu Serviciu selectați echipa Opțiuni Internet.

Pe fila În plus in sectiune Siguranţă, asigurați-vă că sunt bifate următoarele casete de selectare:

• Utilizați SSL 2.0
• Utilizați SSL 3.0
• Utilizați SSL 1.0

Faceți clic pe butonul Aplicați si apoi Bine . Reporniți browserul .

După activarea TLS 1.0, încercați să vizitați din nou site-ul web.

Politica de securitate a sistemului

Dacă tot apar erori cu SSL și TLS Dacă tot nu puteți utiliza SSL, serverul web la distanță probabil nu acceptă TLS 1.0. În acest caz, trebuie să dezactivați politica de sistem care necesită algoritmi conformi cu FIPS.

Pentru a face acest lucru, în Panouri de control selecta Administrare, apoi faceți dublu clic Politica locală de securitate.

În Setări de securitate locale, extindeți Politicile localeși apoi faceți clic pe butonul Setări de securitate.

Conform politicii din partea dreaptă a ferestrei, faceți dublu clic Criptografia sistemului: utilizați algoritmi conformi cu FIPS pentru criptare, hashing și semnareși apoi faceți clic pe butonul Dezactivat.

Atenţie!

Modificarea intră în vigoare atunci când politica de securitate locală este reaplicată. Porniți-l și reporniți browserul.

CryptoPro TLS SSL

Actualizați CryptoPro

Una dintre opțiunile pentru a rezolva problema este actualizarea CryptoPro, precum și configurarea resursei. ÎN în acest caz,, aceasta funcționează cu plăți electronice. Accesați Autoritatea de Certificare. Selectați Electronic Marketplaces ca resursă.

După lansare setări automate locul de muncă, va exista doar așteptați finalizarea procedurii, după care reîncărcați browserul. Dacă trebuie să introduceți sau să selectați o adresă de resursă, selectați-o pe cea de care aveți nevoie. De asemenea, poate fi necesar să reporniți computerul când configurarea este finalizată.

Acest cod de eroare apare de obicei pe ecran atunci când accesați un serviciu sau un site web guvernamental. Un exemplu izbitor este portalul oficial EIS. Este posibil ca eșecul să fi fost cauzat de parametrii protocolului TSL învechiți sau nesiguri. Aceasta este o problemă foarte comună. Utilizatorii îl întâlnesc pe o perioadă lungă de timp. Acum să ne dăm seama ce anume a cauzat această eroare și cum o remediam.

Securitatea conexiunii la site este asigurată prin utilizarea protocoalelor speciale de criptare – SSL și TSL. Acestea oferă securitate pentru transmiterea informațiilor. Protocoalele sunt construite pe utilizarea instrumentelor de criptare simetrice și asimetrice. De asemenea, sunt utilizate coduri de autentificare a mesajelor și alte opțiuni. Luate împreună, aceste măsuri fac posibilă menținerea anonimatului conexiunii, astfel încât terții sunt lipsiți de posibilitatea de a decripta sesiunea.

Când apare o eroare în browser care indică probleme cu protocolul TSL, aceasta înseamnă că site-ul web folosește parametri incorecți. Prin urmare, conexiunea nu este cu adevărat sigură. Accesul la portal este blocat automat.

Cel mai adesea, utilizatorii care lucrează prin browserul Internet Explorer întâmpină această eroare. Există mai multe motive pentru acest eșec, și anume:

• antivirusul blochează conexiunea la site;
• versiunea utilitarului CryptoPro este depășită;
• conexiunea la portal se realizează prin VPN;
• setări incorecte ale browserului Internet Explorer;
• funcția „SecureBoot” este activată în BIOS;
• Există fișiere infectate și viruși pe computer.

Am descoperit motivele erorii. E timpul să analizăm moduri posibile rezolvarea problemei.

Instrucțiuni pentru depanare

Dacă eroarea nu a dispărut, atunci este timpul să încercați metode alternative:

Practica arată că fiecare dintre sfaturile enumerate poate elimina problema. Așa că urmați instrucțiunile.

Concluzie

Experții susțin că subiectul în cauză eroare software apare din cauza antivirusului instalat pe computerul utilizatorului. Din anumite motive, programul blochează accesul la site. Prin urmare, mai întâi dezactivați pur și simplu antivirusul și modificați setările de verificare a certificatului. Este posibil ca acest lucru să rezolve problema. Dacă eroarea persistă, atunci încercați fiecare dintre sfaturile sugerate mai sus. Ca urmare, problema de securitate a protocolului TSL va fi rezolvată absolut.

Toate argumentele noastre se bazează pe faptul că sistemul de operare este Windows XP sau o versiune ulterioară (Vista, 7 sau 8), pe care au fost instalate toate actualizările și patch-urile corespunzătoare. Acum mai există o condiție: vorbim despre cele mai recente versiuni de browsere și nu despre „Ognelis sferic în vid”.

Deci, haideți să configuram browserele pe care să le folosiți versiunile actuale Protocolul TLS și nu-și folosește deloc versiunile învechite și SSL. Cel puțin, pe cât posibil în teorie.

Și teoria ne spune că, deși Internet Explorer acceptă TLS 1.1 și 1.2 deja din versiunea 8, sub Windows XP și Vista nu îl vom forța să facă acest lucru. Faceți clic pe: Tools/Internet Options/Advanced iar în secțiunea „Security” găsim: SSL 2.0, SSL 3.0, TLS 1.0... ați găsit altceva? Felicitări, veți avea TLS 1.1/1.2! Dacă nu l-au găsit, ai Windows XP sau Vista, iar în Redmond te consideră retardat.

Deci, debifați toate casetele SSL, bifați toate casetele TLS disponibile. Dacă este disponibil doar TLS 1.0, atunci așa să fie dacă sunt disponibile mai multe versiuni actuale, este mai bine să le selectați doar pe acestea și să debifați TLS 1.0 (și să nu fiți surprins mai târziu că unele site-uri nu se deschid prin HTTPS). Apoi faceți clic pe butoanele „Aplicați” și „OK”.

Este mai ușor cu Opera - ne organizează un banchet adevărat versiuni diferite protocoale: Instrumente/Setări generale/Avansat/Securitate/Securitate protocol. Ce vedem? Întregul set, din care lăsăm casetele de selectare doar pentru TLS 1.1 și TLS 1.2, după care facem clic pe butonul „Detalii” și acolo debifăm toate liniile cu excepția celor care încep cu „256 biți AES” - sunt chiar la început. Sfârşit. La începutul listei există o linie „AES pe 256 de biți ( Anonim DH/SHA-256), debifați și el. Faceți clic pe „OK” și bucurați-vă de securitate.

Cu toate acestea, Opera are o proprietate ciudată: dacă TLS 1.0 este activat, atunci dacă este necesar să se stabilească o conexiune sigură, folosește imediat această versiune a protocolului, indiferent dacă site-ul acceptă altele mai actuale. De exemplu, de ce să te deranjezi – totul este bine, totul este protejat. Când sunt activate doar TLS 1.1 și 1.2, se va încerca mai întâi versiunea mai avansată și numai dacă nu este acceptată de site browserul va trece la versiunea 1.1.

Dar Ognelis Firefox sferic nu ne va multumi deloc: Tools/Settings/Advanced/Encryption: tot ce putem face este sa dezactivam SSL, TLS este disponibil doar in versiunea 1.0, nu este nimic de facut - il lasam cu bifa.

Totuși, cel mai rău se învață prin comparație: Chrome și Safari nu conțin setări deloc pentru protocolul de criptare care să fie utilizat. Din câte știm, Safari nu acceptă versiuni TLS mai actuale decât 1.0 în versiunile pentru sistemul de operare Windows și, deoarece lansarea de noi versiuni pentru acest sistem de operare a fost întreruptă, nu va mai fi.

Chrome, din câte știm, acceptă TLS 1.1, dar, ca și în cazul Safari, nu putem refuza utilizarea SSL. Nu există nicio modalitate de a dezactiva TLS 1.0 în Chrome. Dar odată cu utilizarea efectivă a TLS 1.1 există o mare întrebare: a fost mai întâi pornit, apoi oprit din cauza unor probleme operaționale și, din câte se poate aprecia, nu a fost încă repornit. Adică, pare să existe suport, dar pare să fie dezactivat și nu există nicio modalitate ca utilizatorul să-l pornească din nou. Aceeași poveste este și cu Firefox - de fapt are suport pentru TLS 1.1, dar nu este încă disponibil pentru utilizator.

Rezumat din multilitera de mai sus. Care sunt pericolele generale ale utilizării versiunilor învechite ale protocoalelor de criptare? Faptul că altcineva va intra în conexiunea dumneavoastră securizată la site și va avea acces la toate informațiile „acolo” și „acolo”. În termeni practici, el va avea acces deplin la cutia poștală. e-mail, cont în sistemul client-bancă etc.

Este puțin probabil să spargeți accidental conexiunea sigură a altcuiva, vorbim doar despre acțiuni rău intenționate. Dacă probabilitatea unor astfel de acțiuni este scăzută sau informațiile transmise printr-o conexiune securizată nu sunt deosebit de valoroase, atunci nu trebuie să vă deranjați și să utilizați browsere care acceptă doar TLS 1.0.

ÎN altfel– nu există de ales: doar Opera și doar TLS 1.2 (TLS 1.1 este doar o îmbunătățire a TLS 1.0, moștenind parțial problemele de securitate). Cu toate acestea, este posibil ca site-urile noastre preferate să nu accepte TLS 1.2 :(