KB5017811 – A Transport Layer Security (TLS) 1.0 és 1.1 kezelése az alapértelmezett viselkedésváltozás után 2022. szeptember 20-án

Összefoglalás

A Transport Layer Security (TLS) 1.0 és 1.1 biztonsági protokollok a titkosítási csatornák számítógépes hálózatokon keresztüli létrehozásához. Microsoft a Windows XP és a Windows Server 2003 óta támogatja őket. A szabályozási követelmények azonban változnak. A TLS 1.0 új biztonsági hiányosságokat is tartalmaz. Ezért Microsoft azt javasolja, hogy távolítsa el a TLS 1.0- és 1.1-függőségeket. Azt is javasoljuk, hogy lehetőség szerint az operációs rendszer szintjén tiltsa le a TLS 1.0-s és 1.1-es verziót. További részletekért lásd a TLS 1.0 és 1.1 letiltását ismertető cikket. A 2022. szeptember 20-i előzetes frissítésben alapértelmezés szerint letiltjuk a TLS 1.0-s és 1.1-es verzióját a winhttp és a wininet alapú alkalmazások esetében. Ez egy folyamatos erőfeszítés része. Ez a cikk segítséget nyújt az újbóli engedélyezésükhöz. Ezek a módosítások a 2022. szeptember 20-án vagy azt követően kiadott Windows-frissítések telepítése után is megjelennek.

Viselkedés a TLS 1.0 és 1.1 hivatkozások böngészőben való elérésekor

2022. szeptember 20. után egy üzenet jelenik meg, amikor a böngésző megnyit egy TLS 1.0-s vagy 1.1-et használó webhelyet. Lásd: 1. ábra. Az üzenet szerint a webhely elavult vagy nem biztonságos TLS-protokollt használ. Ennek megoldásához frissítse a TLS protokollt TLS 1.2-s vagy újabb verzióra. Ha ez nem lehetséges, engedélyezheti a TLS-t a TLS 1.1-es és újabb verziójának engedélyezése című cikkben leírtak szerint.

Az Internet Explorer ablaka a TLS 1.0 és 1.1 hivatkozás elérésekor

1. ábra: Böngészőablak a TLS 1.0 és 1.1 weblap elérésekor

Viselkedés a TLS 1.0-s és 1.1-es hivatkozások elérésekor winhttp-alkalmazásokban

A frissítés után előfordulhat, hogy a winhttp-alapú alkalmazások meghiúsulnak. A hibaüzenet a következő: "ERROR_WINHTTP_SECURE_FAILURE a WinHttpSendRequest művelet végrehajtása közben."

Viselkedés a TLS 1.0- és 1.1-es hivatkozások elérésekor a winhttp vagy wininet alapú egyéni felhasználói felületi alkalmazásokban

Ha egy alkalmazás TLS 1.1-et vagy újabbat használva próbál kapcsolatot létrehozni, a kapcsolat sikertelennek tűnhet. Amikor bezár egy alkalmazást, vagy az nem működik, megjelenik a Programkompatibilitási segéd (PCA) párbeszédpanel a 2. ábrán látható módon.

A Programkompatibilitási segéd előugró ablaka az alkalmazás bezárása után

2. ábra: Programkompatibilitási segéd párbeszédpanel egy alkalmazás bezárása után

A PCA párbeszédpanelen a következőhöz hasonló szöveg jelenik meg: "Előfordulhat, hogy a program nem futott megfelelően." Ez alatt két lehetőség áll rendelkezésre:

A program futtatása kompatibilitási beállításokkal
A program megfelelően futott

A program futtatása kompatibilitási beállításokkal

Ha ezt a lehetőséget választja, az alkalmazás újra megnyílik. Most már minden TLS 1.0-t és 1.1-et használó hivatkozás megfelelően működik. Ettől kezdve nem jelenik meg PCA párbeszédpanel. A Beállításszerkesztő bejegyzéseket ad hozzá a következő elérési utakhoz:

Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store.
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers.

Ha tévedésből választotta ezt a lehetőséget, törölheti ezeket a bejegyzéseket. Ha törli őket, az alkalmazás következő megnyitásakor megjelenik a PCA párbeszédpanel.

A kompatibilitási beállításokkal futtatandó programok listája

3. ábra: A kompatibilitási beállításokkal futtatandó programok listája

A program megfelelően futott

Ha ezt a lehetőséget választja, az alkalmazás a szokásos módon bezárul. Amikor legközelebb újra megnyitja az alkalmazást, nem jelenik meg PCA párbeszédpanel. A rendszer minden TLS 1.0- és 1.1-tartalmat blokkol. A Beállításszerkesztő a következő bejegyzést adja hozzá az elérési úthozComputer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store. Lásd a 4. ábrát. Ha tévedésből választotta ezt a lehetőséget, törölheti ezt a bejegyzést. Ha törli a bejegyzést, az alkalmazás következő megnyitásakor megjelenik a PCA párbeszédpanel.

Bejegyzés a beállításszerkesztőben, amely meghatározza, hogy az alkalmazás megfelelően futott-e

4. ábra: Bejegyzés a Beállításszerkesztőben, amely szerint az alkalmazás megfelelően futott

Fontos Az örökölt TLS-protokollok csak adott alkalmazásokhoz vannak engedélyezve. Ez akkor is igaz, ha a rendszerszintű beállítások letiltják őket.

Engedélyezze a TLS 1.1-es vagy újabb verzióját (wininet és Internet Explorer beállítások)

Nem javasoljuk a TLS 1.1 és újabb verzió engedélyezését, mert azok már nem tekinthetők biztonságosnak. Különböző támadásokkal vannak sebezhetők, például a POODLE támadásokkal szemben. Ezért a TLS 1.1 engedélyezése előtt tegye a következők egyikét:

Ellenőrizze, hogy elérhető-e az alkalmazás újabb verziója.
Kérje meg az alkalmazás fejlesztőjét, hogy végezze el a konfigurációs módosításokat az alkalmazásban a TLS 1.1-től és az alábbitól való függőség eltávolításához.

Ha egyik megoldás sem működik, kétféleképpen engedélyezheti az örökölt TLS-protokollokat a rendszerszintű beállításokban:

Internetbeállítások
Csoportházirend-szerkesztő

Internetbeállítások

Az Internetbeállítások megnyitásához írja be az Internetbeállítások kifejezést a tálcán lévő keresőmezőbe. A Beállítások módosítása lehetőséget az 1. ábrán látható párbeszédpanelen is kiválaszthatja. A Speciális lapon görgessen le a Beállítások panelen. Itt engedélyezheti vagy letilthatja a TLS-protokollokat.

Internetbeállítások ablak

5. ábra: Internettulajdonságok párbeszédpanel

A Csoportházirend Szerkesztő

A Csoportházirend Szerkesztő megnyitásához írja be a gpedit.msc kifejezést a tálcán lévő keresőmezőbe. Megjelenik egy ablak, mint a 6. ábrán látható.

Csoportházirend-szerkesztő ablak

6. ábra: Csoportházirend Szerkesztő ablak

Lépjen a Helyi számítógép-házirend > (számítógép konfigurációja vagy felhasználói konfiguráció) > AWindows-összetevők > a Windows-összetevők > az Internet Explorer > az Internet Vezérlőpult > Speciális lap > A titkosítás támogatásának kikapcsolása. Lásd: 7. ábra.
Kattintson duplán a Titkosítási támogatás kikapcsolása elemre.

7. ábra: A titkosítás támogatásának kikapcsolása a Csoportházirend Editorban
Válassza az Engedélyezve lehetőséget. Ezután a legördülő listából válassza ki az engedélyezni kívánt TLS-verziót a 8. ábrán látható módon.

8. ábra: A titkosítás támogatásának és legördülő listájának kikapcsolása

Miután engedélyezte a szabályzatot a Csoportházirend Szerkesztőben, az Internetbeállítások területen nem módosíthatja. Ha például az SSL3.0 és a TLS 1.0 használata lehetőséget választja, az internetbeállítások között minden más lehetőség nem lesz elérhető. Lásd: 9. ábra. Az Internetbeállítások egyik beállítását sem módosíthatja, ha engedélyezi a titkosítási támogatás kikapcsolása beállítást a Csoportházirend Szerkesztőben.

Internetbeállítások szürkített SSL- és TLS-beállításokkal

9. ábra: A nem elérhető SSL- és TLS-beállításokat megjelenítő internetbeállítások

A TLS 1.1-es vagy újabb verziójának engedélyezése (winhttp settings)

Lásd: Frissítés a TLS 1.1 és a TLS 1.2 alapértelmezett biztonságos protokollként való engedélyezéséhez a Windows WinHTTP-ben.

A beállításjegyzék fontos elérési útjai (wininet- és Internet Explorer-beállítások)

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
- Itt található a SecureProtocols, amely a jelenleg engedélyezett protokollok értékét tárolja, ha a Csoportházirend Szerkesztőt használja.
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
- Itt található a SecureProtocols, amely az internetbeállítások használata esetén az aktuálisan engedélyezett protokollok értékét tárolja.
Csoportházirend SecureProtocols elsőbbséget élvez az Internetbeállítások által beállítottval szemben.

Nem biztonságos TLS-tartalék engedélyezése

A fenti módosítások engedélyezik a TLS 1.0-t és a TLS 1.1-et. Azonban nem engedélyezik a TLS-tartalékot. A TLS-tartalék engedélyezéséhez az EnableInsecureTlsFallback értékét 1-re kell állítania a beállításjegyzékben az alábbi elérési utak alatt.

A beállítások módosítása: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
Házirend beállítása: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

Ha az EnableInsecureTlsFallback nincs jelen, akkor létre kell hoznia egy új DWORD bejegyzést, és 1-esre kell állítania.

A beállításjegyzék fontos elérési útjai

ForceDefaultSecureProtocols
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
- Alapértelmezés szerint HAMIS. Ha nem nulla értéket állít be, az alkalmazások nem állíthatnak be egyéni protokollokat a winhttp beállítással.
EnableInsecureTlsFallback
- A beállítások módosítása: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
- Házirend beállítása: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
- Alapértelmezés szerint HAMIS. A nem nulla érték beállítása lehetővé teszi, hogy az alkalmazások visszaeshessenek a nem biztonságos protokollok (TLS1.0 és 1.1) közé, ha a kézfogás biztonságos protokollokkal meghiúsul (tls1.2 vagy újabb).