KB5017811: Tls (Transport Layer Security) 1.0 en 1.1 beheren na de standaardgedragswijziging op 20 september 2022

Samenvatting

Transport Layer Security (TLS) 1.0 en 1.1 zijn beveiligingsprotocollen voor het maken van versleutelingskanalen via computernetwerken. Microsoft ondersteunt deze sinds Windows XP en Windows Server 2003. De wettelijke vereisten veranderen echter. Er zijn ook nieuwe beveiligingsproblemen in TLS 1.0. Daarom wordt Microsoft aangeraden tls 1.0- en 1.1-afhankelijkheden te verwijderen. We raden u ook aan OM TLS 1.0 en 1.1 waar mogelijk uit te schakelen op het niveau van het besturingssysteem. Zie TLS 1.0- en 1.1-uitschakelen voor meer informatie. In de preview-update van 20 september 2022 schakelen we TLS 1.0 en 1.1 standaard uit voor toepassingen op basis van winhttp en wininet. Dit maakt deel uit van een doorlopende inspanning. In dit artikel kunt u deze opnieuw inschakelen. Deze wijzigingen worden doorgevoerd na de installatie van Windows-updates die zijn uitgebracht op of na 20 september 2022.

Gedrag bij het openen van TLS 1.0- en 1.1-koppelingen in de browser

Na 20 september 2022 wordt er een bericht weergegeven wanneer uw browser een website opent die gebruikmaakt van TLS 1.0 of 1.1. Zie afbeelding 1. In het bericht wordt aangegeven dat de site gebruikmaakt van een verouderd of onveilig TLS-protocol. U kunt dit oplossen door het TLS-protocol bij te werken naar TLS 1.2 of hoger. Als dit niet mogelijk is, kunt u TLS inschakelen zoals beschreven in TLS-versie 1.1 en lager inschakelen.

Internet Explorer-venster bij het openen van tls 1.0- en 1.1-koppeling

Afbeelding 1: Browservenster bij het openen van tls 1.0- en 1.1-webpagina

Gedrag bij het openen van TLS 1.0- en 1.1-koppelingen in winhttp-toepassingen

Na de update kunnen toepassingen op basis van winhttp mislukken. Het foutbericht is 'ERROR_WINHTTP_SECURE_FAILURE tijdens het uitvoeren van de bewerking WinHttpSendRequest'.

Gedrag bij het openen van TLS 1.0- en 1.1-koppelingen in aangepaste UI-toepassingen op basis van winhttp of wininet

Wanneer een toepassing probeert een verbinding te maken met TLS 1.1 en lager, lijkt de verbinding mogelijk te mislukken. Wanneer u een toepassing sluit of deze niet meer werkt, wordt het dialoogvenster Programmacompatibiliteitsassistent (PCA) weergegeven zoals wordt weergegeven in afbeelding 2.

Programmacompatibiliteitsassistent na het sluiten van de toepassing

Afbeelding 2: dialoogvenster Programmacompatibiliteitsassistent na het sluiten van een toepassing

In het dialoogvenster PCA wordt het volgende aangegeven: 'Dit programma is mogelijk niet correct uitgevoerd'. Daaronder zijn er twee opties:

Het programma uitvoeren met behulp van compatibiliteitsinstellingen
Dit programma is correct uitgevoerd

Het programma uitvoeren met behulp van compatibiliteitsinstellingen

Wanneer u deze optie kiest, wordt de toepassing opnieuw geopend. Nu werken alle koppelingen die gebruikmaken van TLS 1.0 en 1.1 correct. Vanaf dan wordt er geen PCA-dialoogvenster weergegeven. De register-editor voegt vermeldingen toe aan de volgende paden:

Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store.
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers.

Als u per ongeluk deze optie hebt gekozen, kunt u deze vermeldingen verwijderen. Als u deze verwijdert, ziet u het dialoogvenster PCA de volgende keer dat u de app opent.

Lijst met programma's die moeten worden uitgevoerd met compatibiliteitsinstellingen

Afbeelding 3: Lijst met programma's die moeten worden uitgevoerd met compatibiliteitsinstellingen

Dit programma is correct uitgevoerd

Wanneer u deze optie kiest, wordt de toepassing normaal gesloten. De volgende keer dat u de toepassing opnieuw opent, wordt er geen PCA-dialoogvenster weergegeven. Het systeem blokkeert alle TLS 1.0- en 1.1-inhoud. De register-editor voegt de volgende vermelding toe aan het pad Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store. Zie afbeelding 4. Als u per ongeluk deze optie hebt gekozen, kunt u deze vermelding verwijderen. Als u de vermelding verwijdert, ziet u het dialoogvenster PCA de volgende keer dat u de app opent.

Vermelding in registereditor waarin wordt opgegeven dat de app correct is uitgevoerd

Afbeelding 4: Vermelding in register-editor waarin wordt aangegeven dat de app correct is uitgevoerd

Belangrijk Verouderde TLS-protocollen zijn alleen ingeschakeld voor specifieke toepassingen. Dit geldt ook als ze zijn uitgeschakeld in systeembrede instellingen.

TLS-versie 1.1 en lager inschakelen (wininet- en Internet Explorer-instellingen)

We raden u af OM TLS 1.1 en lager in te schakelen, omdat ze niet langer als veilig worden beschouwd. Ze zijn kwetsbaar voor verschillende aanvallen, zoals de POODLE-aanval. Voer dus een van de volgende handelingen uit voordat u TLS 1.1 inschakelt:

Controleer of er een nieuwere versie van de toepassing beschikbaar is.
Vraag de app-ontwikkelaar om configuratiewijzigingen in de app aan te brengen om de afhankelijkheid van TLS 1.1 en lager te verwijderen.

Als geen van de oplossingen werkt, zijn er twee manieren om verouderde TLS-protocollen in systeembrede instellingen in te schakelen:

Internetopties
Groepsbeleid-editor

Internetopties

Als u Internetopties wilt openen, typt u Internetopties in het zoekvak op de taakbalk. U kunt ook Instellingen wijzigen selecteren in het dialoogvenster dat wordt weergegeven in afbeelding 1. Schuif op het tabblad Geavanceerd omlaag in het deelvenster Instellingen . Daar kunt u TLS-protocollen in- of uitschakelen.

Venster Internetopties

Afbeelding 5: Dialoogvenster Interneteigenschappen

De groepsbeleid-editor

Als u de groepsbeleid-editor wilt openen, typt u gpedit.msc in het zoekvak op de taakbalk. Er wordt een venster weergegeven zoals in afbeelding 6.

Venster Groepsbeleidseditor

Afbeelding 6: groepsbeleid editorvenster

Navigeer naar > Voor lokale computers(computerconfiguratie of gebruikersconfiguratie) > Beheerinstellingen > Windows-onderdelen > Internet Explorer > Internet Configuratiescherm > Geavanceerde pagina > Ondersteuning voor versleuteling uitschakelen. Zie afbeelding 7.
Dubbelklik op Ondersteuning voor versleuteling uitschakelen.

Afbeelding 7: Pad naar het uitschakelen van versleutelingsondersteuning in groepsbeleid Editor
Selecteer de optie Ingeschakeld . Gebruik vervolgens de vervolgkeuzelijst om de TLS-versie te selecteren die u wilt inschakelen, zoals wordt weergegeven in afbeelding 8.

Afbeelding 8: Ondersteuning voor versleuteling uitschakelen en vervolgkeuzelijst inschakelen

Zodra u het beleid hebt ingeschakeld in de groepsbeleid Editor, kunt u het niet meer wijzigen in Internetopties. Als u bijvoorbeeld SSL3.0 en TLS 1.0 gebruiken selecteert, zijn alle andere opties niet beschikbaar in Internetopties. Zie afbeelding 9. U kunt geen van de instellingen in Internetopties wijzigen als u Ondersteuning voor versleuteling uitschakelen inschakelt in de groepsbeleid Editor.

Internetopties met grijs weergegeven SSL- en TLS-instellingen

Afbeelding 9: Internetopties met niet-beschikbare SSL- en TLS-instellingen

TLS-versie 1.1 en lager inschakelen (winhttp-instellingen)

Zie Update om TLS 1.1 en TLS 1.2 in te schakelen als standaard beveiligde protocollen in WinHTTP in Windows.

Belangrijke registerpaden (wininet- en Internet Explorer-instellingen)

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
- Hier vindt u SecureProtocols, waarin de waarde van de momenteel ingeschakelde protocollen wordt opgeslagen als u de groepsbeleid Editor gebruikt.
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
- Hier vindt u SecureProtocols, waarin de waarde van momenteel ingeschakelde protocollen wordt opgeslagen als u internetopties gebruikt.
groepsbeleid SecureProtocols voorrang hebben op de secureprotocollen die zijn ingesteld door internetopties.

Onveilige TLS-terugval inschakelen

Met de bovenstaande wijzigingen wordt TLS 1.0 en TLS 1.1 ingeschakeld. Tls-terugval wordt echter niet ingeschakeld. Als u TLS-terugval wilt inschakelen, moet u EnableInsecureTlsFallback instellen op 1 in het register onder de onderstaande paden.

Instellingen wijzigen: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
Beleid instellen: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

Als EnableInsecureTlsFallback niet aanwezig is, moet u een nieuwe DWORD-vermelding maken en deze instellen op 1.

Belangrijke registerpaden

ForceDefaultSecureProtocols
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttps
- Dit is standaard ONWAAR. Als u een niet-nulwaarde instelt, kunnen toepassingen geen aangepaste protocollen instellen met behulp van de optie winhttp.
EnableInsecureTlsFallback
- Instellingen wijzigen: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
- Beleid instellen: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
- Dit is standaard ONWAAR. Als u een niet-nulwaarde instelt, kunnen toepassingen terugvallen op onbeveiligde protocollen (TLS1.0 en 1.1) als de handshake mislukt met beveiligde protocollen (tls1.2 en hoger).