KB5017811 - Gestionarea Transport Layer Security (TLS) 1.0 și 1.1 după modificarea implicită a comportamentului pe 20 septembrie 2022

Rezumat

Transport Layer Security (TLS) 1.0 și 1.1 sunt protocoale de securitate pentru crearea canalelor de criptare prin rețele de computere. Microsoft le-a acceptat începând cu Windows XP și Windows Server 2003. Cu toate acestea, cerințele de reglementare se schimbă. De asemenea, există noi deficiențe de securitate în TLS 1.0. Prin urmare, Microsoft recomandă să eliminați dependențele TLS 1.0 și 1.1. De asemenea, vă recomandăm să dezactivați TLS 1.0 și 1.1 la nivelul sistemului de operare, dacă este posibil. Pentru mai multe detalii, consultați Dezactivarea TLS 1.0 și 1.1. În actualizarea preliminară din 20 septembrie 2022, vom dezactiva TLS 1.0 și 1.1 în mod implicit pentru aplicațiile bazate pe winhttp și wininet. Aceasta face parte dintr-un efort continuu. Acest articol vă va ajuta să le reactivați. Aceste modificări se vor reflecta după instalarea actualizărilor Windows lansate la sau după 20 septembrie 2022.

Comportament la accesarea linkurilor TLS 1.0 și 1.1 în browser

După 20 septembrie 2022, va apărea un mesaj atunci când browserul deschide un site web care utilizează TLS 1.0 sau 1.1. Vedeți Figura 1. Mesajul spune că site-ul utilizează un protocol TLS învechit sau nesigur. Pentru a rezolva această problemă, puteți actualiza protocolul TLS la TLS 1.2 sau o versiune mai recentă. Dacă acest lucru nu este posibil, puteți activa TLS așa cum s-a discutat în Activarea TLS versiunea 1.1 și mai recentă.

Fereastra Internet Explorer atunci când accesați linkul TLS 1.0 și 1.1

Figura 1: Fereastra Browser atunci când accesați paginile web TLS 1.0 și 1.1

Comportament la accesarea linkurilor TLS 1.0 și 1.1 în winhttp aplicații

După actualizare, aplicațiile bazate pe câștighttp pot să nu reușească. Mesajul de eroare este "ERROR_WINHTTP_SECURE_FAILURE în timpul efectuării operațiunii WinHttpSendRequest".

Comportamentul la accesarea linkurilor TLS 1.0 și 1.1 în aplicațiile UI particularizate bazate pe winhttp sau wininet

Atunci când o aplicație încearcă să creeze o conexiune utilizând TLS 1.1 și mai jos, conexiunea poate părea că nu reușește. Atunci când închideți o aplicație sau aceasta nu mai funcționează, caseta de dialog Asistent compatibilitate program (PCA) apare așa cum se arată în Figura 2.

Pop-up Asistent compatibilitate programe după închiderea aplicației

Figure 2: Program Compatibility Assistant dialog after closing an application

Caseta de dialog PCA spune "Este posibil ca acest program să nu fi rulat corect". Sub aceasta, există două opțiuni:

Rularea programului utilizând setările de compatibilitate
Acest program a rulat corect

Rularea programului utilizând setările de compatibilitate

Atunci când alegeți această opțiune, aplicația se redeschide. Acum, toate linkurile care utilizează TLS 1.0 și 1.1 funcționează corect. De atunci înainte, nu va mai apărea nicio casetă de dialog PCA. Editorul de registry adaugă intrări la următoarele căi:

Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store.
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers.

Dacă ați ales din greșeală această opțiune, puteți șterge aceste intrări. Dacă le ștergeți, veți vedea caseta de dialog PCA data viitoare când deschideți aplicația.

Lista de programe care ar trebui rulate utilizând setările de compatibilitate

Figura 3: Lista de programe care ar trebui să ruleze utilizând setările de compatibilitate

Acest program a rulat corect

Atunci când alegeți această opțiune, aplicația se închide normal. Data viitoare când redeschideți aplicația, nu va mai apărea nicio casetă de dialog PCA. Sistemul blochează tot conținutul TLS 1.0 și 1.1. Editorul de registry adaugă următoarea intrare la calea Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store. Vedeți Figura 4. Dacă ați ales din greșeală această opțiune, aveți posibilitatea să ștergeți această intrare. Dacă ștergeți intrarea, veți vedea caseta de dialog PCA data viitoare când deschideți aplicația.

Entry in registry editor specifying that the app ran correctly

Figura 4: Intrare în Registry Editor care afirmă că aplicația a rulat corect

Important Protocoalele TLS moștenite sunt activate doar pentru anumite aplicații. Acest lucru este valabil chiar dacă acestea sunt dezactivate în setările la nivel de sistem.

Activați TLS versiunea 1.1 și mai recentă (setările wininet și Internet Explorer)

Nu recomandăm activarea TLS 1.1 și a versiunilor mai vechi, deoarece acestea nu mai sunt considerate sigure. Acestea sunt vulnerabile la atacuri diferite, cum ar fi atacul PUDLE. Așadar, înainte de a activa TLS 1.1, alegeți una dintre următoarele variante:

Verificați dacă este disponibilă o versiune mai nouă a aplicației.
Solicitați dezvoltatorului aplicației să efectueze modificări de configurare în aplicație pentru a elimina dependența de TLS 1.1 și mai jos.

În cazul în care niciuna dintre soluții nu funcționează, există două modalități de a activa protocoalele TLS moștenite în setările la nivel de sistem:

Opțiuni internet
Editor politică de grup

Opțiuni internet

Pentru a deschide Opțiuni internet, tastați Opțiuni internet în caseta de căutare din bara de activități. De asemenea, puteți selecta Modificare setări din caseta de dialog afișată în Figura 1. Pe fila Complex , defilați în jos în panoul Setări . Acolo puteți să activați sau să dezactivați protocoalele TLS.

Internet Options window

Figure 5: Internet Properties dialog

Editorul Politică de grup

Pentru a deschide Editorul Politică de grup, tastați gpedit.msc în caseta de căutare din bara de activități. Apare o fereastră ca cea afișată în Figura 6.

Fereastra editorului de politică de grup

Figura 6: fereastra Editor Politică de grup

Navigați la Local Computer Policy > (Computer Configuration or User Configuration) > Administrative Templets > Windows Components > Internet Explorer > Internet Panou de control > Advanced Page > Dezactivați suportul pentru criptare. Vedeți Figura 7.
Faceți dublu clic pe Dezactivați asistența pentru criptare.

Figure 7: Path to turn off encryption support in Politică de grup Editor
Selectați opțiunea Activat . Apoi utilizați lista verticală pentru a selecta versiunea TLS pe care doriți să o activați, așa cum se arată în Figura 8.

Figura 8: Activarea opțiunii Dezactivați suportul pentru criptare și lista verticală

După ce activați politica în Editorul de Politică de grup, nu o puteți modifica în Opțiuni internet. De exemplu, dacă selectați Utilizați SSL3.0 și TLS 1.0, toate celelalte opțiuni vor fi indisponibile în Opțiuni internet. Vezi Figura 9. Nu puteți modifica niciuna dintre setările din Opțiuni internet dacă activați Dezactivați suportul pentru criptare în Editorul Politică de grup.

Opțiuni internet cu setări SSL și TLS estompate

Figura 9: Opțiuni internet afișând setările SSL și TLS indisponibile

Activați TLS versiunea 1.1 și versiunile mai recente (winhttp settings)

Consultați Actualizare pentru a activa TLS 1.1 și TLS 1.2 ca protocoale securizate implicite în WinHTTP în Windows.

Căi de registry importante (setări wininet și Internet Explorer)

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
- Aici puteți găsi SecureProtocols, care stochează valoarea protocoalelor activate în prezent dacă utilizați Editorul Politică de grup.
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
- Aici puteți găsi SecureProtocols, care stochează valoarea protocoalelor activate în prezent, dacă utilizați Opțiuni internet.
Politică de grup SecureProtocols va avea prioritate față de cel setat de Opțiuni internet.

Activarea revenirii TLS nesigure

Modificările de mai sus vor activa TLS 1.0 și TLS 1.1. Totuși, acestea nu vor activa revenirea TLS. Pentru a activa revenirea TLS, trebuie să setați EnableInsecureTlsFallback la 1 în registry, sub căile de mai jos.

Pentru a modifica setările: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttps://support.
Pentru a seta politica: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

Dacă EnableInsecureTlsFallback nu este prezent, trebuie să creați o nouă intrare DWORD și să o setați la 1.

Căi de registry importante

ForceDefaultSecureProtocols
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttps://support.
- Este FALSE în mod implicit. Setarea unei valori non-zero va împiedica aplicațiile să setați protocoale particularizate utilizând opțiunea winhttp.
EnableInsecureTlsFallback
- Pentru a modifica setările: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttps://support.
- Pentru a seta politica: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
- Este FALSE în mod implicit. Setarea unei valori non-zero va permite aplicațiilor să revină la protocoalele de nesecurizare (TLS1.0 și 1.1) dacă strângerea de mână nu reușește cu protocoale securizate (tls1.2 și mai recente).