Ak narazíte na problém, pri ktorom zlyhá prístup na konkrétnu stránku a vo vašom prehliadači sa zobrazí správa, existuje rozumné vysvetlenie. Príčiny a riešenia problému sú uvedené v tomto článku.
Protokol SSL TLS
Používatelia rozpočtových organizácií, a to nielen rozpočtových, ktorých činnosť priamo súvisí s financiami, v interakcii s finančnými organizáciami, napr. Ministerstvom financií, Štátnou pokladnicou a pod., vykonávajú všetky svoje operácie výlučne pomocou zabezpečeného protokolu SSL. V podstate pri svojej práci používajú prehliadač Internet Explorer. V niektorých prípadoch - Mozilla Firefox.
Chyba SSL
Hlavná pozornosť pri vykonávaní týchto operácií a práce vo všeobecnosti sa venuje bezpečnostnému systému: certifikáty, elektronické podpisy. Na obsluhu sa používa aktuálna verzia softvéru CryptoPro. Čo sa týka problémy s protokolmi SSL a TLS, Ak Chyba protokolu SSL sa objavil, s najväčšou pravdepodobnosťou neexistuje podpora pre tento protokol.
Chyba TLS
Chyba TLS v mnohých prípadoch môže tiež naznačovať nedostatočnú podporu protokolov. Ale... pozrime sa, čo sa dá v tomto prípade robiť.
Podpora protokolov SSL a TLS
Keď teda na návštevu webovej lokality zabezpečenej protokolom SSL použijete prehliadač Microsoft Internet Explorer, zobrazí sa záhlavie Uistite sa, že sú povolené protokoly ssl a tls. V prvom rade je potrebné povoliť podporu protokolu TLS 1.0 v Internet Exploreri.
Ak navštevujete webovú lokalitu, ktorá používa Internet Information Services 4.0 alebo novšiu, konfigurácia Internet Explorera na podporu TLS 1.0 pomôže zabezpečiť vaše pripojenie. Samozrejme za predpokladu, že vzdialený webový server, ktorý sa pokúšate použiť, podporuje tento protokol.
Ak to chcete urobiť v ponuke servis vybrať tím možnosti internetu.
Na karte Okrem toho V kapitole Bezpečnosť, uistite sa, že sú začiarknuté nasledujúce políčka:
- Použite SSL 2.0
- Použite SSL 3.0
- Použite SSL 1.0
Kliknite na tlačidlo Použiť , a potom OK . Reštartujte prehliadač .
Po povolení TLS 1.0 skúste webovú stránku navštíviť znova.
Politika bezpečnosti systému
Ak sa ešte vyskytnú chyby s SSL a TLS Ak stále nemôžete používať SSL, vzdialený webový server pravdepodobne nepodporuje TLS 1.0. V tomto prípade musíte zakázať systémovú politiku, ktorá vyžaduje algoritmy kompatibilné s FIPS.
Ak to chcete urobiť, v Ovládacie panely vyberte Administrácia a potom dvakrát kliknite Miestna bezpečnostná politika.
V Nastaveniach lokálneho zabezpečenia rozbaľte Miestne politiky a potom kliknite na tlačidlo Bezpečnostné nastavenia.
Podľa pravidiel na pravej strane okna dvakrát kliknite Systémová kryptografia: na šifrovanie, hashovanie a podpisovanie používajte algoritmy kompatibilné s FIPS a potom kliknite na tlačidlo Zakázané.
Pozor!
Zmena sa prejaví po opätovnom použití lokálnej bezpečnostnej politiky. Zapnite ho a reštartujte prehliadač.
CryptoPro TLS SSL
Aktualizujte CryptoPro
Jednou z možností riešenia problému je aktualizácia CryptoPro, ako aj konfigurácia zdroja. V tomto prípade ide o prácu s elektronickými platbami. Prejdite na certifikačnú autoritu. Ako zdroj vyberte Elektronické trhoviská.
Po spustení automatického nastavenia pracoviska zostáva už len počkajte na dokončenie postupu, potom znova načítať prehliadač. Ak potrebujete zadať alebo vybrať adresu zdroja, vyberte tú, ktorú potrebujete. Po dokončení inštalácie môže byť potrebné reštartovať počítač.
TLS je nástupcom protokolu SSL, ktorý poskytuje spoľahlivé a bezpečné spojenie medzi uzlami na internete. Používa sa pri vývoji rôznych klientov, vrátane prehliadačov a aplikácií klient-server. Čo je TLS v Internet Exploreri?
Trochu o technológii
Všetky podniky a organizácie, ktoré sa zapájajú do finančných transakcií, používajú tento protokol, aby zabránili odpočúvaniu paketov a neoprávnenému prístupu narušiteľov. Táto technológia je navrhnutá tak, aby chránila dôležité spojenia pred útokmi narušiteľov.
Ich organizácie v podstate používajú vstavaný prehliadač. V niektorých prípadoch - Mozilla Firefox.
Povolenie alebo zakázanie protokolu
Na niektoré stránky je niekedy nemožné pristupovať, pretože je zakázaná podpora technológií SSL a TLS. V prehliadači sa zobrazí upozornenie. Ako teda môžete povoliť protokolom, aby si naďalej užívali zabezpečenú komunikáciu?
1. Otvorte Ovládací panel cez Štart. Iný spôsob: otvorte Prieskumníka a kliknite na ikonu ozubeného kolieska v pravom hornom rohu.
2. Prejdite do časti „Možnosti prehliadača“ a otvorte blok „Rozšírené“.
3. Začiarknite políčka vedľa položky „Použiť TLS 1.1 a TLS 1.2.“
4. Kliknutím na tlačidlo OK uložte zmeny. Ak chcete deaktivovať protokoly, čo sa dôrazne neodporúča, najmä ak používate online bankovníctvo, zrušte začiarknutie rovnakých položiek.
Aký je rozdiel medzi 1.0 a 1.1 a 1.2? 1.1 je len mierne vylepšená verzia TLS 1.0, ktorá čiastočne zdedila svoje nedostatky. 1.2 je najbezpečnejšia verzia protokolu. Na druhej strane, nie všetky lokality sa môžu otvárať s touto povolenou verziou protokolu.
Ako viete, Skype messenger je priamo pripojený k Internet Exploreru ako komponent systému Windows. Ak nemáte v nastaveniach zaškrtnutý protokol TLS, môžu nastať problémy so Skype. Program sa jednoducho nebude môcť pripojiť k serveru.
Ak je v nastaveniach Internet Explorera zakázaná podpora TLS, nebudú fungovať všetky sieťové funkcie programu. Okrem toho od tejto technológie závisí bezpečnosť vašich údajov. Nezanedbávajte ho, ak v tomto prehliadači vykonávate finančné transakcie (nákupy v internetových obchodoch, prevody peňazí cez online bankovníctvo alebo elektronickú peňaženku atď.).
V októbri inžinieri Google zverejnili informácie o kritickej zraniteľnosti v SSL verzia 3.0, ktorá dostala vtipný názov PUDLE(Padding Oracle On Downgraded Legacy Encryption alebo pudel 🙂). Zraniteľnosť umožňuje útočníkovi získať prístup k informáciám zašifrovaným protokolom SSLv3 pomocou útoku „man in the middle“. Servery aj klienti, ktorí sa môžu pripojiť pomocou protokolu SSLv3, sú zraniteľní voči tejto zraniteľnosti.
Vo všeobecnosti nie je situácia prekvapujúca, pretože... protokol SSL 3.0, prvýkrát predstavený v roku 1996, má už 18 rokov a je už morálne zastaraný. Vo väčšine praktických úloh už bol nahradený kryptografickým protokolom TLS(verzie 1.0, 1.1 a 1.2).
Na ochranu pred zraniteľnosťou POODLE sa odporúča plne zakázať podporu SSLv3 na strane klienta aj na strane servera a odteraz používať iba TLS. Pre používateľov staršieho softvéru (napríklad tých, ktorí používajú IIS 6 v systéme Windows XP) to znamená, že už nebudú môcť prezerať stránky HTTPS ani používať iné služby SSL. Ak podpora SSLv3 nie je úplne vypnutá a predvolene je ponúkané silnejšie šifrovanie, zraniteľnosť POODLE bude stále existovať. Je to kvôli zvláštnostiam výberu a dohodnutia šifrovacieho protokolu medzi klientom a serverom, pretože Ak sa zistia problémy pri používaní TLS, dôjde k automatickému prechodu na SSL.
Odporúčame vám skontrolovať všetky vaše služby, ktoré môžu používať SSL/TLS v akejkoľvek forme, a vypnúť podporu SSLv3. Zraniteľnosť svojho webového servera môžete skontrolovať pomocou online testu, napríklad tu: http://poodlebleed.com/.
Poznámka. Musí byť jasné, že zakázanie SSL v3 na celosystémovej úrovni bude fungovať len pre softvér, ktorý používa systémové API na šifrovanie SSL (Internet Explorer, IIS, SQL NLA, RRAS atď.). Programy, ktoré používajú svoje vlastné kryptografické nástroje (Firefox, Opera atď.), je potrebné aktualizovať a nakonfigurovať individuálne.
Zakázanie SSLv3 v systéme Windows na systémovej úrovni
V OS Windows je podpora protokolov SSL/TLS spravovaná prostredníctvom registra.
V tomto príklade ukážeme, ako úplne zakázať SSLv3 na systémovej úrovni (na úrovni klienta aj servera) v systéme Windows Server 2012 R2:
Zakázať SSLv2 (Windows 2008 / Server a nižšie)
Operačné systémy staršie ako Windows 7 / Windows Server 2008 R2 štandardne používajú ešte menej bezpečný a zastaraný protokol SSL v2, ktorá by mala byť zakázaná aj z bezpečnostných dôvodov (v novších verziách systému Windows je štandardne vypnutý protokol SSLv2 na úrovni klienta a používajú sa iba protokoly SSLv3 a TLS1.0). Ak chcete zakázať protokol SSLv2, musíte zopakovať vyššie popísaný postup iba pre kľúč databázy Registry SSL 2.0.
V systéme Windows 2008/2012 je protokol SSLv2 na úrovni klienta štandardne vypnutý.
Povoľte TLS 1.1 a TLS 1.2 v systéme Windows Server 2008 R2 a novšom
Windows Server 2008 R2 / Windows 7 a vyššie podporujú šifrovacie algoritmy TLS 1.1 a TLS 1.2, ale tieto protokoly sú predvolene zakázané. V týchto verziách systému Windows môžete povoliť podporu pre TLS 1.1 a TLS 1.2 pomocou podobného scenára
Pomôcka na správu systémových kryptografických protokolov v systéme Windows Server
K dispozícii je bezplatná utilita IIS Crypto, ktorá vám umožňuje pohodlne spravovať parametre kryptografických protokolov vo Windows Server 2003, 2008 a 2012. Pomocou tejto pomôcky môžete povoliť alebo zakázať ktorýkoľvek zo šifrovacích protokolov iba dvoma kliknutiami.
Program už má niekoľko šablón, ktoré vám umožňujú rýchlo aplikovať predvoľby rôznych nastavení zabezpečenia.
Protokol TLS šifruje internetový prenos všetkých typov, čím zabezpečuje komunikáciu a predaj online. Povieme si, ako protokol funguje a čo nás čaká v budúcnosti.
Z článku sa dozviete:
Čo je SSL
SSL alebo Secure Sockets Layer bol pôvodný názov protokolu, ktorý Netscape vyvinul v polovici 90. rokov. SSL 1.0 nebol nikdy verejne dostupný a verzia 2.0 mala vážne nedostatky. SSL 3.0, vydaný v roku 1996, bol úplne prepracovaný a udával tón pre ďalšiu fázu vývoja.
Čo je TLS
Keď bola v roku 1999 vydaná ďalšia verzia protokolu, Internet Engineering Task Force ho štandardizovala a dala mu nový názov: Transport Layer Security alebo TLS. Ako uvádza dokumentácia TLS, "rozdiel medzi týmto protokolom a SSL 3.0 nie je kritický." TLS a SSL tvoria pokračujúci rad protokolov a často sa kombinujú pod názvom SSL/TLS.
Protokol TLS šifruje internetový prenos akéhokoľvek druhu. Najbežnejším typom je webová návštevnosť. Viete, kedy váš prehliadač nadviaže pripojenie TLS – ak odkaz v paneli s adresou začína „https“.
TLS používajú aj iné aplikácie, ako sú poštové a telekonferenčné systémy.
Ako funguje TLS
Pre bezpečnú online komunikáciu je potrebné šifrovanie. Ak vaše údaje nie sú šifrované, ktokoľvek ich môže analyzovať a čítať citlivé informácie.
Najbezpečnejšia metóda šifrovania je asymetrické šifrovanie. Vyžaduje si to 2 kľúče, 1 verejný a 1 súkromný. Ide o súbory s informáciami, najčastejšie veľmi veľkými číslami. Mechanizmus je zložitý, no jednoducho povedané, na šifrovanie dát môžete použiť verejný kľúč, no na dešifrovanie potrebujete súkromný kľúč. Tieto dva kľúče sú prepojené pomocou zložitého matematického vzorca, ktorý je ťažké hacknúť.
Verejný kľúč si môžete predstaviť ako informáciu o umiestnení zamknutej poštovej schránky s dierou a súkromný kľúč ako kľúč, ktorý poštovú schránku otvára. Každý, kto vie, kde je krabica, tam môže vložiť list. Na jej prečítanie však človek potrebuje kľúč na otvorenie škatule.
Keďže asymetrické šifrovanie využíva zložité matematické výpočty, vyžaduje si veľa výpočtových zdrojov. TLS rieši tento problém pomocou asymetrického šifrovania iba na začiatku relácie na šifrovanie komunikácie medzi serverom a klientom. Server a klient sa musia dohodnúť na jedinom kľúči relácie, ktorý obaja použijú na šifrovanie dátových paketov.
Volá sa proces, pri ktorom sa klient a server dohodnú na kľúči relácie podanie ruky. Toto je moment, kedy sa navzájom predstavia 2 komunikujúce počítače.
Proces handshake TLS
Proces TLS handshake je pomerne zložitý. Nasledujúce kroky načrtávajú proces vo všeobecnosti, aby ste pochopili, ako vo všeobecnosti funguje.
- Klient kontaktuje server a požaduje zabezpečené pripojenie. Server odpovie zoznamom šifier – algoritmickej sady na vytváranie šifrovaných spojení – ktoré vie použiť. Klient porovná zoznam s jeho zoznamom podporovaných šifier, vyberie vhodnú šifru a dá serveru vedieť, ktorú z nich použijú.
- Server poskytuje svoj digitálny certifikát – elektronický dokument podpísaný treťou stranou, ktorý potvrdzuje pravosť servera. Najdôležitejšou informáciou v certifikáte je verejný kľúč k šifre. Klient potvrdzuje pravosť certifikátu.
- Pomocou verejného kľúča servera klient a server vytvoria kľúč relácie, ktorý budú obaja používať počas relácie na šifrovanie komunikácie. Existuje na to niekoľko metód. Klient môže použiť verejný kľúč na zašifrovanie ľubovoľného čísla, ktoré sa potom odošle na server na dešifrovanie a obe strany potom použijú toto číslo na vytvorenie kľúča relácie.
Kľúč relácie je platný len pre jednu súvislú reláciu. Ak sa z nejakého dôvodu preruší komunikácia medzi klientom a serverom, na vytvorenie nového kľúča relácie bude potrebné nové nadviazanie spojenia.
Zraniteľnosť protokolov TLS 1.2 a TLS 1.2
TLS 1.2 je najbežnejšou verziou protokolu. Táto verzia nainštalovala pôvodnú platformu možností šifrovania relácie. Avšak, podobne ako niektoré predchádzajúce verzie protokolu, aj tento protokol umožňoval použitie starších šifrovacích techník na podporu starších počítačov. Bohužiaľ to viedlo k zraniteľnostiam vo verzii 1.2, pretože tieto staršie šifrovacie mechanizmy sa stali zraniteľnejšími.
Napríklad TLS 1.2 sa stal obzvlášť zraniteľným voči útokom zmanipulovaných, pri ktorých útočník zachytí dátové pakety uprostred relácie a odošle ich po ich prečítaní alebo úprave. Mnohé z týchto problémov sa objavili za posledné 2 roky, preto je naliehavé vytvoriť aktualizovanú verziu protokolu.
TLS 1.3
Verzia 1.3 protokolu TLS, ktorá bude čoskoro dokončená, rieši mnohé problémy so zraniteľnosťami tým, že upúšťa od podpory starších šifrovacích systémov.
Nová verzia je kompatibilná s predchádzajúcimi verziami: pripojenie sa napríklad vráti späť na TLS 1.2, ak jedna zo strán nemôže použiť novší šifrovací systém v zozname povolených protokolových algoritmov verzie 1.3. Ak sa však pri útoku na manipuláciu s pripojením hacker násilne pokúsi znížiť verziu protokolu na 1.2 uprostred relácie, táto akcia bude zaznamenaná a pripojenie bude ukončené.
Ako povoliť podporu TLS 1.3 v prehliadačoch Google Chrome a Firefox
Firefox a Chrome podporujú TLS 1.3, ale táto verzia nie je predvolene povolená. Dôvodom je, že v súčasnosti existuje len vo forme návrhu.
Mozilla Firefox
Do panela s adresou prehliadača napíšte about:config. Potvrďte, že rozumiete rizikám.
- Otvorí sa editor nastavení Firefoxu.
- Do vyhľadávania zadajte security.tls.version.max
- Zmeňte hodnotu na 4 dvojitým kliknutím na aktuálnu hodnotu.
Google Chrome
- Do panela s adresou prehliadača zadajte chrome://flags/, čím otvoríte panel experimentov.
- Nájdite možnosť #tls13-variant
- Kliknite na ponuku a nastavte ju na Enabled (Draft).
- Reštartujte prehliadač.
Ako skontrolovať, či váš prehliadač používa verziu 1.2
Pripomíname, že verzia 1.3 ešte nie je verejne používaná. Ak nechcete
použite koncept, môžete zostať na verzii 1.2.
Ak chcete skontrolovať, či váš prehliadač používa verziu 1.2, postupujte podľa rovnakých krokov ako v pokynoch vyššie a uistite sa, že:
- Pre Firefox je hodnota security.tls.version.max 3. Ak je nižšia, zmeňte ju na 3 dvojitým kliknutím na aktuálnu hodnotu.
- Pre Google Chrome: kliknite na ponuku prehliadača - vyberte nastavenie- vybrať Ukázať pokročilé nastavenia- choďte dole do sekcie systém a kliknite na Otvoriť nastavenia proxy…:
- V okne, ktoré sa otvorí, kliknite na kartu Zabezpečenie a skontrolujte, či je začiarknuté pole Použiť TLS 1.2. Ak nie, skontrolujte to a kliknite na tlačidlo OK:
Zmeny sa prejavia po reštartovaní počítača.
Rýchly nástroj na kontrolu verzie protokolu SSL/TLS vášho prehliadača
Prejdite do online nástroja na kontrolu verzie protokolu SSL Labs. Na stránke sa v reálnom čase zobrazí použitá verzia protokolu a či je prehliadač náchylný na nejaké chyby zabezpečenia.
Zdroje: preklad
Problém
Pri pokuse o prihlásenie do osobného účtu GIIS „Elektronický rozpočet“ sa zobrazí chybové hlásenie:
Táto stránka sa nedá zobraziť
Povoľte protokoly TLS 1.0, TLS 1.1 a TLS 1.2 v časti „Rozšírené nastavenia“ a skúste sa znova pripojiť k webovej stránke https://ssl.budgetplan.minfin.ru. Ak sa vám nepodarí vyriešiť chybu, obráťte sa na správcu webovej lokality.
Riešenie
Je potrebné skontrolovať nastavenie pracoviska podľa dokumentu.
Pokyny neuvádzajú niekoľko nuancií:
- Potrebujete nainštalovať Zásuvný modul CryptoPro EDS Browser a skontrolujte jeho fungovanie na stránke s ukážkou.
- V nastaveniach antivírusu je potrebné vypnúť filtrovanie protokolu SSL/TLS, inými slovami, pre hľadanú stránku by ste mali urobiť výnimku pre kontrolu zabezpečeného pripojenia. V rôznych antivírusoch sa môže nazývať inak. Napríklad musíte prejsť na Kaspersky Free „Nastavenia>Rozšírené>Sieť>Nekontrolovať zabezpečené pripojenia“ .