Przejdź do głównej zawartości
Pomoc techniczna
Zaloguj się
Zaloguj się przy użyciu konta Microsoft
Zaloguj się lub utwórz konto.
Witaj,
Wybierz inne konto.
Masz wiele kont
Wybierz konto, za pomocą którego chcesz się zalogować.

Podsumowanie

Protokoły Transport Layer Security (TLS) 1.0 i 1.1 to protokoły zabezpieczeń do tworzenia kanałów szyfrowania za pośrednictwem sieci komputerowych. Microsoft obsługuje je od wersji Windows XP i Windows Server 2003. Zmieniają się jednak wymogi regulacyjne. Ponadto istnieją nowe niedociągnięcia zabezpieczeń w usłudze TLS 1.0. Dlatego Microsoft zaleca usunięcie zależności TLS 1.0 i 1.1. Zalecamy również wyłączenie protokołu TLS 1.0 i 1.1 na poziomie systemu operacyjnego, jeśli to możliwe. Aby uzyskać więcej informacji, zobacz Wyłączanie TLS 1.0 i 1.1. W aktualizacji preview z 20 września 2022 r. domyślnie wyłączymy TLS 1.0 i 1.1 dla aplikacji opartych na winhttp i wininet. Jest to część ciągłych wysiłków. Ten artykuł pomoże Ci je ponownie włączyć. Te zmiany zostaną odzwierciedlone po zainstalowaniu aktualizacji systemu Windows wydanych 20 września 2022 r. lub później.  

Zachowanie podczas uzyskiwania dostępu do linków TLS 1.0 i 1.1 w przeglądarce

Po 20 września 2022 r. zostanie wyświetlony komunikat, gdy przeglądarka otworzy witrynę internetową korzystającą z protokołu TLS 1.0 lub 1.1. Zobacz Rysunek 1. Komunikat informuje, że witryna korzysta z przestarzałego lub niebezpiecznego protokołu TLS. Aby rozwiązać ten problem, możesz zaktualizować protokół TLS do protokołu TLS 1.2 lub nowszego. Jeśli nie jest to możliwe, możesz włączyć protokół TLS zgodnie z omówionymi w temacie Włączanie protokołu TLS w wersji 1.1 lub nowszej.

Okno programu Internet Explorer podczas uzyskiwania dostępu do linków TLS 1.0 i 1.1

Rysunek 1. Okno przeglądarki podczas uzyskiwania dostępu do strony internetowej TLS 1.0 i 1.1

Zachowanie podczas uzyskiwania dostępu do linków TLS 1.0 i 1.1 w aplikacji winhttp applications

Po aktualizacji aplikacje oparte na winhttp mogą zakończyć się niepowodzeniem. Komunikat o błędzie to "ERROR_WINHTTP_SECURE_FAILURE podczas wykonywania operacji WinHttpSendRequest".

Zachowanie podczas uzyskiwania dostępu do linków TLS 1.0 i 1.1 w niestandardowych aplikacjach interfejsu użytkownika opartych na winhttp lub wininet

Gdy aplikacja próbuje utworzyć połączenie przy użyciu protokołu TLS 1.1 lub niższego, może się wydawać, że połączenie nie powiodło się. Gdy aplikacja zostanie zamknięta lub przestanie działać, zostanie wyświetlone okno dialogowe Asystenta zgodności programów (PCA), jak pokazano na ilustracji 2.

Okno podręczne Asystent zgodności programu po zamknięciu aplikacji

Rysunek 2. Okno dialogowe Asystenta zgodności programów po zamknięciu aplikacji

W oknie dialogowym PCA zostanie wyświetlony komunikat "Ten program mógł nie działać poprawnie". W tym obszarze są dwie opcje:

  • Uruchamianie programu przy użyciu ustawień zgodności

  • Ten program działał poprawnie

Uruchamianie programu przy użyciu ustawień zgodności

Po wybraniu tej opcji aplikacja zostanie ponownie otwarta. Teraz wszystkie linki używające protokołu TLS 1.0 i 1.1 działają poprawnie. Od tego czasu nie zostanie wyświetlone żadne okno dialogowe PCA. Edytor rejestru dodaje wpisy do następujących ścieżek:

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers. 

Jeśli ta opcja została wybrana przez pomyłkę, możesz usunąć te wpisy. Jeśli je usuniesz, przy następnym otwarciu aplikacji zostanie wyświetlone okno dialogowe PCA.

Lista programów, które powinny być używane przy użyciu ustawień zgodności

Rysunek 3. Lista programów, które powinny być uruchamiane przy użyciu ustawień zgodności

Ten program działał poprawnie

Po wybraniu tej opcji aplikacja zostanie zamknięta normalnie. Przy następnym ponownym otwarciu aplikacji nie zostanie wyświetlone okno dialogowe PCA. System blokuje całą zawartość TLS 1.0 i 1.1. Edytor rejestru doda następujący wpis do ścieżki Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store. Zobacz Rysunek 4. Jeśli ta opcja została wybrana przez pomyłkę, możesz usunąć ten wpis. Jeśli usuniesz wpis, przy następnym otwarciu aplikacji zostanie wyświetlone okno dialogowe PCA.

Wpis w Edytorze rejestru określający poprawne uruchamianie aplikacji

Rysunek 4. Wpis w Edytorze rejestru z informacją, że aplikacja działa poprawnie

Ważne Starsze protokoły TLS są włączone tylko dla określonych aplikacji. Dzieje się tak, nawet jeśli są one wyłączone w ustawieniach systemu.

Włącz protokół TLS w wersji 1.1 i nowszej (ustawienia wininet i Internet Explorer)

Nie zaleca się włączania protokołu TLS 1.1 lub niższego, ponieważ nie są one już uważane za bezpieczne. Są narażeni na różne ataki, takie jak atak POODLE. Przed włączeniem protokołu TLS 1.1 wykonaj jedną z następujących czynności:

  • Sprawdź, czy jest dostępna nowsza wersja aplikacji.

  • Poproś dewelopera aplikacji o wprowadzenie zmian w konfiguracji w aplikacji w celu usunięcia zależności od protokołu TLS 1.1 lub niższego.

Jeśli żadne rozwiązanie nie zadziała, istnieją dwa sposoby włączania starszych protokołów TLS w ustawieniach systemu:

  • Opcje internetowe

  • Edytor zasad grupy

Opcje internetowe

Aby otworzyć okno Opcje internetowe, wpisz Tekst Opcje internetowe w polu wyszukiwania na pasku zadań. Możesz również wybrać pozycję Zmień ustawienia w oknie dialogowym pokazanym na rysunku 1. Na karcie Zaawansowane przewiń w dół w panelu Ustawienia . W tym miejscu można włączyć lub wyłączyć protokoły TLS.

Okno Opcje internetowe

Rysunek 5. Okno dialogowe Właściwości internetowe

Edytor zasady grupy

Aby otworzyć Edytor zasady grupy, wpisz gpedit.msc w polu wyszukiwania na pasku zadań. Zostanie wyświetlone okno, takie jak to pokazane na rysunku 6. 

Okno edytora zasad grupy

Rysunek 6. Zasady grupy oknie Redaktora

  1. Przejdź do > zasad komputera lokalnego(konfiguracja komputera lub konfiguracja użytkownika) > > składników systemu Windows> programu Internet Explorer > Panel sterowania internetowej > strony zaawansowanej > Wyłącz obsługę szyfrowania. Zobacz Rysunek 7.

  2. Kliknij dwukrotnie pozycję Wyłącz obsługę szyfrowania.

    Path to Turn Off encryption support in GPedit.msc

    Rysunek 7. Ścieżka wyłączania obsługi szyfrowania w edytorze zasady grupy

  3. Wybierz opcję Włączone . Następnie z listy rozwijanej wybierz wersję TLS, którą chcesz włączyć, jak pokazano na ilustracji 8.

    Wyłącz obsługę szyfrowania włączoną za pomocą listy rozwijanej z różnymi opcjami

    Rysunek 8. Włączanie obsługi i listy rozwijanej wyłączania szyfrowania

Po włączeniu zasad w Edytorze zasady grupy nie można ich zmienić w obszarze Opcje internetowe. Jeśli na przykład wybierzesz pozycję Użyj protokołu SSL3.0 i TLS 1.0, wszystkie inne opcje będą niedostępne w obszarze Opcje internetowe. Zobacz Rysunek 9. Jeśli włączysz obsługę szyfrowania w Edytorze zasady grupy, nie możesz zmienić żadnych ustawień w obszarze Opcje internetowe.

Opcje internetowe z wyszarzonymi ustawieniami SSL i TLS

Rysunek 9. Opcje internetowe przedstawiające niedostępne ustawienia protokołu SSL i TLS

Włączanie protokołu TLS w wersji 1.1 i nowszej (winhttp settings)

Zobacz Aktualizowanie w celu włączenia protokołów TLS 1.1 i TLS 1.2 jako domyślnych bezpiecznych protokołów w systemie WinHTTP w systemie Windows.

Ważne ścieżki rejestru (ustawienia wininet i internet explorer)

  • Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

    • Tutaj znajdziesz SecureProtocols, które przechowuje wartość obecnie włączonych protokołów, jeśli korzystasz z Edytora zasady grupy.

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings

    • Tutaj można znaleźć SecureProtocols, który przechowuje wartość obecnie włączonych protokołów, jeśli używasz opcji internetowych.

  • zasady grupy SecureProtocols będą mieć pierwszeństwo przed ustawieniem ustawionym przez opcje internetowe.

Włączanie niezabezpieczonej rezerwy TLS

Powyższe modyfikacje umożliwią obsługę protokołu TLS 1.0 i TLS 1.1. Jednak nie będą one włączać rezerwy TLS. Aby włączyć rezerwowanie TLS, należy ustawić wartość EnableInsecureTlsFallback na 1 w rejestrze w ramach poniższych ścieżek.

  • Aby zmienić ustawienia: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp

  • Aby ustawić zasady: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

Jeśli pozycja EnableInsecureTlsFallback nie jest obecna, należy utworzyć nowy wpis DWORD i ustawić go na wartość 1.

Ważne ścieżki rejestru

  1. ForceDefaultSecureProtocols  

    • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp 

    • Wartość domyślna to FAŁSZ. Ustawienie wartości różnej od zera spowoduje, że aplikacje nie będą ustawiać protokołów niestandardowych przy użyciu opcji winhttp.

  2. EnableInsecureTlsFallback 

    • Aby zmienić ustawienia: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp

    • Aby ustawić zasady: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

    • Wartość domyślna to FAŁSZ. Ustawienie wartości niezerowej umożliwi aplikacjom przywrócenie niezabezpieczonych protokołów (TLS1.0 i 1.1) w przypadku niepowodzenia uzgadniania przy użyciu bezpiecznych protokołów (tls1.2 i nowszych).

Facebook LinkedIn Adres e-mail
ZASUBSKRYBUJ KANAŁY INFORMACYJNE RSS

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Odkryj Społeczność

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Korzyści z subskrypcji platformy Microsoft 365

Szkolenia dotyczące platformy Microsoft 365

Rozwiązania dotyczące zabezpieczeń firmy Microsoft

Centrum ułatwień dostępu

Społeczności pomagają zadawać i odpowiadać na pytania, przekazywać opinie i słuchać ekspertów z bogatą wiedzą.

Zapytaj społeczność firmy Microsoft

Społeczność techniczna firmy Microsoft

Niejawny program testów systemu Windows

Microsoft 365 Insiders

Czy te informacje były pomocne?

Jaka jest jakość języka?
Co wpłynęło na Twoje wrażenia?
Jeśli naciśniesz pozycję „Wyślij”, Twoja opinia zostanie użyta do ulepszania produktów i usług firmy Microsoft. Twój administrator IT będzie mógł gromadzić te dane. Oświadczenie o ochronie prywatności.

Dziękujemy za opinię!

×