Les options de sécurité du protocole tls ne sont pas définies. Problèmes de protocole TSL – Impossible de se connecter en toute sécurité à cette page. Comment fonctionne l’entrée de registre DefaultSecureProtocols

Tous nos arguments reposent sur le fait que le système d'exploitation est Windows XP ou version ultérieure (Vista, 7 ou 8), sur lequel sont installées toutes les mises à jour et correctifs appropriés. Il y a maintenant une condition supplémentaire : nous parlons des dernières versions des navigateurs, et non d'un « Ognelis sphérique dans le vide ».

Nous configurons donc les navigateurs pour qu'ils utilisent les dernières versions du protocole TLS et n'utilisent pas du tout ses versions obsolètes et SSL. Du moins, dans la mesure du possible en théorie.

Et la théorie nous dit que même si Internet Explorer prend déjà en charge TLS 1.1 et 1.2 à partir de la version 8, sous Windows XP et Vista, nous ne le forcerons pas à le faire. Cliquez : Outils/Options Internet/Avancé et dans la rubrique « Sécurité » on trouve : SSL 2.0, SSL 3.0, TLS 1.0... avez-vous trouvé autre chose ? Félicitations, vous aurez TLS 1.1/1.2 ! S'ils ne l'ont pas trouvé, vous avez Windows XP ou Vista, et à Redmond, ils vous considèrent comme un attardé.

Alors décochez toutes les cases SSL, cochez toutes les cases TLS disponibles. Si seul TLS 1.0 est disponible, qu'il en soit ainsi ; si des versions plus récentes sont disponibles, il est préférable de ne les sélectionner que et de décocher TLS 1.0 (et de ne pas s'étonner plus tard que certains sites ne s'ouvrent pas via HTTPS). Cliquez ensuite sur les boutons « Appliquer » et « OK ».

C'est plus simple avec Opera, cela nous offre un véritable banquet de différentes versions de protocoles : Outils/Paramètres généraux/Avancé/Sécurité/Protocole de sécurité. Que voit-on ? L'ensemble, à partir duquel nous laissons les cases à cocher uniquement pour TLS 1.1 et TLS 1.2, après quoi nous cliquons sur le bouton "Détails" et là nous décochons toutes les lignes sauf celles qui commencent par "256 bit AES" - elles sont au tout fin. Au début de la liste il y a une ligne « 256 bits AES ( Anonyme DH/SHA-256), décochez-la également. Cliquez sur « OK » et profitez de la sécurité.

Cependant, Opera a une propriété étrange : si TLS 1.0 est activé, alors s'il est nécessaire d'établir une connexion sécurisée, il utilise immédiatement cette version du protocole, que le site prenne ou non en charge les versions plus récentes. Pourquoi s’embêter – tout va bien, tout est protégé. Lorsque seuls TLS 1.1 et 1.2 sont activés, la version la plus avancée sera tentée en premier, et ce n'est que si elle n'est pas prise en charge par le site que le navigateur passera à la version 1.1.

Mais le sphérique Ognelis Firefox ne nous plaira pas du tout : Outils/Paramètres/Avancé/Chiffrement : on ne peut que désactiver SSL, TLS n'est disponible qu'en version 1.0, il n'y a rien à faire - on le laisse avec une coche.

Cependant, le pire s'apprend par comparaison : Chrome et Safari ne contiennent aucun paramètre sur le protocole de cryptage à utiliser. À notre connaissance, Safari ne prend pas en charge les versions TLS plus récentes que la 1.0 dans les versions pour le système d'exploitation Windows, et puisque la publication de nouvelles versions pour ce système d'exploitation a été interrompue, ce ne sera pas le cas.

Chrome, à notre connaissance, prend en charge TLS 1.1, mais, comme dans le cas de Safari, nous ne pouvons pas refuser l'utilisation de SSL. Il n'existe aucun moyen de désactiver TLS 1.0 dans Chrome. Mais avec l'utilisation réelle de TLS 1.1, une grande question se pose : il a d'abord été activé, puis désactivé en raison de problèmes de fonctionnement et, pour autant que l'on puisse en juger, n'a pas encore été réactivé. Autrement dit, il semble y avoir un support, mais il semble être désactivé et il n'y a aucun moyen pour l'utilisateur de le réactiver. La même histoire est avec Firefox - il prend en charge TLS 1.1, mais il n'est pas encore disponible pour l'utilisateur.

Résumé de la multilettre ci-dessus. Quels sont les dangers généraux liés à l’utilisation de versions obsolètes de protocoles de chiffrement ? Le fait que quelqu'un d'autre accédera à votre connexion sécurisée au site et aura accès à toutes les informations « là-bas » et « là-bas ». Concrètement, il aura un accès complet à sa boîte email, à son compte dans le système client-banque, etc.

Il est peu probable que vous pénétriez accidentellement dans la connexion sécurisée de quelqu'un d'autre, nous parlons uniquement d'actions malveillantes. Si la probabilité de telles actions est faible ou si les informations transmises via une connexion sécurisée ne sont pas particulièrement précieuses, vous n'avez pas à vous soucier d'utiliser des navigateurs qui ne prennent en charge que TLS 1.0.

Sinon, il n'y a pas de choix : uniquement Opera et uniquement TLS 1.2 (TLS 1.1 n'est qu'une amélioration de TLS 1.0, héritant en partie de ses problèmes de sécurité). Cependant, nos sites préférés peuvent ne pas prendre en charge TLS 1.2 :(

Protocole SSL TLS

Les utilisateurs des organismes budgétaires, et pas seulement budgétaires, dont les activités sont directement liées à la finance, en interaction avec les organismes financiers, par exemple le Ministère des Finances, le Trésor, etc., effectuent toutes leurs opérations exclusivement en utilisant le protocole sécurisé SSL. Fondamentalement, dans leur travail, ils utilisent le navigateur Internet Explorer. Dans certains cas, Mozilla Firefox.

Actualités informatiques, critiques, solutions aux problèmes avec l'ordinateur, jeux informatiques, pilotes et périphériques et autres programmes informatiques." title="programmes, pilotes, problèmes avec l'ordinateur, jeux" target="_blank">!}

Erreur SSL

La principale attention lors de la réalisation de ces opérations, et des travaux en général, est portée au système de sécurité : certificats, signatures électroniques. La version actuelle du logiciel CryptoPro est utilisée pour le fonctionnement. Concernant problèmes avec les protocoles SSL et TLS, Si Erreur SSL est apparu, il est fort probable qu'il n'y ait aucun support pour ce protocole.

Erreur TLS

Erreur TLS dans de nombreux cas, cela peut également indiquer un manque de prise en charge du protocole. Mais... voyons ce qui peut être fait dans ce cas.

Prise en charge des protocoles SSL et TLS

Ainsi, lorsque vous utilisez Microsoft Internet Explorer pour visiter un site Web sécurisé par SSL, la barre de titre affiche Assurez-vous que les protocoles SSL et TLS sont activés. Il faut avant tout activer la prise en charge du protocole TLS 1.0 dans Internet Explorer.

Actualités informatiques, critiques, solutions aux problèmes avec l'ordinateur, jeux informatiques, pilotes et périphériques et autres programmes informatiques." title="programmes, pilotes, problèmes avec l'ordinateur, jeux" target="_blank">Компьютерная помощь, драйверы, программы, игры!}

Si vous visitez un site Web qui exécute Internet Information Services 4.0 ou version ultérieure, la configuration d'Internet Explorer pour prendre en charge TLS 1.0 permet de sécuriser votre connexion. Bien entendu, à condition que le serveur Web distant que vous essayez d’utiliser prenne en charge ce protocole.

Pour ce faire dans le menu Service choisis une équipe options Internet.

Sur l'onglet En plus Au chapitre Sécurité, assurez-vous que les cases suivantes sont cochées :

Utilisez SSL 2.0
Utiliser SSL 3.0
Utiliser TLS 1.0

Cliquez sur le bouton Appliquer , et puis D'ACCORD . Redémarrez votre navigateur .

Après avoir activé TLS 1.0, essayez à nouveau de visiter le site Web.

Politique de sécurité du système

S'ils surviennent encore erreurs avec SSL et TLS Si vous ne pouvez toujours pas utiliser SSL, le serveur Web distant ne prend probablement pas en charge TLS 1.0. Dans ce cas, il faut désactiver la politique du système, qui nécessite des algorithmes conformes à FIPS.

Actualités informatiques, critiques, solutions aux problèmes avec l'ordinateur, jeux informatiques, pilotes et périphériques et autres programmes informatiques." title="programmes, pilotes, problèmes avec l'ordinateur, jeux" target="_blank">Компьютерная помощь, драйверы, программы, игры!}

Pour ce faire, dans Panneaux de contrôle sélectionner Administration, puis double-cliquez Stratégie de sécurité locale.

Dans Paramètres de sécurité locaux, développez Politiques locales puis cliquez sur le bouton Les paramètres de sécurité.

Selon la politique sur le côté droit de la fenêtre, double-cliquez Cryptographie du système : utilisez des algorithmes conformes à la norme FIPS pour le chiffrement, le hachage et la signature. puis cliquez sur le bouton Désactivé .

Attention! La modification prend effet après la réapplication de la stratégie de sécurité locale. C'est allume ça Et redémarrez votre navigateur .

CryptoPro TLS SSL

Mettre à jour CryptoPro

Ensuite, l'une des options pour résoudre le problème consiste à mettre à jour CryptoPro, ainsi qu'à configurer la ressource. Dans ce cas, il s’agit de paiements électroniques. Par conséquent, nous allons au Centre de Certification pour configurer automatiquement la ressource. Nous sélectionnons les plateformes de trading électronique comme ressource.

Après avoir démarré la configuration automatique du poste de travail, il ne reste plus que attendre la fin de la procédure, alors recharger le navigateur. Si vous devez saisir ou sélectionner une adresse de ressource, sélectionnez celle dont vous avez besoin. Vous devrez peut-être également redémarrer votre ordinateur une fois l'installation terminée.

Actualités informatiques, critiques, solutions aux problèmes avec l'ordinateur, jeux informatiques, pilotes et périphériques et autres programmes informatiques." title="programmes, pilotes, problèmes avec l'ordinateur, jeux" target="_blank">Компьютерная помощь, драйверы, программы, игры!}

Configuration de SSL TLS

Configuration du réseau

Une autre option pourrait être désactivation de NetBIOS sur TCP/IP- situé dans les propriétés de la connexion.

Enregistrement des DLL

Lancez l'invite de commande en tant qu'administrateur et entrez la commande regsvr32 cpcng. Pour un système d'exploitation 64 bits, vous devez utiliser le même regsvr32 que celui de syswow64.

Lorsqu'il accède à un portail gouvernemental ou de service (par exemple, EIS), l'utilisateur peut soudainement rencontrer l'erreur « Il n'est pas possible de se connecter en toute sécurité à cette page. Le site utilise peut-être des paramètres de sécurité TLS obsolètes ou faibles." Ce problème est assez courant et est observé depuis plusieurs années chez diverses catégories d'utilisateurs. Examinons l'essence de cette erreur et les options pour la résoudre.

Comme vous le savez, la sécurité des connexions des utilisateurs aux ressources du réseau est assurée grâce à l'utilisation de SSL/TSL - protocoles cryptographiques responsables de la transmission sécurisée des données sur Internet. Ils utilisent un cryptage symétrique et asymétrique, des codes d'authentification des messages et d'autres fonctionnalités spéciales qui vous permettent de maintenir la confidentialité de votre connexion, empêchant des tiers de décrypter votre session.

Si, lors de la connexion à un site, le navigateur détecte que la ressource utilise des paramètres de protocole de sécurité SSL/TSL incorrects, l'utilisateur reçoit le message ci-dessus et l'accès au site peut être bloqué.

Très souvent, la situation avec le protocole TLS se pose dans le navigateur IE, un outil populaire pour travailler avec des portails gouvernementaux spéciaux associés à diverses formes de reporting. Travailler avec de tels portails nécessite la présence du navigateur Internet Explorer, et c'est sur celui-ci que le problème en question se pose particulièrement souvent.

Les raisons de l'erreur « Le site utilise peut-être des paramètres de sécurité TLS obsolètes ou non sécurisés » peuvent être les suivantes :

Comment résoudre le dysfonctionnement : des paramètres de sécurité TLS faibles sont utilisés

La solution au problème peut être les méthodes décrites ci-dessous. Mais avant de les décrire, je vous recommande de simplement redémarrer votre PC – bien que triviale, cette méthode s’avère souvent assez efficace.

Si cela ne résout pas le problème, procédez comme suit :

Conclusion

La cause de l'erreur «Le site utilise peut-être des paramètres de sécurité du protocole TLS obsolètes ou peu fiables» est assez souvent un antivirus PC local qui, pour certaines raisons, bloque l'accès au portail Internet souhaité. Si une situation problématique survient, il est recommandé de désactiver d'abord votre antivirus pour vous assurer qu'il n'est pas à l'origine du problème en question. Si l'erreur continue de se reproduire, je vous recommande de passer à la mise en œuvre d'autres conseils décrits ci-dessous pour résoudre le problème des paramètres de sécurité du protocole TSL peu fiables sur votre PC.

Page vierge lors de l'entrée sur le Portail via une connexion sécurisée

« CryptoPro » est installé, le port 443 est ouvert, mais lorsque vous essayez de vous connecter via une connexion sécurisée (HTTPS), un écran blanc (page blanche) s'affiche.

Ce problème est lié aux paramètres de sécurité réseau de votre entreprise. Pour résoudre le problème, nous vous recommandons de contacter votre administrateur. Il faut qu'il ajoute - à la liste des sites autorisés, ainsi que - à toutes les exceptions.

La connexion sécurisée (HTTPS) a cessé de fonctionner

Cela peut arriver si vous utilisez la version démo de CryptoPRO CSP. Il est recommandé de supprimer d'abord les produits installés via Ajout/Suppression de programmes, de redémarrer votre ordinateur, puis d'exécuter cspclean.exe. Après avoir terminé l'utilitaire, assurez-vous de redémarrer votre ordinateur.

Après la désinstallation, réinstallez CryptoPRO CSP en suivant les instructions d'installation.

Erreurs lors de l'utilisation du navigateur MS Internet Explorer

Après vous être connecté, le navigateur affiche l'erreur « Cette page ne peut pas être affichée »

Cela peut se produire si les protocoles TLS 1.0, TLS 1.1 et TLS 1.2 sont désactivés dans les paramètres d'Internet Explorer.

Pour activer les protocoles nécessaires, cliquez sur le bouton « Modifier les paramètres » (situé sur la page « La page ne peut pas être affichée »). Dans la liste des paramètres de sécurité, vérifiez les éléments suivants : TLS1.0, Utiliser TLS 1.1, Utiliser TLS 1.2.

Après avoir enregistré les modifications, redémarrez Internet Explorer.

Il y a une erreur dans le certificat de sécurité de ce site Web

Lorsque vous essayez d'accéder au Portail via une connexion sécurisée (HTTPS), l'avertissement « Il y a une erreur dans le certificat de sécurité de ce site Web » apparaît.

Lorsque vous travaillez avec le site Web du Portail d'information, rien ne menace la sécurité de votre ordinateur, sélectionnez donc « Continuer à ouvrir ce site Web (non recommandé) ». Pour éviter que cet avertissement n'apparaisse à l'avenir, nous vous recommandons d'installer des certificats de sécurité. Cependant, cette procédure est facultative et n'affecte en rien le travail avec le Portail d'information. Les liens pour télécharger les certificats se trouvent respectivement dans les instructions d'installation des certificats pour Windows XP, pour Windows 10 (7, Vista, 8).

Le système SSL/TLS dispose d'une infrastructure de support multiprotocole.

Le système SSL/TLS prend en charge les protocoles suivants :

• Sécurité de la couche de transport version 1.2 (TLSv1.2)
• Sécurité de la couche de transport version 1.1 (TLSv1.1)
• Sécurité de la couche de transport version 1.0 (TLSv1.0)
• • SSLv2 ne peut pas être utilisé si TLSv1.2 est activé sur le système dans la valeur système QSSLPCL.

SOIGNEUSEMENT:

IBM vous recommande fortement d'exécuter le serveur IBM uniquement avec les protocoles réseau suivants désactivés. En utilisant les options de configuration IBM pour activer les résultats de protocole faible, vous pouvez permettre au serveur IBM i d'utiliser des protocoles faibles. Ce paramètre pourrait potentiellement compromettre la sécurité du réseau et mettre en danger le serveur IBM i. IBM N'EST PAS RESPONSABLE DE TOUT DOMMAGE OU PERTE, Y COMPRIS LA PERTE DE DONNÉES, POUVANT PROVENIR DE L'UTILISATION DE TELS PROTOCOLES RÉSEAU.

Protocoles faibles (en avril 2016) :

• Secure Sockets Layer version 3.0 (SSLv3)
• Secure Sockets Layer version 2.0 (SSLv2)

Protocoles inclus

Le paramètre de valeur système QSSLPCL spécifie les protocoles spécifiques activés sur le système. Les applications négocient des sessions sécurisées uniquement avec les protocoles répertoriés dans QSSLPCL. Par exemple, pour limiter l'implémentation du système SSL/TLS afin qu'elle utilise uniquement TLSv1.2 et ne pas autoriser l'utilisation d'anciennes versions de protocole, vous devez définir la commande QSSLPCL pour qu'elle contienne uniquement *TLSV1.2 .

La valeur spéciale QSSLPCL *OPSYS permet au système d'exploitation de modifier les protocoles activés sur le système à une limite de version. La valeur de QSSLPCL reste la même après la mise à niveau du système vers une nouvelle version du système d'exploitation. Si la valeur de QSSLPCL n'est pas *OPSYS, après la migration du système vers une nouvelle version, l'administrateur doit ajouter manuellement des versions de protocole plus récentes à QSSLPCL.

Protocoles par défaut

Si l'application ne précise pas les protocoles à activer, le système SSL/TLS utilise les protocoles par défaut. Cette approche est utilisée pour garantir que la prise en charge du nouveau TLS ne nécessite pas de modifications du code de l'application. Pour les applications qui spécifient explicitement les protocoles à activer, la définition de protocoles par défaut n'a pas de sens.

Les protocoles par défaut sur le système chevauchent les protocoles activés de QSSLPCL et les protocoles par défaut valides. La liste par défaut des protocoles autorisés est configurée à l’aide de la commande d’analyse avancée SSLCONFIG de System Toolbox (SST).

Pour déterminer la valeur actuelle de la liste des protocoles autorisés par défaut et de la liste des protocoles par défaut sur le système, utilisez la commande SSLCONFIG avec l'option –display.

Un administrateur peut modifier les paramètres de protocole par défaut uniquement si aucun autre paramètre ne permet à l'application de communiquer avec ses homologues. Il est préférable d'activer l'ancien protocole uniquement pour les applications qui le nécessitent. S'il existe une « définition d'application », l'activation s'effectue via Digital Certificate Manager (DCM).

Avertissement : L'ajout d'une ancienne version du protocole à la liste par défaut entraînera une compromission de la sécurité de toutes les applications qui utilisent la liste par défaut. Le chargement d'une PTF de sécurité de groupe peut entraîner la suppression du protocole de la liste des protocoles par défaut. Abonnez-vous au Bulletin de sécurité pour être averti lorsque les mesures d'atténuation de sécurité incluent ce type de changement. Si l'administrateur renvoie un protocole valide qui a été supprimé par une PTF de sécurité, le système se souviendra de la modification et ne supprimera plus ce protocole après l'application de la prochaine PTF de sécurité.

Pour modifier les protocoles par défaut sur le système, utilisez l'option éligibleDefaultProtocols de la commande SSLCONFIG pour modifier la valeur. SSLCONFIG avec l'option -h affichera un panneau d'aide décrivant comment définir la liste des protocoles. Seules les versions de protocole indiquées dans le texte d'aide peuvent être ajoutées à la liste.