TLs protokolü güvenlik seçenekleri ayarlanmadı. TSL Protokolü Sorunları – Bu sayfaya güvenli bir şekilde bağlanılamıyor. DefaultSecureProtocols kayıt defteri girişi nasıl çalışır?

Tüm argümanlarımız, işletim sisteminin, tüm uygun güncellemelerin ve yamaların yüklü olduğu Windows XP veya üzeri (Vista, 7 veya 8) olduğu gerçeğine dayanmaktadır. Şimdi bir koşul daha var: "boşluktaki küresel Ognelis" değil, tarayıcıların en son sürümlerinden bahsediyoruz.

Bu nedenle, tarayıcıları TLS protokolünün en son sürümlerini kullanacak, eski sürümlerini ve SSL'yi hiç kullanmayacak şekilde yapılandırıyoruz. En azından teoride mümkün olduğu kadar.

Ve teori bize, Internet Explorer'ın zaten sürüm 8'den itibaren TLS 1.1 ve 1.2'yi desteklemesine rağmen, Windows XP ve Vista altında onu bunu yapmaya zorlamayacağımızı söylüyor. Tıklayın: Araçlar/İnternet Seçenekleri/Gelişmiş ve "Güvenlik" bölümünde şunları buluyoruz: SSL 2.0, SSL 3.0, TLS 1.0... başka bir şey buldunuz mu? Tebrikler, TLS 1.1/1.2'ye sahip olacaksınız! Eğer bulamadılarsa, Windows XP veya Vista'nız var ve Redmond'da sizin gerizekalı olduğunuzu düşünüyorlar.

Bu nedenle, tüm SSL kutularının işaretini kaldırın, mevcut tüm TLS kutularını işaretleyin. Yalnızca TLS 1.0 mevcutsa öyle olsun; daha güncel sürümler mevcutsa, yalnızca bunları seçmek ve TLS 1.0'ın işaretini kaldırmak daha iyidir (ve daha sonra bazı sitelerin HTTPS üzerinden açılmamasına şaşırmayın). Daha sonra “Uygula” ve “Tamam” butonlarına tıklayın.

Opera ile bu daha kolay; bize farklı protokol versiyonlarından oluşan gerçek bir ziyafet sunuyor: Araçlar/Genel Ayarlar/Gelişmiş/Güvenlik/Güvenlik Protokolü. Ne görüyoruz? Yalnızca TLS 1.1 ve TLS 1.2 için onay kutularını bıraktığımız setin tamamı, ardından "Ayrıntılar" düğmesine tıklıyoruz ve orada "256 bit AES" ile başlayan satırlar dışındaki tüm satırların işaretini kaldırıyoruz - bunlar en altta son. Listenin başında “256 bit AES ( Anonim DH/SHA-256), işaretini de kaldırın. “Tamam”a tıklayın ve güvenliğin keyfini çıkarın.

Ancak Opera'nın garip bir özelliği var: TLS 1.0 etkinse, güvenli bir bağlantı kurmak gerekiyorsa, sitenin daha güncel olanları destekleyip desteklemediğine bakılmaksızın protokolün bu sürümünü hemen kullanır. Mesela neden uğraşayım – her şey yolunda, her şey korunuyor. Yalnızca TLS 1.1 ve 1.2 etkinleştirildiğinde, önce daha gelişmiş sürüm denenecek ve yalnızca site tarafından desteklenmiyorsa tarayıcı 1.1 sürümüne geçecektir.

Ancak küresel Ognelis Firefox bizi hiç memnun etmeyecek: Araçlar/Ayarlar/Gelişmiş/Şifreleme: yapabileceğimiz tek şey SSL'yi devre dışı bırakmak, TLS yalnızca 1.0 sürümünde mevcut, yapacak bir şey yok - onu bir onay işaretiyle bırakıyoruz.

Ancak en kötüsü karşılaştırma yoluyla öğrenilir: Chrome ve Safari, hangi şifreleme protokolünün kullanılacağına ilişkin hiçbir ayar içermez. Bildiğimiz kadarıyla Safari, Windows işletim sistemi sürümlerinde 1.0'dan daha güncel TLS sürümlerini desteklemiyor ve bu işletim sistemi için yeni sürümlerin yayınlanması durdurulduğu için de olmayacak.

Chrome bildiğimiz kadarıyla TLS 1.1'i destekliyor ancak Safari'de olduğu gibi SSL kullanımını reddedemeyiz. Chrome'da TLS 1.0'ı devre dışı bırakmanın bir yolu yoktur. Ancak TLS 1.1'in fiili kullanımıyla ilgili büyük bir soru var: Önce açıldı, ardından operasyonel sorunlar nedeniyle kapatıldı ve yargılanabildiği kadarıyla henüz tekrar açılmadı. Yani destek var gibi görünüyor, ancak kapalı görünüyor ve kullanıcının onu tekrar açmasının bir yolu yok. Aynı hikaye Firefox için de geçerlidir; aslında TLS 1.1 desteği vardır, ancak henüz kullanıcıya sunulmamıştır.

Yukarıdaki çok harfli metnin özeti. Şifreleme protokollerinin güncel olmayan sürümlerini kullanmanın genel tehlikeleri nelerdir? Bir başkasının siteyle olan güvenli bağlantınıza girip "orada" ve "orada" olan tüm bilgilere erişeceği gerçeği. Pratik anlamda, e-posta kutusuna, müşteri-banka sistemindeki hesaba vb. tam erişime sahip olacak.

Yanlışlıkla başka birinin güvenli bağlantısına girmeniz pek olası değildir; yalnızca kötü niyetli eylemlerden bahsediyoruz. Bu tür eylemlerin gerçekleşme olasılığı düşükse veya güvenli bir bağlantı üzerinden iletilen bilgiler özellikle değerli değilse, o zaman yalnızca TLS 1.0'ı destekleyen tarayıcıları kullanmanıza ve kullanmanıza gerek yoktur.

Aksi takdirde başka seçenek yok: yalnızca Opera ve yalnızca TLS 1.2 (TLS 1.1 yalnızca TLS 1.0'ın geliştirilmiş halidir ve güvenlik sorunlarını kısmen devralmıştır). Ancak favori sitelerimiz TLS 1.2'yi desteklemeyebilir :(

SSL TLS protokolü

Faaliyetleri doğrudan finansla ilgili olan, örneğin Maliye Bakanlığı, Hazine vb. gibi finansal kuruluşlarla etkileşim halinde olan bütçe kuruluşlarının kullanıcıları ve yalnızca bütçe kuruluşlarının kullanıcıları, tüm işlemlerini yalnızca güvenli SSL protokolünü kullanarak gerçekleştirir. Temel olarak çalışmalarında Internet Explorer tarayıcısını kullanıyorlar. Bazı durumlarda Mozilla Firefox.

Bilgisayar haberleri, incelemeler, bilgisayarla ilgili sorunların çözümleri, bilgisayar oyunları, sürücüler ve aygıtlar ve diğer bilgisayar programları." title="programlar, sürücüler, bilgisayarla ilgili sorunlar, oyunlar" target="_blank">!}

SSL Hatası

Bu işlemleri gerçekleştirirken ve genel olarak çalışırken asıl dikkat güvenlik sistemine verilir: sertifikalar, elektronik imzalar. İşlem için CryptoPro yazılımının güncel sürümü kullanılır. İlişkin SSL ve TLS protokolleriyle ilgili sorunlar, Eğer SSL hatası ortaya çıktı, büyük olasılıkla bu protokol için destek yok.

TLS hatası

TLS hatasıçoğu durumda protokol desteğinin eksikliğini de gösterebilir. Ama... bu durumda ne yapılabileceğini görelim.

SSL ve TLS protokolü desteği

Bu nedenle, SSL korumalı bir web sitesini ziyaret etmek için Microsoft Internet Explorer'ı kullandığınızda başlık çubuğu görüntülenir. SSL ve tls protokollerinin etkinleştirildiğinden emin olun. Her şeyden önce gerekli TLS 1.0 protokol desteğini etkinleştirin Internet Explorer'da.

Bilgisayar haberleri, incelemeler, bilgisayarla ilgili sorunların çözümleri, bilgisayar oyunları, sürücüler ve aygıtlar ve diğer bilgisayar programları." title="programlar, sürücüler, bilgisayarla ilgili sorunlar, oyunlar" target="_blank">Компьютерная помощь, драйверы, программы, игры!}

Internet Information Services 4.0 veya üstünü çalıştıran bir web sitesini ziyaret ediyorsanız, Internet Explorer'ı TLS 1.0'ı destekleyecek şekilde yapılandırmak bağlantınızın güvenliğini sağlamanıza yardımcı olur. Tabii kullanmaya çalıştığınız uzak web sunucusunun bu protokolü desteklemesi şartıyla.

Bunu menüde yapmak için Hizmet takımı seç internet Seçenekleri.

Sekmede bunlara ek olarak Bölümde Emniyet, aşağıdaki onay kutularının seçili olduğundan emin olun:

SSL 2.0 kullanın
SSL 3.0 kullanın
TLS 1.0'ı kullanın

Düğmeye bas Uygula , ve daha sonra TAMAM . Tarayıcınızı yeniden başlatın .

TLS 1.0'ı etkinleştirdikten sonra web sitesini tekrar ziyaret etmeyi deneyin.

Sistem Güvenliği Politikası

Hala ortaya çıkıyorlarsa SSL ve TLS ile ilgili hatalar Hala SSL kullanamıyorsanız uzak web sunucusu muhtemelen TLS 1.0'ı desteklemiyordur. Bu durumda gerekli sistem ilkesini devre dışı bırak FIPS uyumlu algoritmalar gerektirir.

Bilgisayar haberleri, incelemeler, bilgisayarla ilgili sorunların çözümleri, bilgisayar oyunları, sürücüler ve aygıtlar ve diğer bilgisayar programları." title="programlar, sürücüler, bilgisayarla ilgili sorunlar, oyunlar" target="_blank">Компьютерная помощь, драйверы, программы, игры!}

Bunu yapmak için, Kontrol panelleri seçme Yönetim ve ardından çift tıklayın Yerel Güvenlik Politikası.

Yerel Güvenlik Ayarları'nda genişletin Yerel politikalar ve ardından düğmeye tıklayın Güvenlik ayarları.

Pencerenin sağ tarafındaki politikaya göre çift tıklayın Sistem şifrelemesi: şifreleme, karma oluşturma ve imzalama için FIPS uyumlu algoritmalar kullanın ve ardından düğmeye tıklayın Engelli .

Dikkat! Değişiklik, yerel güvenlik ilkesi yeniden uygulandıktan sonra geçerli olur. Yani aç onu Ve tarayıcınızı yeniden başlatın .

CryptoPro TLS SSL

CryptoPro'yu güncelleyin

Daha sonra, sorunu çözme seçeneklerinden biri CryptoPro'yu güncellemenin yanı sıra kaynağı ayarlamaktır. Bu durumda bu, elektronik ödemelerle çalışmaktadır. Bu nedenle kaynağı otomatik olarak yapılandırmak için Sertifikasyon Merkezine gidiyoruz. Kaynak olarak Elektronik ticaret platformlarını seçiyoruz.

Otomatik işyeri kurulumunu başlattıktan sonra geriye kalan tek şey prosedürün tamamlanmasını bekleyin, Daha sonra tarayıcıyı yeniden yükle. Bir kaynak adresi girmeniz veya seçmeniz gerekiyorsa ihtiyacınız olanı seçin. Kurulum tamamlandığında bilgisayarınızı yeniden başlatmanız da gerekebilir.

Bilgisayar haberleri, incelemeler, bilgisayarla ilgili sorunların çözümleri, bilgisayar oyunları, sürücüler ve aygıtlar ve diğer bilgisayar programları." title="programlar, sürücüler, bilgisayarla ilgili sorunlar, oyunlar" target="_blank">Компьютерная помощь, драйверы, программы, игры!}

SSL TLS'yi ayarlama

Ağ yapılandırması

Başka bir seçenek olabilir TCP/IP üzerinden NetBIOS'u devre dışı bırakma- bağlantı özelliklerinde bulunur.

DLL kaydı

Komut İstemi'ni Yönetici olarak başlatın ve komutu girin regsvr32 cpcng. 64 bit işletim sistemi için syswow64'teki regsvr32'nin aynısını kullanmanız gerekir.

Kullanıcı herhangi bir devlet veya hizmet portalına (örneğin EIS) gittiğinde aniden “Bu sayfaya güvenli bir şekilde bağlanmak mümkün değil. Site eski veya zayıf TLS güvenlik ayarlarını kullanıyor olabilir." Bu sorun oldukça yaygındır ve çeşitli kullanıcı kategorileri arasında birkaç yıldır gözlemlenmektedir. Bu hatanın özüne ve onu çözme seçeneklerine bakalım.

Bildiğiniz gibi, kullanıcıların ağ kaynaklarına olan bağlantılarının güvenliği, verilerin internette güvenli bir şekilde iletilmesinden sorumlu şifreleme protokolleri olan SSL/TSL kullanılarak sağlanmaktadır. Bağlantınızın gizliliğini korumanıza olanak tanıyan, üçüncü tarafların oturumunuzun şifresini çözmesini önleyen simetrik ve asimetrik şifreleme, mesaj kimlik doğrulama kodları ve diğer özel özellikleri kullanırlar.

Bir siteye bağlanırken tarayıcı, kaynağın yanlış SSL/TSL güvenlik protokolü parametreleri kullandığını tespit ederse, kullanıcı yukarıdaki mesajı alır ve siteye erişim engellenebilir.

Çoğu zaman, TLS protokolüyle ilgili durum, çeşitli raporlama biçimleriyle ilişkili özel devlet portallarıyla çalışmak için popüler bir araç olan IE tarayıcısında ortaya çıkar. Bu tür portallarla çalışmak, Internet Explorer tarayıcısının varlığını gerektirir ve söz konusu sorun özellikle sık sık ortaya çıkar.

“Site eski veya güvenli olmayan TLS güvenlik ayarları kullanıyor olabilir” hatasının nedenleri şu şekilde olabilir:

İşlev bozukluğu nasıl giderilir: Zayıf TLS güvenlik ayarları kullanılıyor

Sorunun çözümü aşağıda anlatılan yöntemler olabilir. Ancak bunları açıklamadan önce, bilgisayarınızı yeniden başlatmanızı öneririm; her ne kadar önemsiz olsa da, bu yöntemin çoğu zaman oldukça etkili olduğu ortaya çıkıyor.

Yardımcı olmazsa aşağıdakileri yapın:

Çözüm

"Site, TLS protokolünün eski veya güvenilmez güvenlik parametrelerini kullanıyor olabilir" hatasının nedeni, genellikle belirli nedenlerden dolayı istenen İnternet portalına erişimi engelleyen yerel bir PC antivirüsüdür. Sorunlu bir durum ortaya çıkarsa, söz konusu soruna neden olmadığından emin olmak için öncelikle antivirüsünüzü devre dışı bırakmanız önerilir. Hata tekrarlanmaya devam ederse, bilgisayarınızdaki güvenilmez TSL protokolü güvenlik ayarları sorununu çözmek için aşağıda açıklanan diğer ipuçlarını uygulamaya geçmenizi öneririm.

Portala güvenli bir bağlantı üzerinden girildiğinde boş sayfa

“CryptoPro” kurulu, 443 numaralı port açık ancak güvenli bağlantı (HTTPS) üzerinden giriş yapmaya çalıştığınızda beyaz ekran (boş sayfa) görüntüleniyor.

Bu sorun şirketinizin ağ güvenlik ayarlarıyla ilgilidir. Sorunu çözmek için yöneticinizle iletişime geçmenizi öneririz. İzin verilen siteler listesine ve ayrıca tüm istisnalara eklenmesi gerekir.

Güvenli bağlantı (HTTPS) çalışmayı durdurdu

CryptoPRO CSP'nin demo sürümünü kullanıyorsanız bu durum meydana gelebilir. Yüklü ürünleri öncelikle Program Ekle veya Kaldır aracılığıyla kaldırmanız, bilgisayarınızı yeniden başlatmanız ve ardından cspclean.exe dosyasını çalıştırmanız önerilir. Yardımcı programı tamamladıktan sonra bilgisayarınızı yeniden başlattığınızdan emin olun.

Kaldırma işleminden sonra kurulum talimatlarını kullanarak CryptoPRO CSP'yi yeniden yükleyin.

MS Internet Explorer tarayıcısı üzerinden çalışırken hatalar

Giriş yaptıktan sonra tarayıcıda “Bu sayfa görüntülenemiyor” hatası görüntüleniyor

Bu durum, Internet Explorer ayarlarında TLS 1.0, TLS 1.1 ve TLS 1.2 protokollerinin devre dışı bırakılması durumunda meydana gelebilir.

Gerekli protokolleri etkinleştirmek için "Ayarları değiştir" düğmesine tıklayın ("Sayfa görüntülenemiyor" sayfasında bulunur). Güvenlik ayarları listesinde aşağıdakileri kontrol edin: TLS1.0, TLS 1.1'i kullanın, TLS 1.2'yi kullanın.

Değişiklikleri kaydettikten sonra Internet Explorer'ı yeniden başlatın.

Bu web sitesinin güvenlik sertifikasında bir hata var

Portala güvenli bağlantı (HTTPS) üzerinden erişmeye çalıştığınızda “Bu web sitesinin güvenlik sertifikasında hata var” uyarısı çıkıyor.

Bilgi Portalı web sitesiyle çalışırken hiçbir şey bilgisayarınızın güvenliğini tehdit etmez; bu nedenle “Bu web sitesini açmaya devam et (önerilmez)” seçeneğini seçin. Bu uyarının gelecekte görünmesini önlemek için güvenlik sertifikaları yüklemenizi öneririz. Ancak bu prosedür isteğe bağlıdır ve Bilgi Portalı ile çalışmayı hiçbir şekilde etkilemez. Sertifikaları indirmeye yönelik bağlantılar, sırasıyla Windows XP ve Windows 10 (7, Vista, 8) için sertifika yükleme talimatlarında bulunur.

Sistem SSL/TLS çoklu protokol desteği altyapısına sahiptir.

Sistem SSL/TLS aşağıdaki protokolleri destekler:

• Aktarım Katmanı Güvenliği sürüm 1.2 (TLSv1.2)
• Aktarım Katmanı Güvenliği sürüm 1.1 (TLSv1.1)
• Aktarım Katmanı Güvenliği sürüm 1.0 (TLSv1.0)
• • Sistemde QSSLPCL sistem değerinde TLSv1.2 etkinleştirilmişse SSLv2 kullanılamaz.

DİKKATLİCE:

IBM, IBM sunucusunu yalnızca aşağıdaki ağ protokolleri devre dışıyken çalıştırmanızı önemle önerir. Zayıf protokol sonuçlarını etkinleştirmek için IBM yapılandırma seçeneklerini kullanarak, IBM i sunucusunun zayıf protokolleri kullanmasını sağlayabilirsiniz. Bu ayar potansiyel olarak ağ güvenliğini tehlikeye atabilir ve IBM i sunucusunu riske atabilir. IBM, SÖZ KONUSU AĞ PROTOKOLLERİNİN KULLANIMI NEDENİYLE ORTAYA ÇIKABİLECEK VERİ KAYBI DAHİL HİÇBİR ZARAR VEYA KAYIPTAN SORUMLU DEĞİLDİR.

Zayıf protokoller (Nisan 2016 itibarıyla):

• Güvenli Yuva Katmanı sürüm 3.0 (SSLv3)
• Güvenli Yuva Katmanı sürüm 2.0 (SSLv2)

Dahil edilen protokoller

Sistem değeri parametresi QSSLPCL, sistemde etkinleştirilen belirli protokolleri belirtir. Uygulamalar güvenli oturumlarda yalnızca QSSLPCL'de listelenen protokollerle anlaşma yapar. Örneğin, Sistem SSL/TLS uygulamasını yalnızca TLSv1.2 kullanacak ve eski protokol sürümlerinin kullanılmasına izin vermeyecek şekilde kısıtlamak için, QSSLPCL komutunu yalnızca *TLSV1.2 içerecek şekilde ayarlamanız gerekir.

QSSLPCL *OPSYS özel değeri, işletim sisteminin sistemde etkinleştirilmiş protokolleri bir sürüm sınırında değiştirmesine izin verir. QSSLPCL değeri, sistem yeni bir işletim sistemi sürümüne yükseltildikten sonra aynı kalır. QSSLPCL'nin değeri *OPSYS değilse, sistem yeni bir sürüme geçtikten sonra yöneticinin daha yeni protokol sürümlerini QSSLPCL'ye manuel olarak eklemesi gerekir.

Varsayılan protokoller

Uygulama hangi protokollerin etkinleştirileceğini belirtmezse Sistem SSL/TLS varsayılan protokolleri kullanır. Bu yaklaşım, yeni TLS desteğinin uygulama kodunda değişiklik gerektirmediğinden emin olmak için kullanılır. Etkinleştirilecek protokolleri açıkça belirten uygulamalar için varsayılan protokolleri ayarlamak mantıklı değildir.

Sistemdeki varsayılan protokoller, QSSLPCL'den etkinleştirilmiş protokollerle ve geçerli varsayılan protokollerle çakışıyor. İzin verilen protokollerin varsayılan listesi, Sistem Araç Kutusu (SST) gelişmiş analiz komutu SSLCONFIG kullanılarak yapılandırılır.

Sistemdeki varsayılan izin verilen protokol listesinin ve varsayılan protokol listesinin geçerli değerini belirlemek için SSLCONFIG komutunu –display seçeneğiyle birlikte kullanın.

Bir yönetici, yalnızca başka hiçbir ayarın uygulamanın eşlerle başarılı bir şekilde iletişim kurmasına izin vermemesi durumunda varsayılan protokol ayarlarını değiştirebilir. Eski protokolün yalnızca bunu gerektiren uygulamalar için etkinleştirilmesi tercih edilir. Bir "uygulama tanımı" varsa, etkinleştirme Dijital Sertifika Yöneticisi (DCM) aracılığıyla gerçekleşir.

Uyarı: Varsayılan listeye daha eski bir protokol sürümünün eklenmesi, varsayılan listeyi kullanan tüm uygulamaların güvenliği tehlikeye atmasına neden olur. Grup güvenliği PTF'sinin yüklenmesi, protokolün varsayılan protokol listesinden kaldırılmasına neden olabilir. Güvenlik azaltma eylemleri bu tür değişiklikleri içerdiğinde bildirim almak için Güvenlik Bülteni'ne abone olun. Yönetici, bir güvenlik PTF'si tarafından silinen geçerli bir protokolü döndürürse, sistem değişikliği hatırlayacak ve bir sonraki güvenlik PTF'si uygulandıktan sonra bu protokolü bir daha silmeyecektir.

Sistemdeki varsayılan protokolleri değiştirmek için, değeri değiştirmek üzere SSLCONFIG komutunun uygunDefaultProtocols seçeneğini kullanın. -h seçeneğiyle SSLCONFIG, protokol listesinin nasıl ayarlanacağını açıklayan bir yardım paneli gösterecektir. Listeye yalnızca yardım metninde verilen protokol sürümleri eklenebilir.