Die Sicherheitsoptionen für das TLS-Protokoll sind nicht festgelegt. Probleme mit dem TSL-Protokoll – Es kann keine sichere Verbindung zu dieser Seite hergestellt werden. Funktionsweise des DefaultSecureProtocols-Registrierungseintrags

Alle unsere Argumente basieren auf der Tatsache, dass das Betriebssystem Windows XP oder höher (Vista, 7 oder 8) ist, auf dem alle entsprechenden Updates und Patches installiert sind. Jetzt gibt es noch eine weitere Bedingung: Wir sprechen heute über die neuesten Browserversionen und nicht über „sphärische Ognelis im luftleeren Raum“.

Daher konfigurieren wir Browser so, dass sie die neuesten Versionen des TLS-Protokolls verwenden und nicht dessen veraltete Versionen und SSL überhaupt. Zumindest soweit theoretisch möglich.

Und die Theorie besagt, dass der Internet Explorer zwar bereits ab Version 8 TLS 1.1 und 1.2 unterstützt, wir ihn unter Windows XP und Vista jedoch nicht dazu zwingen werden. Klicken Sie auf: Extras/Internetoptionen/Erweitert und im Abschnitt „Sicherheit“ finden wir: SSL 2.0, SSL 3.0, TLS 1.0 ... haben Sie noch etwas gefunden? Herzlichen Glückwunsch, Sie haben TLS 1.1/1.2! Wenn sie es nicht gefunden haben, haben Sie Windows XP oder Vista, und in Redmond hält man Sie für zurückgeblieben.

Deaktivieren Sie also alle SSL-Kontrollkästchen und aktivieren Sie alle verfügbaren TLS-Kontrollkästchen. Wenn nur TLS 1.0 verfügbar ist, ist dies auch der Fall. Wenn aktuellere Versionen verfügbar sind, ist es besser, nur diese auszuwählen und TLS 1.0 zu deaktivieren (und sich später nicht wundern, dass einige Websites nicht über HTTPS geöffnet werden). Klicken Sie dann auf die Schaltflächen „Übernehmen“ und „OK“.

Mit Opera ist es einfacher – es bietet uns ein wahres Bankett verschiedener Protokollversionen: Extras/Allgemeine Einstellungen/Erweitert/Sicherheit/Sicherheitsprotokoll. Was sehen wir? Der gesamte Satz, aus dem wir die Kontrollkästchen nur für TLS 1.1 und TLS 1.2 belassen, danach auf die Schaltfläche „Details“ klicken und dort alle Zeilen deaktivieren, außer denen, die mit „256 Bit AES“ beginnen – sie befinden sich ganz oben Ende. Am Anfang der Liste befindet sich eine Zeile „256 Bit AES ( Anonym DH/SHA-256), deaktivieren Sie es ebenfalls. Klicken Sie auf „OK“ und freuen Sie sich über die Sicherheit.

Opera hat jedoch eine seltsame Eigenschaft: Wenn TLS 1.0 aktiviert ist, verwendet es sofort diese Version des Protokolls, wenn eine sichere Verbindung hergestellt werden muss, unabhängig davon, ob die Site aktuellere Versionen unterstützt. Warum sich die Mühe machen? Alles ist in Ordnung, alles ist geschützt. Wenn nur TLS 1.1 und 1.2 aktiviert sind, wird zuerst die erweiterte Version ausprobiert, und nur wenn sie von der Website nicht unterstützt wird, wechselt der Browser auf Version 1.1.

Aber der sphärische Ognelis Firefox wird uns überhaupt nicht gefallen: Extras/Einstellungen/Erweitert/Verschlüsselung: Wir können nur SSL deaktivieren, TLS ist nur in Version 1.0 verfügbar, da gibt es nichts zu tun – wir belassen es bei einem Häkchen.

Das Schlimmste lernt man jedoch beim Vergleich: Chrome und Safari enthalten überhaupt keine Einstellungen, welches Verschlüsselungsprotokoll verwendet werden soll. Soweit uns bekannt ist, unterstützt Safari keine TLS-Versionen, die aktueller als 1.0 sind, in Versionen für Windows-Betriebssysteme, und da die Veröffentlichung neuer Versionen für dieses Betriebssystem eingestellt wurde, wird dies auch nicht der Fall sein.

Chrome unterstützt unseres Wissens nach TLS 1.1, wir können jedoch wie im Fall von Safari die Verwendung von SSL nicht ablehnen. Es gibt keine Möglichkeit, TLS 1.0 in Chrome zu deaktivieren. Bei der tatsächlichen Nutzung von TLS 1.1 stellt sich jedoch eine große Frage: Es wurde zuerst aktiviert, dann aufgrund von Betriebsproblemen deaktiviert und, soweit man das beurteilen kann, noch nicht wieder aktiviert. Das heißt, es scheint Unterstützung zu geben, aber sie scheint ausgeschaltet zu sein, und es gibt für den Benutzer keine Möglichkeit, sie wieder einzuschalten. Das Gleiche gilt für Firefox – es unterstützt tatsächlich TLS 1.1, steht dem Benutzer jedoch noch nicht zur Verfügung.

Zusammenfassung aus dem obigen Multiletter. Welche allgemeinen Gefahren birgt die Verwendung veralteter Versionen von Verschlüsselungsprotokollen? Die Tatsache, dass jemand anderes in Ihre sichere Verbindung zur Website gelangt und Zugriff auf alle Informationen „dort“ und „dort“ erhält. Praktisch gesehen erhält er vollen Zugriff auf sein E-Mail-Postfach, sein Konto im Kunden-Bank-System usw.

Es ist unwahrscheinlich, dass Sie versehentlich in die sichere Verbindung einer anderen Person eindringen. Wir sprechen hier nur von böswilligen Aktionen. Wenn die Wahrscheinlichkeit solcher Aktionen gering ist oder die über eine sichere Verbindung übertragenen Informationen nicht besonders wertvoll sind, müssen Sie sich nicht die Mühe machen und Browser verwenden, die nur TLS 1.0 unterstützen.

Ansonsten gibt es keine Wahl: nur Opera und nur TLS 1.2 (TLS 1.1 ist lediglich eine Verbesserung gegenüber TLS 1.0 und übernimmt teilweise dessen Sicherheitsprobleme). Allerdings unterstützen unsere Lieblingsseiten TLS 1.2 möglicherweise nicht :(

SSL TLS-Protokoll

Benutzer von Haushaltsorganisationen und nicht nur von Haushaltsorganisationen, deren Aktivitäten in direktem Zusammenhang mit Finanzen stehen, führen im Zusammenspiel mit Finanzorganisationen, beispielsweise dem Finanzministerium, dem Finanzministerium usw., alle ihre Operationen ausschließlich über das sichere SSL-Protokoll durch. Grundsätzlich nutzen sie bei ihrer Arbeit den Browser Internet Explorer. In einigen Fällen Mozilla Firefox.

Computernachrichten, Rezensionen, Lösungen für Probleme mit dem Computer, Computerspiele, Treiber und Geräte und andere Computerprogramme.“ title="Programme, Treiber, Probleme mit dem Computer, Spiele" target="_blank">!}

SSL-Fehler

Das Hauptaugenmerk bei der Durchführung dieser Vorgänge und Arbeiten im Allgemeinen wird auf das Sicherheitssystem gelegt: Zertifikate, elektronische Signaturen. Für den Betrieb wird die aktuelle Version der CryptoPro-Software verwendet. Hinsichtlich Probleme mit SSL- und TLS-Protokollen, Wenn SSL-Fehler aufgetaucht ist, gibt es höchstwahrscheinlich keine Unterstützung für dieses Protokoll.

TLS-Fehler

TLS-Fehler in vielen Fällen kann es auch auf eine mangelnde Protokollunterstützung hinweisen. Aber... mal sehen, was in diesem Fall getan werden kann.

Unterstützung des SSL- und TLS-Protokolls

Wenn Sie also Microsoft Internet Explorer verwenden, um eine SSL-gesicherte Website zu besuchen, wird die Titelleiste angezeigt Stellen Sie sicher, dass die Protokolle SSL und TLS aktiviert sind. Zunächst einmal ist es notwendig Aktivieren Sie die TLS 1.0-Protokollunterstützung im Internet Explorer.

Computernachrichten, Rezensionen, Lösungen für Probleme mit dem Computer, Computerspiele, Treiber und Geräte und andere Computerprogramme.“ title="Programme, Treiber, Probleme mit dem Computer, Spiele" target="_blank">Компьютерная помощь, драйверы, программы, игры!}

Wenn Sie eine Website besuchen, auf der Internetinformationsdienste 4.0 oder höher ausgeführt werden, hilft die Konfiguration von Internet Explorer zur Unterstützung von TLS 1.0, Ihre Verbindung zu sichern. Vorausgesetzt natürlich, dass der Remote-Webserver, den Sie verwenden möchten, dieses Protokoll unterstützt.

Dies geschieht im Menü Service Team auswählen Internet Optionen.

Auf der Registerkarte Zusätzlich Im Kapitel Sicherheit, stellen Sie sicher, dass die folgenden Kontrollkästchen aktiviert sind:

Verwenden Sie SSL 2.0
Verwenden Sie SSL 3.0
Verwenden Sie TLS 1.0

Drück den Knopf Anwenden , Und danach OK . Starten Sie Ihren Browser neu .

Versuchen Sie nach der Aktivierung von TLS 1.0 erneut, die Website zu besuchen.

Systemsicherheitsrichtlinie

Falls sie noch auftreten Fehler bei SSL und TLS Wenn Sie SSL immer noch nicht verwenden können, unterstützt der Remote-Webserver TLS 1.0 wahrscheinlich nicht. In diesem Fall ist es notwendig Deaktivieren Sie die Systemrichtlinie, was FIPS-kompatible Algorithmen erfordert.

Computernachrichten, Rezensionen, Lösungen für Probleme mit dem Computer, Computerspiele, Treiber und Geräte und andere Computerprogramme.“ title="Programme, Treiber, Probleme mit dem Computer, Spiele" target="_blank">Компьютерная помощь, драйверы, программы, игры!}

Um dies zu tun, in Bedienfelder wählen Verwaltung, und doppelklicken Sie dann Lokale Sicherheitsrichtlinie.

Erweitern Sie unter „Lokale Sicherheitseinstellungen“. Lokale Richtlinien und klicken Sie dann auf die Schaltfläche Sicherheitseinstellungen.

Doppelklicken Sie entsprechend der Richtlinie auf der rechten Seite des Fensters Systemkryptografie: Verwenden Sie FIPS-konforme Algorithmen für Verschlüsselung, Hashing und Signierung und klicken Sie dann auf die Schaltfläche Deaktiviert .

Aufmerksamkeit! Die Änderung wird wirksam, nachdem die lokale Sicherheitsrichtlinie erneut angewendet wird. Also Mach es an Und Starten Sie Ihren Browser neu .

CryptoPro TLS SSL

Aktualisieren Sie CryptoPro

Als nächstes besteht eine der Möglichkeiten zur Lösung des Problems darin, CryptoPro zu aktualisieren und die Ressource einzurichten. In diesem Fall handelt es sich um elektronische Zahlungen. Daher gehen wir zum Zertifizierungszentrum, um die Ressource automatisch zu konfigurieren. Als Ressource wählen wir elektronische Handelsplattformen aus.

Nach dem Start der automatischen Arbeitsplatzeinrichtung bleibt nur noch: Warten Sie, bis der Vorgang abgeschlossen ist, wonach Browser neu laden. Wenn Sie eine Ressourcenadresse eingeben oder auswählen müssen, wählen Sie die gewünschte Adresse aus. Möglicherweise müssen Sie Ihren Computer auch neu starten, wenn die Einrichtung abgeschlossen ist.

Computernachrichten, Rezensionen, Lösungen für Probleme mit dem Computer, Computerspiele, Treiber und Geräte und andere Computerprogramme.“ title="Programme, Treiber, Probleme mit dem Computer, Spiele" target="_blank">Компьютерная помощь, драйверы, программы, игры!}

SSL TLS einrichten

Netzwerkkonfiguration

Eine andere Option könnte sein Deaktivieren von NetBIOS über TCP/IP- befindet sich in den Verbindungseigenschaften.

DLL-Registrierung

Starten Sie die Eingabeaufforderung als Administrator und geben Sie den Befehl ein regsvr32 cpcng. Für ein 64-Bit-Betriebssystem müssen Sie dasselbe regsvr32 verwenden wie in syswow64.

Beim Aufrufen eines Regierungs- oder Serviceportals (z. B. EIS) kann es sein, dass der Benutzer plötzlich auf die Fehlermeldung „Es ist keine sichere Verbindung zu dieser Seite möglich“ stößt. Die Website verwendet möglicherweise veraltete oder schwache TLS-Sicherheitseinstellungen.“ Dieses Problem ist recht häufig und wird seit mehreren Jahren bei verschiedenen Benutzerkategorien beobachtet. Schauen wir uns das Wesen dieses Fehlers und die Möglichkeiten zu seiner Lösung an.

Wie Sie wissen, wird die Sicherheit der Benutzerverbindungen zu Netzwerkressourcen durch die Verwendung von SSL/TSL gewährleistet – kryptografische Protokolle, die für die sichere Übertragung von Daten im Internet verantwortlich sind. Sie verwenden symmetrische und asymmetrische Verschlüsselung, Naund andere spezielle Funktionen, die es Ihnen ermöglichen, die Vertraulichkeit Ihrer Verbindung zu wahren und zu verhindern, dass Dritte Ihre Sitzung entschlüsseln.

Wenn der Browser beim Herstellen einer Verbindung zu einer Site feststellt, dass die Ressource falsche SSL/TSL-Sicherheitsprotokollparameter verwendet, erhält der Benutzer die obige Meldung und der Zugriff auf die Site wird möglicherweise blockiert.

Sehr oft tritt die Situation mit dem TLS-Protokoll im IE-Browser auf, einem beliebten Tool für die Arbeit mit speziellen Regierungsportalen, die mit verschiedenen Berichtsformen verbunden sind. Für die Arbeit mit solchen Portalen ist die Anwesenheit des Browsers Internet Explorer erforderlich, bei dem das betreffende Problem besonders häufig auftritt.

Die Ursachen für den Fehler „Die Website verwendet möglicherweise veraltete oder unsichere TLS-Sicherheitseinstellungen“ können folgende sein:

So beheben Sie die Störung: Es werden schwache TLS-Sicherheitseinstellungen verwendet

Die Lösung des Problems können die unten beschriebenen Methoden sein. Aber bevor ich sie beschreibe, empfehle ich Ihnen, einfach Ihren PC neu zu starten – diese Methode ist zwar trivial, erweist sich aber oft als recht effektiv.

Wenn es nicht hilft, gehen Sie wie folgt vor:

Abschluss

Die Ursache für den Fehler „Die Website verwendet möglicherweise veraltete oder unzuverlässige Sicherheitsparameter des TLS-Protokolls“ ist häufig ein lokales PC-Antivirenprogramm, das aus bestimmten Gründen den Zugriff auf das gewünschte Internetportal blockiert. Wenn eine problematische Situation auftritt, wird empfohlen, zunächst Ihr Antivirenprogramm zu deaktivieren, um sicherzustellen, dass es das betreffende Problem nicht verursacht. Wenn der Fehler weiterhin auftritt, empfehle ich, mit der Umsetzung der anderen unten beschriebenen Tipps fortzufahren, um das Problem der unzuverlässigen Sicherheitseinstellungen des TSL-Protokolls auf Ihrem PC zu beheben.

Leere Seite beim Betreten des Portals über eine sichere Verbindung

„CryptoPro“ ist installiert, Port 443 ist geöffnet, aber wenn Sie versuchen, sich über eine sichere Verbindung (HTTPS) anzumelden, wird ein weißer Bildschirm (leere Seite) angezeigt.

Dieses Problem hängt mit den Netzwerksicherheitseinstellungen Ihres Unternehmens zusammen. Um das Problem zu beheben, empfehlen wir Ihnen, sich an Ihren Administrator zu wenden. Es ist notwendig, dass er - zur Liste der erlaubten Websites sowie - zu allen Ausnahmen hinzufügt.

Die sichere Verbindung (HTTPS) funktioniert nicht mehr

Dies kann passieren, wenn Sie die Demoversion von CryptoPRO CSP verwenden. Es wird empfohlen, installierte Produkte zunächst über „Programme hinzufügen oder entfernen“ zu entfernen, den Computer neu zu starten und dann cspclean.exe auszuführen. Stellen Sie nach Abschluss des Dienstprogramms sicher, dass Sie Ihren Computer erneut starten.

Installieren Sie CryptoPRO CSP nach der Deinstallation mithilfe der Installationsanweisungen erneut.

Fehler beim Arbeiten mit dem Browser MS Internet Explorer

Nach der Anmeldung zeigt der Browser die Fehlermeldung „Diese Seite kann nicht angezeigt werden“ an

Dies kann passieren, wenn die Protokolle TLS 1.0, TLS 1.1 und TLS 1.2 in den Internet Explorer-Einstellungen deaktiviert sind

Um die erforderlichen Protokolle zu aktivieren, klicken Sie auf die Schaltfläche „Einstellungen ändern“ (befindet sich auf der Seite „Seite kann nicht angezeigt werden“). Überprüfen Sie in der Liste der Sicherheitseinstellungen Folgendes: TLS 1.0, Verwenden Sie TLS 1.1, Verwenden Sie TLS 1.2.

Nachdem Sie die Änderungen gespeichert haben, starten Sie Internet Explorer neu.

Es liegt ein Fehler im Sicherheitszertifikat dieser Website vor

Wenn Sie versuchen, über eine sichere Verbindung (HTTPS) auf das Portal zuzugreifen, erscheint die Warnung „Es liegt ein Fehler im Sicherheitszertifikat dieser Website vor“.

Wenn Sie mit der Website des Informationsportals arbeiten, gefährdet nichts die Sicherheit Ihres Computers. Wählen Sie daher „Diese Website weiterhin öffnen (nicht empfohlen)“. Um zu verhindern, dass diese Warnung in Zukunft angezeigt wird, empfehlen wir Ihnen, Sicherheitszertifikate zu installieren. Dieser Vorgang ist jedoch optional und hat keinen Einfluss auf die Arbeit mit dem Informationsportal. Links zum Herunterladen von Zertifikaten finden Sie in den Anweisungen zur Installation von Zertifikaten für Windows XP bzw. für Windows 10 (7, Vista, 8).

Das System SSL/TLS verfügt über eine Multiprotokoll-Unterstützungsinfrastruktur.

System SSL/TLS unterstützt die folgenden Protokolle:

• Transport Layer Security Version 1.2 (TLSv1.2)
• Transport Layer Security Version 1.1 (TLSv1.1)
• Transport Layer Security Version 1.0 (TLSv1.0)
• • SSLv2 kann nicht verwendet werden, wenn TLSv1.2 im Systemwert QSSLPCL auf dem System aktiviert ist.

SORGFÄLTIG:

IBM empfiehlt dringend, den IBM Server nur mit deaktivierten folgenden Netzwerkprotokollen auszuführen. Durch die Verwendung der IBM-Konfigurationsoptionen zur Aktivierung schwacher Protokollergebnisse können Sie dem IBM i-Server die Verwendung schwacher Protokolle ermöglichen. Diese Einstellung könnte möglicherweise die Netzwerksicherheit gefährden und den IBM i-Server gefährden. IBM ÜBERNIMMT KEINE HAFTUNG FÜR SCHÄDEN ODER VERLUSTE, EINSCHLIESSLICH DATENVERLUST, DIE AUS DER VERWENDUNG SOLCHER NETZWERKPROTOKOLLE ENTSTEHEN KÖNNEN.

Schwache Protokolle (Stand April 2016):

• Secure Sockets Layer Version 3.0 (SSLv3)
• Secure Sockets Layer Version 2.0 (SSLv2)

Enthaltene Protokolle

Der Systemwertparameter QSSLPCL gibt die spezifischen Protokolle an, die auf dem System aktiviert sind. Anwendungen verhandeln sichere Sitzungen nur mit den in QSSLPCL aufgeführten Protokollen. Um beispielsweise die System-SSL/TLS-Implementierung darauf zu beschränken, nur TLSv1.2 zu verwenden und die Verwendung älterer Protokollversionen nicht zuzulassen, müssen Sie den Befehl QSSLPCL so einstellen, dass er nur *TLSV1.2 enthält.

Der Sonderwert QSSLPCL *OPSYS ermöglicht es dem Betriebssystem, die auf dem System an einer Release-Grenze aktivierten Protokolle zu ändern. Der Wert von QSSLPCL bleibt gleich, nachdem das System auf eine neue Betriebssystemversion aktualisiert wurde. Wenn der Wert von QSSLPCL nicht *OPSYS ist, muss der Administrator nach der Migration des Systems auf eine neue Version manuell neuere Protokollversionen zu QSSLPCL hinzufügen.

Standardprotokolle

Wenn die Anwendung nicht angibt, welche Protokolle aktiviert werden sollen, verwendet System SSL/TLS die Standardprotokolle. Dieser Ansatz wird verwendet, um sicherzustellen, dass die Unterstützung für neues TLS keine Änderungen am Anwendungscode erfordert. Für Anwendungen, die explizit die zu aktivierenden Protokolle angeben, ist das Festlegen von Standardprotokollen nicht sinnvoll.

Die Standardprotokolle auf dem System überschneiden sich mit den aktivierten Protokollen von QSSLPCL und den gültigen Standardprotokollen. Die Standardliste der zulässigen Protokolle wird mit dem erweiterten Analysebefehl SSLCONFIG von System Tools (SST) konfiguriert.

Um den aktuellen Wert der standardmäßig zulässigen Protokollliste und der Standardprotokollliste auf dem System zu ermitteln, verwenden Sie den Befehl SSLCONFIG mit der Option –display.

Ein Administrator kann die Standardprotokolleinstellungen nur ändern, wenn keine anderen Konfigurationseinstellungen eine erfolgreiche Kommunikation der Anwendung mit Peers ermöglichen. Es ist vorzuziehen, das ältere Protokoll nur für die Anwendungen zu aktivieren, die es erfordern. Wenn eine „Anwendungsdefinition“ vorhanden ist, erfolgt die Aktivierung über den Digital Certificate Manager (DCM).

Warnung: Das Hinzufügen einer älteren Protokollversion zur Standardliste führt dazu, dass alle Anwendungen, die die Standardliste verwenden, die Sicherheit gefährden. Das Laden eines Gruppensicherheits-PTF kann dazu führen, dass das Protokoll aus der Standardprotokollliste entfernt wird. Abonnieren Sie das Security Bulletin, um benachrichtigt zu werden, wenn Sicherheitsminderungsmaßnahmen diese Art von Änderung beinhalten. Wenn der Administrator ein gültiges Protokoll zurückgibt, das durch ein Sicherheits-PTF gelöscht wurde, merkt sich das System die Änderung und löscht dieses Protokoll nicht erneut, nachdem das nächste Sicherheits-PTF angewendet wurde.

Um die Standardprotokolle auf dem System zu ändern, verwenden Sie die Option „eligsibleDefaultProtocols“ des Befehls SSLCONFIG, um den Wert zu ändern. SSLCONFIG mit der Option -h zeigt ein Hilfefenster an, das beschreibt, wie die Protokollliste eingestellt wird. Nur im Hilfetext angegebene Protokollversionen können zur Liste hinzugefügt werden.