Om du stöter på ett problem där åtkomsten till en specifik webbplats misslyckas och ett meddelande visas i din webbläsare, finns det en rimlig förklaring till detta. Orsakerna och lösningarna på problemet ges i den här artikeln.

SSL TLS

SSL TLS-protokoll

Användare av budgetorganisationer, och inte bara budgetorganisationer, vars verksamhet är direkt relaterad till ekonomi, i samverkan med finansiella organisationer, till exempel finansministeriet, finansministeriet, etc., utför all sin verksamhet uteslutande med hjälp av det säkra SSL-protokollet. I grund och botten använder de webbläsaren Internet Explorer i sitt arbete. I vissa fall - Mozilla Firefox.

SSL-fel

Huvuduppmärksamheten när man utför dessa operationer, och arbetet i allmänhet, ägnas åt säkerhetssystemet: certifikat, elektroniska signaturer. Den aktuella versionen av programvaran CryptoPro används för drift. Rörande problem med SSL- och TLS-protokoll, Om SSL-fel dök upp, troligen finns det inget stöd för detta protokoll.

TLS-fel

TLS-fel i många fall kan det också tyda på bristande protokollstöd. Men... låt oss se vad som kan göras i det här fallet.

Stöd för SSL och TLS-protokoll

Så när du använder Microsoft Internet Explorer för att besöka en SSL-säkrad webbplats visas namnlisten Se till att ssl- och tls-protokollen är aktiverade. Först och främst måste du aktivera stöd för TLS 1.0-protokollet i Internet Explorer.

Om du besöker en webbplats som kör Internet Information Services 4.0 eller senare, kan du säkra din anslutning genom att konfigurera Internet Explorer för att stödja TLS 1.0. Naturligtvis, förutsatt att fjärrwebbservern du försöker använda stöder detta protokoll.

För att göra detta i menyn Service Välj lag Internet-alternativ.

På fliken Dessutom I kapitel Säkerhet, se till att följande kryssrutor är markerade:

Använd SSL 2.0
Använd SSL 3.0
Använd TLS 1.0

Klicka på knappen Tillämpa , och då OK . Starta om din webbläsare .

När du har aktiverat TLS 1.0, försök att besöka webbplatsen igen.

Systemsäkerhetspolicy

Om de fortfarande förekommer fel med SSL och TLS Om du fortfarande inte kan använda SSL, stöder fjärrwebbservern förmodligen inte TLS 1.0. I det här fallet måste du inaktivera systempolicyn som kräver FIPS-kompatibla algoritmer.

För att göra detta, i Kontrollpaneler Välj Administrering, och dubbelklicka sedan Lokal säkerhetspolicy.

Expandera i Lokala säkerhetsinställningar Lokal policy och klicka sedan på knappen Säkerhetsinställningar.

Dubbelklicka enligt policyn till höger i fönstret Systemkryptering: använd FIPS-kompatibla algoritmer för kryptering, hashning och signering och klicka sedan på knappen Inaktiverad.

Uppmärksamhet! Ändringen träder i kraft efter att den lokala säkerhetspolicyn har tillämpats igen. Det är sätt på den Och starta om din webbläsare .

CryptoPro TLS SSL

Uppdatera CryptoPro

Konfigurera SSL TLS

Nätverkskonfiguration

Ett annat alternativ kan vara inaktivera NetBIOS över TCP/IP— belägen i anslutningsfastigheterna.

DLL-registrering

Starta kommandotolken som administratör och ange kommandot regsvr32 cpcng. För ett 64-bitars OS måste du använda samma regsvr32 som finns i syswow64.

TLS-protokollet krypterar internettrafik av alla slag, vilket gör kommunikation och försäljning online säker. Vi kommer att prata om hur protokollet fungerar och vad som väntar oss i framtiden.

Från artikeln kommer du att lära dig:

Vad är SSL

SSL eller Secure Sockets Layer var det ursprungliga namnet på protokollet som Netscape utvecklade i mitten av 90-talet. SSL 1.0 var aldrig allmänt tillgänglig och version 2.0 hade allvarliga brister. SSL 3.0, som släpptes 1996, var en fullständig översyn och satte tonen för nästa utvecklingsfas.

Vad är TLS

När nästa version av protokollet släpptes 1999 standardiserade Internet Engineering Task Force det och gav det ett nytt namn: Transport Layer Security, eller TLS. Som TLS-dokumentationen säger, "skillnaden mellan detta protokoll och SSL 3.0 är inte kritisk." TLS och SSL bildar en pågående serie av protokoll och kombineras ofta under namnet SSL/TLS.

TLS-protokollet krypterar internettrafik av alla slag. Den vanligaste typen är webbtrafik. Du vet när din webbläsare upprättar en TLS-anslutning - om länken i adressfältet börjar med "https".

TLS används även av andra applikationer, såsom post- och telekonferenssystem.

Hur TLS fungerar

Kryptering är nödvändigt för att kommunicera säkert online. Om din data inte är krypterad kan vem som helst analysera den och läsa känslig information.

Den säkraste krypteringsmetoden är asymmetrisk kryptering. Detta kräver 2 nycklar, 1 offentlig och 1 privat. Det är filer med information, oftast mycket stora antal. Mekanismen är komplex, men enkelt uttryckt kan du använda en offentlig nyckel för att kryptera data, men du behöver en privat nyckel för att dekryptera den. De två nycklarna är sammanlänkade med hjälp av en komplex matematisk formel som är svår att hacka.

Du kan tänka på den offentliga nyckeln som information om platsen för en låst brevlåda med ett hål, och den privata nyckeln som nyckeln som öppnar brevlådan. Den som vet var lådan är kan sätta ett brev där. Men för att läsa den behöver en person en nyckel för att öppna lådan.

Eftersom asymmetrisk kryptering använder komplexa matematiska beräkningar, kräver det mycket datorresurser. TLS löser detta problem genom att använda asymmetrisk kryptering endast i början av en session för att kryptera kommunikation mellan servern och klienten. Servern och klienten måste komma överens om en enda sessionsnyckel, som de två kommer att använda för att kryptera datapaket.

Processen genom vilken klienten och servern kommer överens om en sessionsnyckel anropas handslag. Detta är ögonblicket då två kommunicerande datorer presenterar sig för varandra.

TLS handskakningsprocess

TLS-handskakningsprocessen är ganska komplex. Stegen nedan beskriver processen i allmänhet så att du kan förstå hur den fungerar i allmänhet.

1. Klienten kontaktar servern och begär en säker anslutning. Servern svarar med en lista med chiffer – en algoritmuppsättning för att skapa krypterade anslutningar – som den vet hur den ska använda. Klienten jämför listan med dess lista med chiffer som stöds, väljer lämpligt och låter servern veta vilket de två kommer att använda.
2. Servern tillhandahåller sitt digitala certifikat - ett elektroniskt dokument signerat av en tredje part som bekräftar serverns äkthet. Den viktigaste informationen i certifikatet är den publika nyckeln till chiffret. Klienten bekräftar certifikatets äkthet.
3. Med hjälp av serverns publika nyckel upprättar klienten och servern en sessionsnyckel som de båda kommer att använda under hela sessionen för att kryptera kommunikation. Det finns flera metoder för detta. Klienten kan använda den publika nyckeln för att kryptera ett godtyckligt nummer, som sedan skickas till servern för att dekryptera, och båda parter använder sedan det numret för att upprätta sessionsnyckeln.

En sessionsnyckel är endast giltig för en kontinuerlig session. Om kommunikationen mellan klienten och servern av någon anledning avbryts, kommer ett nytt handslag att behövas för att upprätta en ny sessionsnyckel.

Sårbarheter i TLS 1.2- och TLS 1.2-protokollen

TLS 1.2 är den vanligaste versionen av protokollet. Den här versionen installerade den ursprungliga plattformen för sessionskrypteringsalternativ. Men, liksom vissa tidigare versioner av protokollet, tillät detta protokoll användning av äldre krypteringstekniker för att stödja äldre datorer. Tyvärr ledde detta till sårbarheter i version 1.2, eftersom dessa äldre krypteringsmekanismer blev mer sårbara.

Till exempel har TLS 1.2 blivit särskilt sårbar för manipulationsattacker, där en angripare fångar upp datapaket mitt i sessionen och skickar dem efter att ha läst eller modifierat dem. Många av dessa problem har dykt upp under de senaste två åren, vilket gör det brådskande att skapa en uppdaterad version av protokollet.

TLS 1.3

Version 1.3 av TLS-protokollet, som kommer att slutföras snart, löser många av problemen med sårbarheter genom att överge stödet för äldre krypteringssystem.
Den nya versionen har kompatibilitet med tidigare versioner: till exempel kommer anslutningen att falla tillbaka till TLS 1.2 om en av parterna inte kan använda ett nyare krypteringssystem i listan över tillåtna protokollalgoritmer i version 1.3. Om en hackare med våld försöker nedgradera protokollversionen till 1.2 mitt i en session, i en attack med anslutningsmanipulering, kommer denna åtgärd att uppmärksammas och anslutningen kommer att avbrytas.

Hur man aktiverar TLS 1.3-stöd i webbläsarna Google Chrome och Firefox

Firefox och Chrome stöder TLS 1.3, men den här versionen är inte aktiverad som standard. Anledningen är att den för närvarande bara finns i utkastform.

Mozilla Firefox

Skriv about:config i webbläsarens adressfält. Bekräfta att du förstår riskerna.

1. Firefox Settings Editor öppnas.
2. Ange security.tls.version.max i sökningen
3. Ändra värdet till 4 genom att dubbelklicka på det aktuella värdet.

Google Chrome

1. Skriv chrome://flags/ i webbläsarens adressfält för att öppna experimentpanelen.
2. Hitta alternativ #tls13-variant
3. Klicka på menyn och ställ in den på Aktiverad (utkast).
4. Starta om din webbläsare.

Så här kontrollerar du att din webbläsare använder version 1.2

Vi påminner dig om att version 1.3 ännu inte är allmänt bruk. Om du inte vill
använda utkastet kan du stanna kvar på version 1.2.

För att kontrollera att din webbläsare använder version 1.2, följ samma steg som i instruktionerna ovan och se till att:

• För Firefox är security.tls.version.max-värdet 3. Om det är lägre, ändra det till 3 genom att dubbelklicka på det aktuella värdet.
• För Google Chrome: klicka på webbläsarmenyn - välj inställningar- Välj visa avancerade inställningar- gå ner till avsnittet Systemet och klicka på Öppna proxyinställningar...:

• I fönstret som öppnas, klicka på fliken Säkerhet och se till att fältet Använd TLS 1.2 är markerat. Om inte, kontrollera det och klicka på OK:

Ändringarna träder i kraft när du startar om datorn.

Ett snabbt verktyg för att kontrollera din webbläsares SSL/TLS-protokollversion

Gå till SSL Labs online-protokollversionskontrollverktyg. Sidan kommer att visa i realtid vilken protokollversion som används och om webbläsaren är mottaglig för några sårbarheter.

Källor: översättning

Om du stöter på ett problem där åtkomsten till en specifik webbplats misslyckas och ett meddelande visas i din webbläsare, finns det en rimlig förklaring till detta. Orsakerna och lösningarna på problemet ges i den här artikeln.

SSL TLS-protokoll

Användare av budgetorganisationer, och inte bara budgetorganisationer, vars verksamhet är direkt relaterad till ekonomi, i samverkan med finansiella organisationer, till exempel finansministeriet, finansministeriet, etc., utför all sin verksamhet uteslutande med hjälp av det säkra SSL-protokollet. I grund och botten använder de webbläsaren Internet Explorer i sitt arbete. I vissa fall - Mozilla Firefox.

SSL-fel

Huvuduppmärksamheten när man utför dessa operationer, och arbetet i allmänhet, ägnas åt säkerhetssystemet: certifikat, elektroniska signaturer. Den aktuella versionen av programvaran CryptoPro används för drift. Rörande problem med SSL- och TLS-protokoll, Om SSL-fel dök upp, troligen finns det inget stöd för detta protokoll.

TLS-fel

TLS-fel i många fall kan det också tyda på bristande protokollstöd. Men... låt oss se vad som kan göras i det här fallet.

Stöd för SSL och TLS-protokoll

Så när du använder Microsoft Internet Explorer för att besöka en SSL-säkrad webbplats visas namnlisten Se till att ssl- och tls-protokollen är aktiverade. Först och främst måste du aktivera stöd för TLS 1.0-protokollet i Internet Explorer.

Om du besöker en webbplats som kör Internet Information Services 4.0 eller senare, kan du säkra din anslutning genom att konfigurera Internet Explorer för att stödja TLS 1.0. Naturligtvis, förutsatt att fjärrwebbservern du försöker använda stöder detta protokoll.

För att göra detta i menyn Service Välj lag Internet-alternativ.

På fliken Dessutom I kapitel Säkerhet, se till att följande kryssrutor är markerade:

• Använd SSL 2.0
• Använd SSL 3.0
• Använd SSL 1.0

Klicka på knappen Tillämpa , och då OK . Starta om din webbläsare .

När du har aktiverat TLS 1.0, försök att besöka webbplatsen igen.

Systemsäkerhetspolicy

Om de fortfarande förekommer fel med SSL och TLS Om du fortfarande inte kan använda SSL, stöder fjärrwebbservern förmodligen inte TLS 1.0. I det här fallet måste du inaktivera systempolicyn som kräver FIPS-kompatibla algoritmer.

För att göra detta, i Kontrollpaneler Välj Administrering, och dubbelklicka sedan Lokal säkerhetspolicy.

Expandera i Lokala säkerhetsinställningar Lokal policy och klicka sedan på knappen Säkerhetsinställningar.

Dubbelklicka enligt policyn till höger i fönstret Systemkryptering: använd FIPS-kompatibla algoritmer för kryptering, hashning och signering och klicka sedan på knappen Inaktiverad.

Uppmärksamhet!

Ändringen träder i kraft när den lokala säkerhetspolicyn tillämpas igen. Slå på den och starta om din webbläsare.

CryptoPro TLS SSL

Uppdatera CryptoPro

Ett av alternativen för att lösa problemet är att uppdatera CryptoPro, samt konfigurera resursen. I det här fallet arbetar detta med elektroniska betalningar. Gå till Certification Authority. Välj elektroniska marknadsplatser som resurs.

Efter att ha startat den automatiska arbetsplatsinställningen återstår bara vänta tills proceduren är klar, då ladda om webbläsaren. Om du behöver ange eller välja en resursadress, välj den du behöver. Du kan också behöva starta om datorn när installationen är klar.

Alla våra argument är baserade på det faktum att operativsystemet är Windows XP eller senare (Vista, 7 eller 8), där alla lämpliga uppdateringar och patchar är installerade. Nu finns det ytterligare ett villkor: vi pratar om de senaste versionerna av webbläsare, och inte "sfärisk Ognelis i ett vakuum."

Så vi konfigurerar webbläsare för att använda de senaste versionerna av TLS-protokollet och inte använda dess föråldrade versioner och SSL alls. Åtminstone så långt det är möjligt i teorin.

Och teorin säger oss att även om Internet Explorer stöder TLS 1.1 och 1.2 redan från version 8, kommer vi inte att tvinga den att göra det under Windows XP och Vista. Klicka på: Verktyg/Internetalternativ/Avancerat och i avsnittet "Säkerhet" hittar vi: SSL 2.0, SSL 3.0, TLS 1.0... hittade du något mer? Grattis, du kommer att ha TLS 1.1/1.2! Om de inte hittade det har du Windows XP eller Vista, och i Redmond anser de att du är retarderad.

Så avmarkera alla SSL-rutor, markera alla tillgängliga TLS-rutor. Om bara TLS 1.0 är tillgänglig, så är det så att om fler aktuella versioner är tillgängliga, är det bättre att bara välja dem och avmarkera TLS 1.0 (och inte bli förvånad senare över att vissa webbplatser inte öppnas över HTTPS). Klicka sedan på knapparna "Apply" och "OK".

Det är enklare med Opera - det ger oss en riktig bankett av olika protokollversioner: Verktyg/Allmänna inställningar/Avancerat/Säkerhet/Säkerhetsprotokoll. Vad ser vi? Hela uppsättningen, från vilken vi lämnar kryssrutorna endast för TLS 1.1 och TLS 1.2, varefter vi klickar på knappen "Detaljer" och där avmarkerar vi alla rader utom de som börjar med "256 bitars AES" - de är i själva verket slutet. I början av listan finns en rad "256 bit AES ( Anonym DH/SHA-256), avmarkera den också. Klicka på "OK" och gläd dig över säkerheten.

Opera har dock en konstig egenskap: om TLS 1.0 är aktiverat, om det är nödvändigt att upprätta en säker anslutning, använder den omedelbart den här versionen av protokollet, oavsett webbplatsens stöd för mer aktuella. Som, varför bry sig – allt är bra, allt är skyddat. När endast TLS 1.1 och 1.2 är aktiverade kommer den mer avancerade versionen att försökas först, och endast om den inte stöds av webbplatsen kommer webbläsaren att växla till version 1.1.

Men den sfäriska Ognelis Firefox kommer inte att tillfredsställa oss alls: Verktyg/Inställningar/Avancerat/Kryptering: allt vi kan göra är att inaktivera SSL, TLS är endast tillgängligt i version 1.0, det finns inget att göra - vi lämnar det med en bock.

Det värsta lär man sig dock i jämförelse: Chrome och Safari innehåller inga inställningar alls för vilket krypteringsprotokoll som ska användas. Så vitt vi vet stöder Safari inte TLS-versioner som är mer aktuella än 1.0 i versioner för Windows OS, och eftersom lanseringen av nya versioner för detta OS har avbrutits kommer det inte att vara det.

Chrome, så vitt vi vet, stöder TLS 1.1, men som i fallet med Safari kan vi inte vägra att använda SSL. Det finns inget sätt att inaktivera TLS 1.0 i Chrome. Men med den faktiska användningen av TLS 1.1 finns det en stor fråga: den slogs först på, sedan av på grund av driftsproblem och har, såvitt man kan bedöma, ännu inte slagits på igen. Det vill säga, det verkar finnas stöd, men det verkar vara avstängt, och det finns inget sätt för användaren att slå på det igen. Samma historia är med Firefox - den har faktiskt stöd för TLS 1.1, men den är ännu inte tillgänglig för användaren.

Sammanfattning från ovanstående multibrev. Vilka är de allmänna farorna med att använda föråldrade versioner av krypteringsprotokoll? Det faktum att någon annan kommer in på din säkra anslutning till webbplatsen och får tillgång till all information "där" och "där". Rent praktiskt kommer han att få full tillgång till sin e-postlåda, konto i klient-banksystemet, etc.

Det är osannolikt att du av misstag kommer att kunna bryta dig in i någon annans säkra anslutning, vi talar bara om skadliga handlingar. Om sannolikheten för sådana åtgärder är låg, eller om informationen som överförs via en säker anslutning inte är särskilt värdefull, behöver du inte bry dig om och använda webbläsare som bara stöder TLS 1.0.

Annars finns det inget val: bara Opera och bara TLS 1.2 (TLS 1.1 är bara en förbättring av TLS 1.0, som delvis ärver dess säkerhetsproblem). Våra favoritsidor kanske inte stöder TLS 1.2 :(

När användaren går till någon regerings- eller tjänsteportal (till exempel EIS), kan användaren plötsligt stöta på felet "Det är inte möjligt att säkert ansluta till den här sidan. Webbplatsen kan använda föråldrade eller svaga TLS-säkerhetsinställningar." Detta problem är ganska vanligt och har observerats i flera år bland olika kategorier av användare. Låt oss titta på kärnan i detta fel och alternativen för att lösa det.

Som ni vet säkerställs säkerheten för användaranslutningar till nätverksresurser genom användning av SSL/TSL - kryptografiska protokoll som ansvarar för säker överföring av data på Internet. De använder symmetrisk och asymmetrisk kryptering, meddelandeautentiseringskoder och andra specialfunktioner som gör att du kan upprätthålla konfidentialiteten för din anslutning, vilket förhindrar tredje part från att dekryptera din session.

Om webbläsaren, när den ansluter till en webbplats, upptäcker att resursen använder felaktiga parametrar för SSL/TSL-säkerhetsprotokoll, får användaren meddelandet ovan och åtkomst till webbplatsen kan blockeras.

Ganska ofta uppstår situationen med TLS-protokollet i webbläsaren IE, ett populärt verktyg för att arbeta med särskilda myndighetsportaler kopplade till olika former av rapportering. Att arbeta med sådana portaler kräver närvaron av webbläsaren Internet Explorer, och det är på den som problemet i fråga uppstår särskilt ofta.

Orsakerna till felet "Webbplatsen kan använda föråldrade eller osäkra TLS-säkerhetsinställningar" kan vara följande:

Så här åtgärdar du dysfunktionen: Svaga TLS-säkerhetsinställningar används

Lösningen på problemet kan vara de metoder som beskrivs nedan. Men innan du beskriver dem rekommenderar jag att du helt enkelt startar om din dator - även om den är trivial, visar sig den här metoden ofta vara ganska effektiv.

Om det inte hjälper gör du följande:

• Inaktivera ditt antivirus tillfälligt. I ganska många fall blockerade antiviruset åtkomst till opålitliga (enligt dess bedömning) webbplatser. Inaktivera antivirusprogrammet tillfälligt eller inaktivera certifikatkontroll i antivirusinställningarna (till exempel "Kontrollera inte säkra anslutningar" på Kaspersky antivirus);
• Installera den senaste versionen av CryptoPro-programmet på din dator (vid tidigare arbete med detta program). En föråldrad version av produkten kan orsaka ett fel på att sidan inte är säkert ansluten;
• Ändra dina IE-inställningar. Gå till "Webbläsaralternativ", välj fliken "Säkerhet" och klicka sedan på "Trusted Sites" (adressen till din portal ska redan vara inskriven där, om inte, skriv in den). Avmarkera alternativet "Aktivera skyddat läge" längst ned.

  

  Klicka sedan på knappen "Webbplatser" ovan och avmarkera alternativet "För alla webbplatser i denna zon...". Klicka på "Ok" och försök gå till den problematiska webbplatsen.

• Ta bort IE webbläsarcookies. Starta webbläsaren och tryck på Alt-knappen för att visa menyn. Välj fliken "Verktyg" - "Ta bort webbläsarhistorik", markera rutan (om den inte finns) på alternativet "Cookies...", klicka sedan på "Ta bort";

  

• Inaktivera användningen av VPN-program (om några);
• Försök att använda en annan webbläsare för att navigera till den problematiska resursen (om du inte behöver använda någon specifik webbläsare);
• Kontrollera din dator för virus (till exempel kommer den beprövade Doctor Web Curate att hjälpa);
• Inaktivera alternativet "Secure Boot" i BIOS. Trots den vissa icke-standardiserade karaktären hos detta råd har det hjälpt mer än en användare att bli av med felet "föråldrade eller opålitliga TLS-parametrar".

  

  Avaktivera alternativet "Secure Boot" i BIOS

Slutsats

Orsaken till felet "Webbplatsen kan använda föråldrade eller opålitliga säkerhetsparametrar för TLS-protokollet" är ganska ofta ett lokalt PC-antivirus, som av vissa skäl blockerar åtkomst till den önskade internetportalen. Om en problematisk situation uppstår rekommenderar vi att du först inaktiverar ditt antivirusprogram för att försäkra dig om att det inte orsakar problemet i fråga. Om felet fortsätter att upprepas rekommenderar jag att du går vidare till att implementera andra tips som beskrivs nedan för att lösa problemet med opålitliga TSL-protokollsäkerhetsinställningar på din dator.

I kontakt med