Fout in Internet Explorer. Zorg ervoor dat SSL en TLS zijn ingeschakeld

Wanneer de gebruiker naar een overheids- of serviceportaal gaat (bijvoorbeeld EIS), kan de gebruiker plotseling de foutmelding 'Het is niet mogelijk om veilig verbinding te maken met deze pagina' tegenkomen. De site gebruikt mogelijk verouderde of zwakke TLS-beveiligingsinstellingen." Dit probleem komt vrij vaak voor en wordt al enkele jaren waargenomen bij verschillende categorieën gebruikers. Laten we eens kijken naar de essentie van deze fout en de opties om deze op te lossen.

Zoals u weet, wordt de veiligheid van gebruikersverbindingen met netwerkbronnen gewaarborgd door het gebruik van SSL/TSL: cryptografische protocollen die verantwoordelijk zijn voor de veilige overdracht van gegevens op internet. Ze gebruiken symmetrische en asymmetrische encryptie, berichtauthenticatiecodes en andere speciale functies waarmee u de vertrouwelijkheid van uw verbinding kunt behouden, waardoor wordt voorkomen dat derden uw sessie kunnen ontsleutelen.

Als de browser bij het verbinden met een site detecteert dat de bron onjuiste SSL/TSL-beveiligingsprotocolparameters gebruikt, ontvangt de gebruiker het bovenstaande bericht en wordt de toegang tot de site mogelijk geblokkeerd.

Heel vaak doet de situatie met het TLS-protocol zich voor in de IE-browser, een populair hulpmiddel voor het werken met speciale overheidsportals die verband houden met verschillende vormen van rapportage. Het werken met dergelijke portals vereist de aanwezigheid van de Internet Explorer-browser, en het probleem in kwestie komt vooral vaak voor.

De redenen voor de fout “De site gebruikt mogelijk verouderde of onveilige TLS-beveiligingsinstellingen” kunnen de volgende zijn:

Hoe de disfunctie te verhelpen: Er worden zwakke TLS-beveiligingsinstellingen gebruikt

De oplossing voor het probleem kunnen de hieronder beschreven methoden zijn. Maar voordat ik ze beschrijf, raad ik aan dat u eenvoudigweg uw pc opnieuw opstart - hoewel triviaal, blijkt deze methode vaak behoorlijk effectief te zijn.

Als het niet helpt, doe dan het volgende:

• Schakel uw antivirusprogramma tijdelijk uit. In een flink aantal gevallen blokkeerde de antivirus de toegang tot onbetrouwbare (naar eigen zeggen) sites. Schakel het antivirusprogramma tijdelijk uit, of schakel de certificaatcontrole uit in de antivirusinstellingen (bijvoorbeeld 'Controleer geen beveiligde verbindingen' op Kaspersky antivirus);
• Installeer de nieuwste versie van het CryptoPro-programma op uw computer (in geval van eerder werk met dit programma). Een verouderde versie van het product kan de foutmelding veroorzaken dat de pagina niet veilig is verbonden;
• Wijzig uw IE-instellingen. Ga naar “Browseropties”, selecteer het tabblad “Beveiliging” en klik vervolgens op “Vertrouwde sites” (het adres van uw portal zou daar al moeten zijn ingevoerd, zo niet, voer het dan in). Schakel onderaan de optie ‘Beveiligde modus inschakelen’ uit.

  

  Klik vervolgens op de knop 'Sites' hierboven en schakel de optie 'Voor alle sites in deze zone...' uit. Klik op "Ok" en probeer naar de problematische site te gaan.

• Verwijder IE-browsercookies. Start de browser en druk op de Alt-knop om het menu weer te geven. Selecteer het tabblad “Extra” - “Browsegeschiedenis verwijderen”, vink het vakje aan (indien niet aanwezig) bij de optie “Cookies...” en klik vervolgens op “Verwijderen”;

  

• Schakel het gebruik van VPN-programma's uit (indien aanwezig);
• Probeer een andere browser te gebruiken om naar de problematische bron te navigeren (voor het geval u geen specifieke browser hoeft te gebruiken);
• Controleer uw pc op virussen (het beproefde Doctor Web Curate helpt bijvoorbeeld);
• Schakel de optie "Secure Boot" in het BIOS uit. Ondanks het zekere niet-standaard karakter van dit advies, heeft het meer dan één gebruiker geholpen om van de fout ‘verouderde of onbetrouwbare TLS-parameters’ af te komen.

  

  Deactiveer de optie "Secure Boot" in het BIOS

Conclusie

De oorzaak van de fout "De site gebruikt mogelijk verouderde of onbetrouwbare beveiligingsparameters van het TLS-protocol" is vaak een lokale pc-antivirus, die om bepaalde redenen de toegang tot het gewenste internetportaal blokkeert. Als zich een problematische situatie voordoet, is het raadzaam eerst uw antivirusprogramma uit te schakelen om er zeker van te zijn dat dit het betreffende probleem niet veroorzaakt. Als de fout zich blijft voordoen, raad ik aan om verder te gaan met het implementeren van andere hieronder beschreven tips om het probleem van onbetrouwbare TSL-op uw pc op te lossen.

Al onze argumenten zijn gebaseerd op het feit dat het besturingssysteem Windows XP of hoger is (Vista, 7 of 8), waarop alle benodigde updates en patches zijn geïnstalleerd. Nu is er nog één voorwaarde: we hebben het vandaag over de nieuwste versies van browsers, en niet over ‘sferische Ognelis in een vacuüm’.

We configureren browsers dus zo dat ze de nieuwste versies van het TLS-protocol gebruiken en helemaal geen verouderde versies en SSL gebruiken. Tenminste, voor zover dat in theorie mogelijk is.

En de theorie leert ons dat hoewel Internet Explorer TLS 1.1 en 1.2 al vanaf versie 8 ondersteunt, we het onder Windows XP en Vista niet zullen dwingen dit te doen. Klik op: Extra/Internetopties/Geavanceerd en in de sectie “Beveiliging” vinden we: SSL 2.0, SSL 3.0, TLS 1.0... heb je nog iets anders gevonden? Gefeliciteerd, u beschikt over TLS 1.1/1.2! Als ze het niet hebben gevonden, heb je Windows XP of Vista, en in Redmond beschouwen ze je als achterlijk.

Schakel dus alle SSL-vakjes uit en vink alle beschikbare TLS-vakjes aan. Als alleen TLS 1.0 beschikbaar is, dan is het zo; er zijn meer actuele versies beschikbaar, het is beter om alleen deze te selecteren en TLS 1.0 uit te schakelen (en wees later niet verbaasd dat sommige sites niet via HTTPS openen). Klik vervolgens op de knoppen "Toepassen" en "OK".

Het is gemakkelijker met Opera - het geeft ons een echt banket van verschillende protocolversies: Extra/Algemene instellingen/Geavanceerd/Beveiliging/Beveiligingsprotocol. Wat zien we? De hele set, waarvan we de selectievakjes alleen voor TLS 1.1 en TLS 1.2 laten staan, waarna we op de knop "Details" klikken en daar alle regels uitschakelen behalve die die beginnen met "256 bit AES" - ze staan ​​helemaal einde. Aan het begin van de lijst staat een regel “256 bit AES ( Anoniem DH/SHA-256), schakel dit ook uit. Klik op "OK" en verheug u over de veiligheid.

Opera heeft echter één vreemde eigenschap: als TLS 1.0 is ingeschakeld, wordt deze versie van het protocol onmiddellijk gebruikt als het nodig is om een ​​beveiligde verbinding tot stand te brengen, ongeacht of de site recentere versies ondersteunt. Zoals: waarom moeite doen – alles is in orde, alles is beschermd. Als u alleen TLS 1.1 en 1.2 inschakelt, zal de browser eerst proberen de meer geavanceerde versie te gebruiken, en alleen als deze niet door de site wordt ondersteund, zal de browser overschakelen naar versie 1.1.

Maar de bolvormige Ognelis Firefox zal ons helemaal niet bevallen: Tools/Instellingen/Geavanceerd/Encryptie: het enige wat we kunnen doen is SSL uitschakelen, TLS is alleen beschikbaar in versie 1.0, er is niets aan te doen - we laten het met een vinkje staan.

Het ergste komt echter uit de vergelijking: Chrome en Safari bevatten helemaal geen instellingen voor welk encryptieprotocol ze moeten gebruiken. Voor zover wij weten ondersteunt Safari geen TLS-versies die recenter zijn dan 1.0 in versies voor Windows OS, en aangezien de release van nieuwe versies voor dit besturingssysteem is stopgezet, zal dit ook niet gebeuren.

Chrome ondersteunt, voor zover wij weten, TLS 1.1, maar net als in het geval van Safari kunnen wij het gebruik van SSL niet weigeren. Er is geen manier om TLS 1.0 uit te schakelen in Chrome. Maar bij het daadwerkelijke gebruik van TLS 1.1 is er een grote vraag: het werd eerst ingeschakeld, vervolgens uitgeschakeld vanwege operationele problemen en, voor zover men kan beoordelen, nog niet weer ingeschakeld. Dat wil zeggen, er lijkt ondersteuning te zijn, maar deze lijkt te zijn uitgeschakeld en de gebruiker kan deze op geen enkele manier weer inschakelen. Hetzelfde verhaal geldt voor Firefox: het heeft feitelijk ondersteuning voor TLS 1.1, maar is nog niet beschikbaar voor de gebruiker.

Samenvatting van de bovenstaande multiletter. Wat zijn de algemene gevaren van het gebruik van verouderde versies van encryptieprotocollen? Het feit dat iemand anders toegang krijgt tot uw beveiligde verbinding met de site en toegang krijgt tot alle informatie “daar” en “daar”. Praktisch gezien krijgt hij volledige toegang tot zijn e-mailbox, account in het klantbanksysteem, enz.

Het is onwaarschijnlijk dat u per ongeluk inbreekt in de beveiligde verbinding van iemand anders; we hebben het alleen over kwaadwillige acties. Als de kans op dergelijke acties klein is, of als de informatie die via een beveiligde verbinding wordt verzonden niet bijzonder waardevol is, hoeft u zich geen zorgen te maken en browsers te gebruiken die alleen TLS 1.0 ondersteunen.

Anders is er geen keus: alleen Opera en alleen TLS 1.2 (TLS 1.1 is slechts een verbetering ten opzichte van TLS 1.0 en neemt gedeeltelijk de beveiligingsproblemen over). Het is echter mogelijk dat onze favoriete sites TLS 1.2 niet ondersteunen :(

In oktober publiceerden Google-technici informatie over een kritieke kwetsbaarheid in SSL-versie 3.0, dat een grappige naam kreeg POEDEL(Adding Oracle On Downgraded Legacy Encryption of poedel 🙂). Door het beveiligingslek kan een aanvaller toegang krijgen tot informatie die is gecodeerd met het SSLv3-protocol door middel van een “man in the middle”-aanval. Zowel servers als clients die verbinding kunnen maken via het SSLv3-protocol zijn kwetsbaar voor het beveiligingslek.

Over het algemeen is de situatie niet verrassend, omdat... protocol SSL 3.0, voor het eerst geïntroduceerd in 1996, is al 18 jaar oud en moreel verouderd. Bij de meeste praktische taken is het al vervangen door een cryptografisch protocol TLS(versies 1.0, 1.1 en 1.2).

Om u te beschermen tegen de POODLE-kwetsbaarheid, wordt aanbevolen om volledig te werken schakel SSLv3-ondersteuning uit aan zowel client- als serverzijde en gebruik voortaan alleen TLS. Voor oudere softwaregebruikers (zoals degenen die IIS 6 op Windows XP gebruiken) betekent dit dat ze niet langer HTTPS-pagina's kunnen bekijken of andere SSL-services kunnen gebruiken. Als SSLv3-ondersteuning niet volledig wordt uitgeschakeld en er standaard sterkere encryptie wordt aangeboden, zal de POODLE-kwetsbaarheid nog steeds bestaan. Dit komt door de bijzonderheden bij het kiezen en overeenkomen van het coderingsprotocol tussen de client en de server, omdat Als er problemen worden geconstateerd bij het gebruik van TLS, vindt er een automatische overgang naar SSL plaats.

We raden u aan al uw services te controleren die SSL/TLS in welke vorm dan ook gebruiken en SSLv3-ondersteuning uit te schakelen. U kunt uw webserver controleren op kwetsbaarheden met behulp van een online test, bijvoorbeeld hier: http://poodlebleed.com/.

Opmerking. Het moet duidelijk zijn dat het uitschakelen van SSL v3 op systeembreed niveau alleen werkt voor software die systeem-API's gebruikt voor SSL-codering (Internet Explorer, IIS, SQL NLA, RRAS, enz.). Programma's die hun eigen cryptotools gebruiken (Firefox, Opera, enz.) moeten afzonderlijk worden bijgewerkt en geconfigureerd.

SSLv3 uitschakelen in Windows op systeemniveau

In Windows OS wordt de ondersteuning voor SSL/TLS-protocollen beheerd via het register.

In dit voorbeeld laten we zien hoe u SSLv3 volledig kunt uitschakelen op systeemniveau (zowel client- als serverniveau) in Windows Server 2012 R2:

Schakel SSLv2 uit (Windows 2008/Server en lager)

Besturingssystemen vóór Windows 7 / Windows Server 2008 R2 gebruiken standaard een nog minder veilig en verouderd protocol SSL v2, die ook om veiligheidsredenen moet worden uitgeschakeld (in recentere versies van Windows is SSLv2 op clientniveau standaard uitgeschakeld en worden alleen SSLv3 en TLS1.0 gebruikt). Om SSLv2 uit te schakelen, moet u de hierboven beschreven procedure herhalen, alleen voor de registersleutel SSL 2.0.

In Windows 2008/2012 is SSLv2 standaard uitgeschakeld op clientniveau.

Schakel TLS 1.1 en TLS 1.2 in Windows Server 2008 R2 en hoger in

Windows Server 2008 R2/Windows 7 en hoger ondersteunen de versleutelingsalgoritmen TLS 1.1 en TLS 1.2, maar deze protocollen zijn standaard uitgeschakeld. U kunt ondersteuning voor TLS 1.1 en TLS 1.2 inschakelen in deze versies van Windows met behulp van een soortgelijk scenario

Een hulpprogramma voor het beheren van cryptografische systeemprotocollen in Windows Server

Er is een gratis hulpprogramma IIS Crypto, waarmee u gemakkelijk de parameters van cryptografische protocollen in Windows Server 2003, 2008 en 2012 kunt beheren. Met dit hulpprogramma kunt u elk van de coderingsprotocollen met slechts twee klikken in- of uitschakelen.

Het programma beschikt al over verschillende sjablonen waarmee je snel presets voor verschillende beveiligingsinstellingen kunt toepassen.

Als u een probleem ondervindt waarbij de toegang tot een specifieke site mislukt en er een bericht in uw browser verschijnt, is daar een redelijke verklaring voor. De oorzaken en oplossingen voor het probleem worden in dit artikel gegeven.

SSL-TLS

SSL TLS-protocol

Gebruikers van begrotingsorganisaties, en niet alleen begrotingsorganisaties, wier activiteiten rechtstreeks verband houden met financiën, in interactie met financiële organisaties, bijvoorbeeld het ministerie van Financiën, de Schatkist, enz., voeren al hun activiteiten uitsluitend uit met behulp van het beveiligde SSL-protocol. Kortom, in hun werk gebruiken ze de browser Internet Explorer. In sommige gevallen - Mozilla Firefox.

SSL-fout

Bij het uitvoeren van deze handelingen, en bij werkzaamheden in het algemeen, wordt de meeste aandacht besteed aan het beveiligingssysteem: certificaten, elektronische handtekeningen. Voor de bediening wordt de huidige versie van de CryptoPro-software gebruikt. Met betrekking tot problemen met SSL- en TLS-protocollen, Als SSL-fout verscheen, is er hoogstwaarschijnlijk geen ondersteuning voor dit protocol.

TLS-fout

TLS-fout in veel gevallen kan het ook wijzen op een gebrek aan protocolondersteuning. Maar... laten we eens kijken wat we in dit geval kunnen doen.

Ondersteuning voor SSL- en TLS-protocollen

Wanneer u dus Microsoft Internet Explorer gebruikt om een ​​SSL-beveiligde website te bezoeken, wordt de titelbalk weergegeven Zorg ervoor dat de ssl- en tls-protocollen zijn ingeschakeld. Allereerst moet u ondersteuning voor het TLS 1.0-protocol in Internet Explorer inschakelen.

Als u een website bezoekt waarop Internet Information Services 4.0 of hoger wordt uitgevoerd, helpt het configureren van Internet Explorer ter ondersteuning van TLS 1.0 uw verbinding te beveiligen. Uiteraard op voorwaarde dat de externe webserver die u probeert te gebruiken dit protocol ondersteunt.

Om dit in het menu te doen Dienst team selecteren Internetopties.

Op het tabblad Aanvullend in sectie Veiligheid Zorg ervoor dat de volgende selectievakjes zijn ingeschakeld:

Gebruik SSL 2.0
Gebruik SSL 3.0
Gebruik TLS 1.0

Klik op de knop Toepassen en dan OK . Start uw browser opnieuw .

Probeer de website opnieuw te bezoeken nadat u TLS 1.0 hebt ingeschakeld.

Systeembeveiligingsbeleid

Als ze nog voorkomen fouten met SSL en TLS Als u SSL nog steeds niet kunt gebruiken, ondersteunt de externe webserver waarschijnlijk TLS 1.0 niet. In dit geval moet u het systeembeleid uitschakelen dat FIPS-compatibele algoritmen vereist.

Om dit te doen, in Bedieningspanelen selecteren Administratie en dubbelklik vervolgens Lokaal veiligheidsbeleid.

Vouw in Lokale beveiligingsinstellingen uit Lokaal beleid en klik vervolgens op de knop Beveiligingsinstellingen.

Dubbelklik volgens het beleid aan de rechterkant van het venster Systeemcryptografie: gebruik FIPS-compatibele algoritmen voor codering, hashing en ondertekening en klik vervolgens op de knop Gehandicapt.

Aandacht! De wijziging wordt van kracht nadat het lokale beveiligingsbeleid opnieuw is toegepast. Dat is zet het aan En herstart uw browser .

CryptoPro TLS SSL

Update CryptoPro

SSL-TLS instellen

Netwerk instellen

Een andere optie zou kunnen zijn NetBIOS via TCP/IP uitschakelen— gelegen in de verbindingseigenschappen.

DLL-registratie

Start de opdrachtprompt als beheerder en voer de opdracht in regsvr32 cpcng. Voor een 64-bits besturingssysteem moet u dezelfde regsvr32 gebruiken als in syswow64.

Deze foutcode verschijnt meestal op het scherm wanneer u naar een dienst- of overheidswebsite gaat. Een treffend voorbeeld is het officiële EIS-portaal. Het is mogelijk dat de fout is veroorzaakt door verouderde of onveilige TSL-protocolparameters. Dit is een veel voorkomend probleem. Gebruikers komen er gedurende een lange periode mee in aanraking. Laten we nu eens kijken wat deze fout precies heeft veroorzaakt en hoe we deze kunnen oplossen.

De veiligheid van de verbinding met de website wordt gewaarborgd door het gebruik van speciale encryptieprotocollen – SSL en TSL. Ze bieden beveiliging voor de overdracht van informatie. De protocollen zijn gebaseerd op het gebruik van symmetrische en asymmetrische encryptietools. Er wordt ook gebruik gemaakt van berichtauthenticatiecodes en andere opties. Alles bij elkaar maken deze maatregelen het mogelijk om de anonimiteit van de verbinding te behouden, waardoor derden de mogelijkheid wordt ontnomen om de sessie te decoderen.

Wanneer er een foutmelding in de browser verschijnt die wijst op problemen met het TSL-protocol, betekent dit dat de website onjuiste parameters gebruikt. Daarom is de verbinding echt niet veilig. De toegang tot het portaal wordt automatisch geblokkeerd.

Meestal komen gebruikers die via de Internet Explorer-browser werken deze fout tegen. Er zijn verschillende redenen voor dit falen, namelijk:

• de antivirus blokkeert de verbinding met de website;
• de versie van het CryptoPro-hulpprogramma is verouderd;
• verbinding met het portaal gebeurt via VPN;
• onjuiste browserinstellingen van Internet Explorer;
• de functie “SecureBoot” is geactiveerd in het BIOS;
• Er staan ​​geïnfecteerde bestanden en virussen op de computer.

We hebben de redenen voor de fout ontdekt. Het is tijd om mogelijke manieren te analyseren om het probleem op te lossen.

Instructies voor het oplossen van problemen

Als de fout niet is verdwenen, is het tijd om alternatieve methoden te proberen:

De praktijk leert dat elk van de genoemde tips het probleem kan oplossen. Volg dus gewoon de instructies.

Conclusie

Deskundigen beweren dat de betreffende softwarefout te wijten is aan de antivirus die op de computer van de gebruiker is geïnstalleerd. Om de een of andere reden blokkeert het programma de toegang tot de website. Schakel daarom eerst eenvoudigweg de antivirus uit en wijzig de certificaatverificatie-instellingen. Het is waarschijnlijk dat dit het probleem zal oplossen. Als de fout zich blijft voordoen, probeer dan elk van de hierboven voorgestelde tips. Als gevolg hiervan zal het beveiligingsprobleem van het TSL-protocol definitief worden opgelost.