Pokud máte problém, kdy selže přístup na konkrétní web a ve vašem prohlížeči se zobrazí zpráva, existuje rozumné vysvětlení. Příčiny a řešení problému jsou uvedeny v tomto článku.
SSL protokol TLS
Uživatelé rozpočtových organizací, a to nejen rozpočtových, jejichž činnost přímo souvisí s financemi, ve spolupráci s finančními organizacemi, např. Ministerstvem financí, státní pokladnou apod., provádějí veškeré své operace výhradně pomocí zabezpečeného protokolu SSL. . V podstatě při své práci používají prohlížeč Internet Explorer. V některých případech Mozilla Firefox.
Chyba SSL
Hlavní pozornost při provádění těchto operací a práce obecně je věnována systému ochrany: certifikáty, elektronické podpisy. Pro práci se používá software CryptoPro aktuální verze. Pokud jde o problémy s protokoly SSL a TLS, pokud Chyba SSL se objevil, pravděpodobně neexistuje žádná podpora pro tento protokol.
Chyba TLS
Chyba TLS v mnoha případech to může také znamenat nedostatek podpory pro protokol. Ale... pojďme se podívat, co se v tomto případě dá dělat.
Podpora protokolů SSL a TLS
Když tedy používáte Microsoft Internet Explorer k návštěvě webu přes SSL, zobrazí se záhlaví Ujistěte se, že jsou povoleny ssl a tls. Nejprve je potřeba povolit podporu protokolu TLS 1.0 v Internet Exploreru.
Pokud navštěvujete web, na kterém je spuštěna Internetová informační služba 4.0 nebo novější, konfigurace aplikace Internet Explorer na podporu TLS 1.0 pomůže zabezpečit vaše připojení. Samozřejmě za předpokladu, že vzdálený webový server, který se pokoušíte použít, tento protokol podporuje.
K tomu menu Servis vybrat tým možnosti internetu.
Na kartě dodatečně V kapitole Bezpečnost, ujistěte se, že jsou zaškrtnuta následující políčka:
- Použijte SSL 2.0
- Použijte SSL 3.0
- Použijte SSL 1.0
Klepněte na tlačítko Aplikovat , a pak OK . Restartujte prohlížeč .
Po povolení TLS 1.0 zkuste web navštívit znovu.
Zásady zabezpečení systému
Pokud ještě existují chyby s SSL a TLS pokud stále nemůžete používat SSL, vzdálený webový server pravděpodobně nepodporuje TLS 1.0. V tomto případě musíte zakázat systémové zásady, které vyžadují algoritmy vyhovující standardu FIPS.
Chcete-li to provést, v Ovládací panely vybrat Správa a potom dvakrát klikněte Místní bezpečnostní politika.
V místním nastavení zabezpečení rozbalte uzel Místní zásady a potom klikněte na tlačítko Možnosti zabezpečení.
Podle zásad na pravé straně okna dvakrát klikněte Systémová kryptografie: Použijte algoritmy vyhovující FIPS pro šifrování, hashování a podepisování a potom klikněte na tlačítko Zakázáno.
Pozornost!
Změna se projeví po opětovném použití místní bezpečnostní politiky. Zapněte jej, restartujte prohlížeč.
CryptoPro TLS SSL
Aktualizujte CryptoPro
Jednou z možností řešení problému je aktualizace CryptoPro a také nastavení zdroje. V tomto případě se jedná o práci s elektronickými platbami. Přejděte na certifikační autoritu. Pro zdroj vyberte E-Marketplaces.
Po spuštění automatického nastavení pracoviště bude pouze počkejte na dokončení postupu, pak restartovat prohlížeč. Pokud potřebujete zadat nebo vybrat adresu zdroje, vyberte tu, kterou potřebujete. Po dokončení nastavení může být také nutné restartovat počítač.
Protokol TLS šifruje všechny druhy internetového provozu, čímž zajišťuje komunikaci a prodej na internetu. Povíme si, jak protokol funguje a co nás čeká v budoucnu.
Z článku se dozvíte:
Co je SSL
SSL neboli Secure Sockets Layer byl původní název pro protokol vyvinutý společností Netscape v polovině 90. let. SSL 1.0 nebyl nikdy veřejně dostupný a verze 2.0 měla vážné nedostatky. Protokol SSL 3.0, vydaný v roce 1996, byl kompletně přepracován a udal tón pro další fázi vývoje.
Co je TLS
Když byla v roce 1999 vydána další verze protokolu, byla standardizována specializovanou Internet Design Working Group a dostala nový název: Transport Layer Security neboli TLS. Jak uvádí dokumentace TLS, "rozdíl mezi tímto protokolem a SSL 3.0 není kritický." TLS a SSL tvoří neustále aktualizovanou řadu protokolů a často se spojují pod názvem SSL/TLS.
Protokol TLS šifruje internetový provoz jakéhokoli druhu. Nejběžnějším typem je webový provoz. Poznáte, kdy váš prohlížeč naváže připojení TLS – pokud odkaz v adresním řádku začíná „https“.
TLS využívají také další aplikace, jako jsou poštovní a telekonferenční systémy.
Jak funguje TLS
Šifrování je nezbytné pro bezpečnou komunikaci na internetu. Pokud vaše data nejsou zašifrována, kdokoli je může analyzovat a číst citlivé informace.
Nejbezpečnější metoda šifrování je asymetrické šifrování. To vyžaduje 2 klíče, 1 veřejný a 1 soukromý. Jedná se o soubory s informacemi, nejčastěji velmi velkými čísly. Mechanismus je složitý, ale zjednodušeně řečeno, můžete použít veřejný klíč k šifrování dat, ale k dešifrování potřebujete soukromý klíč. Tyto dva klíče jsou propojeny pomocí složitého matematického vzorce, který je těžké prolomit.
Veřejný klíč si můžete představit jako informaci o umístění zavřené poštovní schránky s dírou a soukromý klíč jako klíč, který schránku otevírá. Kdo ví, kde ta krabice je, může tam vložit dopis. K jejímu přečtení ale člověk potřebuje klíč k otevření krabice.
Vzhledem k tomu, že asymetrické šifrování používá složité matematické výpočty, vyžaduje mnoho výpočetních zdrojů. TLS řeší tento problém pomocí asymetrického šifrování pouze na začátku relace k šifrování komunikace mezi serverem a klientem. Server a klient se musí dohodnout na jediném klíči relace, který oba používají k šifrování datových paketů.
Zavolá se proces, při kterém se klient a server dohodnou na klíči relace podání ruky. To je okamžik, kdy se navzájem představí 2 komunikující počítače.
Proces handshake TLS
Proces TLS handshake je poměrně složitý. Níže uvedené kroky ukazují proces obecně, abyste pochopili, jak obecně funguje.
- Klient kontaktuje server a požaduje zabezpečené připojení. Server odpoví seznamem šifer - algoritmickou sadou pro vytváření šifrovaných spojení - který ví, jak používat. Klient porovná seznam se svým seznamem podporovaných šifer, vybere vhodnou a dá serveru vědět, kterou z nich společně použije.
- Server poskytuje svůj digitální certifikát – elektronický dokument podepsaný třetí stranou, který potvrzuje pravost serveru. Nejdůležitější informací v certifikátu je veřejný klíč k šifře. Klient ověří certifikát.
- Pomocí veřejného klíče serveru klient a server vytvoří klíč relace, který budou oba používat během relace k šifrování komunikace. Na to existuje několik metod. Klient může použít veřejný klíč k zašifrování libovolného čísla, které je poté odesláno na server k dešifrování a obě strany pak toto číslo použijí k vytvoření klíče relace.
Klíč relace je platný pouze pro jednu nepřetržitou relaci. Pokud je z nějakého důvodu komunikace mezi klientem a serverem přerušena, bude k vytvoření nového klíče relace potřeba nový handshake.
Chyby zabezpečení v protokolech TLS 1.2 a TLS 1.2
TLS 1.2 je nejrozšířenější verze protokolu. Tato verze nainstalovala původní platformu možností šifrování relace. Stejně jako některé předchozí verze protokolu však tento protokol umožňoval použití starších šifrovacích technik za účelem podpory starších počítačů. Bohužel to vedlo k chybám zabezpečení verze 1.2, protože tyto starší šifrovací mechanismy se staly zranitelnějšími.
Například protokol TLS 1.2 se stal obzvláště zranitelným vůči útokům neoprávněné manipulace, kdy hacker zachycuje datové pakety uprostřed relace a odesílá je po jejich přečtení nebo úpravě. Mnoho z těchto problémů se objevilo během posledních 2 let, takže je naléhavé vytvořit aktualizovanou verzi protokolu.
TLS 1.3
Verze 1.3 protokolu TLS, která bude brzy dokončena, řeší mnoho problémů se zranitelnostmi tím, že zavrhuje podporu starších šifrovacích systémů.
Nová verze je kompatibilní s předchozími verzemi: připojení se například vrátí k TLS verze 1.2, pokud jedna ze stran nemůže použít novější šifrovací systém v seznamu povolených algoritmů verze 1.3 protokolu. Pokud se však při útoku typu manipulace s připojením hacker násilně pokusí vrátit verzi protokolu na 1.2 uprostřed relace, bude tato akce zaznamenána a připojení bude ukončeno.
Jak povolit podporu TLS 1.3 v prohlížečích Google Chrome a Firefox
Firefox a Chrome podporují TLS 1.3, ale tato verze není ve výchozím nastavení povolena. Důvodem je, že zatím existuje pouze ve formě návrhu.
Mozilla Firefox
Do adresního řádku prohlížeče zadejte about:config. Potvrďte, že rozumíte rizikům.
- Otevře se editor nastavení Firefoxu.
- Do vyhledávání zadejte security.tls.version.max
- Změňte hodnotu na 4 dvojitým kliknutím na aktuální hodnotu.
Google Chrome
- Zadáním chrome://flags/ do adresního řádku prohlížeče otevřete panel experimentů.
- Najděte možnost #tls13-varianta
- Klikněte na nabídku a nastavte Povoleno (Koncept).
- Restartujte prohlížeč.
Jak zkontrolovat, zda váš prohlížeč používá verzi 1.2
Připomínáme, že verze 1.3 ještě není veřejně používána. Jestli nechceš
použijte verzi konceptu, můžete zůstat na verzi 1.2.
Chcete-li zkontrolovat, zda váš prohlížeč používá verzi 1.2, postupujte stejně jako ve výše uvedených pokynech a ujistěte se, že:
- Pro Firefox je hodnota security.tls.version.max 3. Pokud je nižší, změňte ji na 3 dvojitým kliknutím na aktuální hodnotu.
- Pro Google Chrome: klikněte na nabídku prohlížeče - vyberte Nastavení- vybrat Zobrazit pokročilá nastavení- přejděte dolů do sekce Systém a klikněte na Otevřít nastavení proxy…:
- V okně, které se otevře, klikněte na kartu Zabezpečení a zkontrolujte, zda je zaškrtnuto pole Použít TLS 1.2. Pokud to za to nestojí, nastavte to a klikněte na OK:
Změny se projeví po restartování počítače.
Rychlý nástroj pro kontrolu verze protokolu SSL/TLS vašeho prohlížeče
Přejděte na Kontrola verze protokolu SSL Labs Online. Na stránce se v reálném čase zobrazí, která verze protokolu se používá a zda je prohlížeč zranitelný vůči nějakým zranitelnostem.
Zdroje: překlad
V říjnu inženýři Google zveřejnili informace o kritické zranitelnosti v SSL verze 3.0 s vtipným jménem PUDL(Padding Oracle On Downgraded Legacy Encryption nebo Poodle 🙂). Tato chyba zabezpečení umožňuje útočníkovi získat přístup k informacím zašifrovaným protokolem SSLv3 pomocí útoku „man in the middle“. Chyby zabezpečení ovlivňují servery i klienty, kteří se mohou připojit pomocí protokolu SSLv3.
Obecně není situace překvapivá, protože. protokol SSL 3.0, poprvé představen v roce 1996, je již 18 let starý a morálně zastaralý. Ve většině praktických úloh již byl nahrazen kryptografickým protokolem TLS(verze 1.0, 1.1 a 1.2).
Pro ochranu před zranitelností POODLE je plně doporučeno zakázat podporu SSLv3 na straně klienta i serveru a poté použijte pouze TLS. Pro uživatele staršího softwaru (například pro ty, kteří používají IIS 6 v systému Windows XP) to znamená, že již nebudou moci prohlížet stránky HTTPS a používat další služby SSL. V případě, že podpora SSLv3 není zcela deaktivována a ve výchozím nastavení je nabízeno silnější šifrování, zranitelnost POODLE se bude stále vyskytovat. Je to kvůli zvláštnostem výběru a vyjednávání šifrovacího protokolu mezi klientem a serverem, protože při zjištění problémů při používání TLS dojde k automatickému přechodu na SSL.
Doporučujeme, abyste zaškrtli všechny své služby, které mohou používat SSL / TLS v jakékoli formě, a deaktivovali podporu pro SSLv3. Na svém webovém serveru můžete zkontrolovat zranitelnosti pomocí online testu, například zde: http://poodlebleed.com/.
Poznámka. Je třeba jasně chápat, že zakázání SSL v3 na systémové úrovni bude fungovat pouze u softwaru, který používá systémová API pro šifrování SSL (Internet Explorer, IIS, SQL NLA, RRAS atd.). Programy, které používají své vlastní kryptografické nástroje (Firefox, Opera atd.), je třeba aktualizovat a konfigurovat individuálně.
Zakažte SSLv3 ve Windows na systémové úrovni
V systému Windows je podpora SSL/TLS spravována prostřednictvím registru.
V tomto příkladu si ukážeme, jak úplně zakázat SSLv3 na systémové úrovni (na úrovni klienta i serveru) v systému Windows Server 2012 R2:
Zakázat SSLv2 (Windows 2008 / Server a nižší)
V operačních systémech před Windows 7 / Windows Server 2008 R2 se ve výchozím nastavení používá ještě méně bezpečný a zastaralý protokol. SSLv2, který by měl být z bezpečnostních důvodů také zakázán (v novějších verzích Windows je SSLv2 na úrovni klienta ve výchozím nastavení zakázáno a používají se pouze SSLv3 a TLS1.0). Chcete-li zakázat SSLv2, musíte opakovat výše uvedený postup, pouze pro klíč registru SSL 2.0.
Ve Windows 2008/2012 je SSLv2 na úrovni klienta ve výchozím nastavení zakázáno.
Povolte TLS 1.1 a TLS 1.2 v systému Windows Server 2008 R2 a vyšším
Windows Server 2008 R2 / Windows 7 a vyšší podporují šifrovací algoritmy TLS 1.1 a TLS 1.2, ale tyto protokoly jsou ve výchozím nastavení zakázány. V těchto verzích systému Windows můžete povolit podporu pro TLS 1.1 a TLS 1.2 pomocí podobného scénáře
Nástroj pro správu systémových kryptografických protokolů v systému Windows Server
K dispozici je bezplatný nástroj IIS Crypto, který vám umožní pohodlně spravovat parametry kryptografických protokolů v systémech Windows Server 2003, 2008 a 2012. Pomocí tohoto nástroje můžete povolit nebo zakázat kterýkoli z šifrovacích protokolů pouhými dvěma kliknutími.
Program již obsahuje několik šablon, které vám umožňují rychle použít předvolby pro různé možnosti nastavení zabezpečení.
Problém
Při pokusu o zadání osobního účtu GIIS „Elektronický rozpočet“ se zobrazí chybová zpráva:
Tuto stránku nelze zobrazit
Povolte protokoly TLS 1.0, TLS 1.1 a TLS 1.2 v části Rozšířené možnosti a zkuste se znovu připojit k webové stránce https://ssl.budgetplan.minfin.ru. Pokud chyba přetrvává, kontaktujte správce webu.
Řešení
Je nutné zkontrolovat nastavení pracoviště dle dokumentu.
Pokyny nezmiňují několik věcí:
- Musíte nainstalovat Zásuvný modul CryptoPro EDS Browser a podívejte se na ukázkovou stránku.
- V nastavení antiviru je nutné zakázat filtrování protokolu SSL / TLS, jinými slovy, pro hledaný web byste měli udělat výjimku pro kontrolu zabezpečeného připojení. V různých antivirech to lze nazvat různě. Například v Kaspersky Free musíte jít "Nastavení>Upřesnit>Síť>Nekontrolovat zabezpečená připojení" .
TLS je nástupcem protokolu SSL, který poskytuje spolehlivé a bezpečné spojení mezi uzly na internetu. Používá se při vývoji různých klientů, včetně prohlížečů a aplikací klient-server. Co je TLS v Internet Exploreru?
Trochu o technologii
Všechny podniky a organizace, které se zabývají finančními transakcemi, používají tento protokol k vyloučení odposlechu paketů a neoprávněného přístupu narušitelů. Tato technologie je navržena tak, aby chránila důležitá spojení před škodlivými útoky.
V podstatě ve své organizaci používají vestavěný prohlížeč. V některých případech Mozilla Firefox.
Povolit nebo zakázat protokol
Některé stránky někdy nejsou přístupné, protože je zakázána podpora technologií SSL a TLS. V prohlížeči vyskočí upozornění. Jak tedy umožníte protokolům, aby nadále využívaly zabezpečenou komunikaci?
1. Otevřete Ovládací panely přes Start. Jiný způsob: otevřete Průzkumníka a klikněte na ikonu ozubeného kola v pravém horním rohu.
2. Přejděte do části „Možnosti Internetu“ a otevřete blok „Upřesnit“.
3. Zaškrtněte políčka vedle „Použít TLS 1.1 a TLS 1.2“.
4. Klepnutím na tlačítko OK uložte změny. Pokud chcete protokoly deaktivovat, což se důrazně nedoporučuje, zejména pokud používáte internetové bankovnictví, zrušte zaškrtnutí stejných položek.
Jaký je rozdíl mezi 1.0 a 1.1 a 1.2? 1.1 je jen mírně vylepšená verze TLS 1.0, která částečně zdědila jeho nedostatky. 1.2 je nejbezpečnější verze protokolu. Na druhou stranu ne všechny weby lze otevřít s touto povolenou verzí protokolu.
Jak víte, Skype messenger přímo souvisí s Internet Explorerem jako komponentou Windows. Pokud nemáte v nastavení zaškrtnutý protokol TLS, pak mohou být problémy se Skypem. Program se jednoduše nebude moci připojit k serveru.
Pokud je v nastavení aplikace Internet Explorer zakázána podpora TLS, nebudou všechny funkce programu související se sítí fungovat. Na této technologii navíc závisí bezpečnost vašich dat. Nezanedbávejte jej, pokud v tomto prohlížeči provádíte finanční transakce (nakupování v internetových obchodech, převody peněz prostřednictvím internetového bankovnictví nebo elektronické peněženky atd.).