דלג לתוכן הראשי
תמיכה
היכנס
היכנס דרך Microsoft
היכנס או צור חשבון.
שלום,
בחר חשבון אחר.
יש לך חשבונות מרובים
בחר את החשבון שברצונך להיכנס באמצעותו.

סיכום

Transport Layer Security (TLS) 1.0 ו- 1.1 הם פרוטוקולי אבטחה ליצירת ערוצי הצפנה ברשתות מחשבים. Microsoft תמיכה בהם מאז Windows XP ו- Windows Server 2003. עם זאת, דרישות תקינה משתנות. כמו כן, קיימות נקודות תורפה חדשות לאבטחה ב- TLS 1.0. לכן, Microsoft מומלץ להסיר יחסי תלות של TLS 1.0 ו- TLS 1.1. כמו כן, מומלץ להפוך את TLS 1.0 ו- 1.1 ללא זמינים ברמת מערכת ההפעלה, ככל האפשר. לקבלת פרטים נוספים, ראה הפיכת TLS 1.0 ו- 1.1 ללא זמין. בעדכון התצוגה המקדימה של 20 בספטמבר 2022, נבטל את TLS 1.0 ו- 1.1 כברירת מחדל עבור אפליקציות המבוססות על winhttp ו- wininet. זהו חלק ממאמץ מתמשך. מאמר זה יעזור לך להפוך אותם לזמינים מחדש. שינויים אלה ישתקפו לאחר התקנת עדכוני Windows שהופצו ב- 20 בספטמבר 2022 או לאחר מכן.  

אופן פעולה בעת גישה לקישורי TLS 1.0 ו- 1.1 בדפדפן

לאחר 20 בספטמבר 2022, תופיע הודעה כאשר הדפדפן יפתח אתר אינטרנט המשתמש ב- TLS 1.0 או ב- TLS 1.1. ראה איור 1. ההודעה מציינת שהאתר משתמש בפרוטוקול TLS מיושן או לא בטוח. כדי לטפל באפשרות זו, באפשרותך לעדכן את פרוטוקול TLS ל- TLS 1.2 ואילך. אם הדבר אינו אפשרי, באפשרותך להפוך את TLS לזמין כמתואר בהפיכת TLS לזמין גירסה 1.1 ומתחתיו.

חלון Internet Explorer בעת גישה לקישור TLS 1.0 ו- 1.1

איור 1: חלון הדפדפן בעת גישה לדף אינטרנט של TLS 1.0 ו- TLS 1.1

אופן פעולה בעת גישה לקישורי TLS 1.0 ו- 1.1 באפליקציות winhttp

לאחר העדכון, אפליקציות המבוססות על winhttp עלולות להיכשל. הודעת השגיאה היא ,"ERROR_WINHTTP_SECURE_FAILURE בעת ביצוע פעולת WinHttpSendRequest".

אופן פעולה בעת גישה לקישורי TLS 1.0 ו- 1.1 ביישומי ממשק משתמש מותאמים אישית המבוססים על winhttp או wininet

כאשר יישום מנסה ליצור חיבור באמצעות TLS 1.1 ומתחתיו, החיבור עשוי להיראות ככשל. בעת סגירת יישום או שהוא מפסיק לפעול, תיבת הדו-שיח מסייע התאימות של התוכניות (PCA) מופיעה כפי שמוצג באיור 2.

חלון מוקפץ של מסייע תאימות התוכניות לאחר סגירת היישום

איור 2: תיבת הדו-שיח של מסייע תאימות התוכניות לאחר סגירת יישום

תיבת הדו-שיח PCA מציינת כי "ייתכן שתוכנית זו לא הופעלה כראוי". תחת זאת, קיימות שתי אפשרויות:

  • הפעלת התוכנית באמצעות הגדרות תאימות

  • תוכנית זו פועלת כראוי

הפעלת התוכנית באמצעות הגדרות תאימות

כאשר תבחר באפשרות זו, היישום ייפתח מחדש. כעת, כל הקישורים המשתמשים ב- TLS 1.0 ו- 1.1 פועלים כראוי. מתאריך זה, לא תופיע תיבת דו-שיח של PCA. עורך הרישום מוסיף ערכים לנתיבים הבאים:

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store.  

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers. 

אם בחרת באפשרות זו בטעות, באפשרותך למחוק ערכים אלה. אם תמחק אותם, תראה את תיבת הדו-שיח PCA בפעם הבאה שתפתח את האפליקציה.

רשימת תוכניות שיש להפעיל באמצעות הגדרות תאימות

איור 3: רשימת תוכניות שאמורות לפעול באמצעות הגדרות תאימות

תוכנית זו פועלת כראוי

בעת בחירה באפשרות זו, היישום נסגר כרגיל. בפעם הבאה שתפתח מחדש את היישום, לא תופיע תיבת דו-שיח של PCA. המערכת חוסמת את כל התוכן של TLS 1.0 ו- 1.1. עורך הרישום מוסיף את הערך הבא לנתיב Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store. ראה איור 4. אם בחרת באפשרות זו בטעות, באפשרותך למחוק ערך זה. אם תמחק את הערך, תראה את תיבת הדו-שיח PCA בפעם הבאה שתפתח את האפליקציה.

ערך בעורך הרישום המציין כי היישום פועל כראוי

איור 4: ערך בעורך הרישום המציין כי היישום פועל כראוי

חשוב פרוטוקולי TLS מדור קודם זמינים רק עבור יישומים ספציפיים. הדבר נכון גם אם הם אינם זמינים בהגדרות ברחבי המערכת.

הפוך את TLS גירסה 1.1 ומטה לזמין (הגדרות wininet ו- Internet Explorer)

איננו ממליצים להפוך את TLS 1.1 ומתחתיו לזמינים מאחר שהם כבר לא נחשבים לבטוחים. הם פגיעים להתקפות שונות, כגון מתקפות פודל. לכן, לפני הפיכת TLS 1.1 לזמינים, בצע אחת מהפעולות הבאות:

  • בדוק אם יש גירסה חדשה יותר של היישום.

  • בקש ממפתח היישום לבצע שינויי תצורה באפליקציה כדי להסיר תלות ב- TLS 1.1 ולמטה.

במקרה שאף אחד מהפתרונות לא פועל, קיימות שתי דרכים לאפשר פרוטוקולי TLS מדור קודם בהגדרות ברחבי המערכת:

  • אפשרויות אינטרנט

  • עורך מדיניות קבוצתית

אפשרויות אינטרנט

כדי לפתוח את אפשרויות אינטרנט, הקלד אפשרויות אינטרנט בתיבת החיפוש בשורת המשימות. באפשרותך גם לבחור שנה הגדרות מתיבת הדו-שיח המוצגת באיור 1. בכרטיסיה מתקדם , גלול מטה בחלונית הגדרות . שם תוכל להפוך פרוטוקולי TLS לזמינים או ללא זמינים.

חלון אפשרויות אינטרנט

איור 5: תיבת הדו-שיח 'מאפייני אינטרנט'

עורך מדיניות קבוצתית שלך

כדי לפתוח את מדיניות קבוצתית, הקלד gpedit.msc בתיבת החיפוש שבשורת המשימות. חלון כמו זה המוצג באיור 6 מופיע. 

חלון עורך מדיניות קבוצתית

איור 6: מדיניות קבוצתית 'עורך'

  1. נווט אל מדיניות מחשב מקומי > (תצורת מחשב או תצורת משתמש ) > מקדשים ניהוליים > רכיבי Windows > Internet Explorer > לוח הבקרה באינטרנט > דף מתקדם > בטל תמיכה בהצפנה. ראה איור 7.

  2. לחץ פעמיים על בטל תמיכה בהצפנה.

    נתיב לכיבוי תמיכת הצפנה ב- GPedit.msc

    איור 7: נתיב לכיבוי תמיכת הצפנה בעורך מדיניות קבוצתית שלך

  3. בחר באפשרות זמין. לאחר מכן השתמש ברשימה הנפתחת כדי לבחור את גירסת TLS שברצונך להפוך לזמינה כפי שמוצג באיור 8.

    ביטול תמיכה בהצפנה זמינה עם רשימה נפתחת המציגה אפשרויות שונות

    איור 8: אפשר ביטול תמיכה בהצפנה ורשימה נפתחת

לאחר שתאפשר את המדיניות בעורך מדיניות קבוצתית, לא תוכל לשנות אותה ב'אפשרויות אינטרנט'. לדוגמה, אם תבחר באפשרות השתמש ב- SSL3.0 וב- TLS 1.0, כל האפשרויות האחרות לא יהיו זמינות ב'אפשרויות אינטרנט'. ראה איור 9. לא ניתן לשנות אף אחת מההגדרות ב'אפשרויות אינטרנט' אם תפעיל את האפשרות בטל תמיכה בהצפנה בעורך מדיניות קבוצתית.

אפשרויות אינטרנט עם הגדרות SSL ו- TLS באפור

איור 9: אפשרויות אינטרנט המציגות הגדרות SSL ו- TLS לא זמינות

הפוך את TLS גירסה 1.1 לזמינה ומלמטה (הגדרות winhttp)

ראה עדכון כדי להפוך את TLS 1.1 ו- TLS 1.2 לזמינים כפרוטוקולים מאובטחים המהווים ברירת מחדל ב- WinHTTP ב- Windows.

נתיבי רישום חשובים (הגדרות wininet ו- Internet Explorer)

  • Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

    • כאן תוכל למצוא את SecureProtocols, המאחסן את הערך של הפרוטוקולים המותאמים כעת אם אתה משתמש בעורך מדיניות קבוצתית הנוכחי.

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings

    • כאן תוכל למצוא SecureProtocols, המאחסן את הערך של הפרוטוקולים הזמינים כעת אם אתה משתמש באפשרויות אינטרנט.

  • מדיניות קבוצתית SecureProtocols מקבל קדימות על-פני זו שערכה אפשרויות אינטרנט.

הפעלת החזרה של TLS לא מאובטח

השינויים לעיל יאפשרו TLS 1.0 ו- TLS 1.1. עם זאת, הם לא יאפשרו חזרה של TLS. כדי להפוך את הגיבוי של TLS לזמין, עליך להגדיר את EnableInsecureTlsFallback ל- 1 ברישום תחת הנתיבים הבאים.

  • כדי לשנות הגדרות: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp

  • כדי להגדיר מדיניות: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

אם EnableInsecureTlsFallback אינו קיים, עליך ליצור ערך DWORD חדש ולהגדיר אותו ל- 1.

נתיבי רישום חשובים

  1. ForceDefaultSecureProtocols  

    • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp 

    • הוא FALSE כברירת מחדל. הגדרת ערך שאינו אפס תימנע מיישומים להגדיר פרוטוקולים מותאמים אישית באמצעות אפשרות winhttp.

  2. EnableInsecureTlsFallback 

    • כדי לשנות הגדרות: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp

    • כדי להגדיר מדיניות: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

    • הוא FALSE כברירת מחדל. הגדרת ערך שאינו אפס תאפשר ליישומים לחזור לפרוטוקולים לא מאובטחים (TLS1.0 ו- 1.1) אם לחיצת היד נכשלת עם פרוטוקולים מאובטחים (tls1.2 ואילך).

Facebook LinkedIn דואר אלקטרוני
הרשמה כמנוי להזנות RSS

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

לגלות קהילה

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

הטבות מינוי Microsoft 365

הדרכת Microsoft 365

אבטחת Microsoft

מרכז הנגישות

קהילות עוזרות לך לשאול שאלות ולהשיב עליהן, לתת משוב ולשמוע ממומחים בעלי ידע עשיר.

שאל את Microsoft Community

Microsoft Tech Community

משתתפי Windows Insider

משתתפי Insider של Microsoft 365

האם מידע זה היה שימושי?

עד כמה אתם מרוצים מאיכות השפה?
מה השפיע על החוויה שלך?
בלחיצה על 'שלח', אתה מאפשר למשוב שלך לשפר מוצרים ושירותים של Microsoft. מנהל ה-IT שלך יוכל לאסוף נתונים אלה. הצהרת הפרטיות.

תודה על המשוב!

×