trang chủ-Làm thế nào để mở-Lỗi trong Internet Explorer. Đảm bảo SSL và TLS được bật

Lỗi trong Internet Explorer. Đảm bảo SSL và TLS được bật

Khi truy cập bất kỳ cổng thông tin chính phủ hoặc dịch vụ nào (ví dụ: EIS), người dùng có thể bất ngờ gặp phải lỗi “Không thể kết nối an toàn với trang này. Trang web có thể đang sử dụng cài đặt bảo mật TLS lỗi thời hoặc yếu." Vấn đề này khá phổ biến và đã được quan sát thấy trong vài năm ở nhiều nhóm người dùng khác nhau. Chúng ta hãy xem bản chất của lỗi này và các phương án để giải quyết nó.

Như bạn đã biết, tính bảo mật của kết nối người dùng với tài nguyên mạng được đảm bảo thông qua việc sử dụng SSL/TSL - giao thức mã hóa chịu trách nhiệm truyền dữ liệu an toàn trên Internet. Họ sử dụng mã hóa đối xứng và bất đối xứng, mã xác thực tin nhắn và các tính năng đặc biệt khác cho phép bạn duy trì tính bảo mật cho kết nối của mình, ngăn chặn các bên thứ ba giải mã phiên của bạn.

Nếu khi kết nối với một trang web, trình duyệt phát hiện tài nguyên đó sử dụng các tham số giao thức bảo mật SSL/TSL không chính xác thì người dùng sẽ nhận được thông báo trên và quyền truy cập vào trang web có thể bị chặn.

Khá thường xuyên, tình huống với giao thức TLS phát sinh trong trình duyệt IE, một công cụ phổ biến để làm việc với các cổng thông tin đặc biệt của chính phủ liên quan đến nhiều hình thức báo cáo khác nhau. Làm việc với các cổng như vậy đòi hỏi phải có sự hiện diện của trình duyệt Internet Explorer và chính trên đó, vấn đề được đề cập thường xuyên phát sinh.

Nguyên nhân gây ra lỗi “Trang web có thể đang sử dụng cài đặt bảo mật TLS lỗi thời hoặc không an toàn” có thể như sau:


Cách khắc phục sự cố: Cài đặt bảo mật TLS yếu đang được sử dụng

Giải pháp cho vấn đề có thể là các phương pháp được mô tả dưới đây. Nhưng trước khi mô tả chúng, tôi khuyên bạn chỉ cần khởi động lại PC của mình - mặc dù tầm thường nhưng phương pháp này thường tỏ ra khá hiệu quả.

Nếu nó không có ích, hãy làm như sau:

  • Tạm thời vô hiệu hóa phần mềm chống vi-rút của bạn. Trong một số trường hợp, phần mềm chống vi-rút đã chặn quyền truy cập vào các trang web không đáng tin cậy (theo đánh giá của nó). Tạm thời tắt chương trình chống vi-rút hoặc tắt tính năng kiểm tra chứng chỉ trong cài đặt chống vi-rút (ví dụ: “Không kiểm tra kết nối an toàn” trên phần mềm chống vi-rút của Kaspersky);
  • Cài đặt phiên bản mới nhất của chương trình CryptoPro trên máy tính của bạn (trong trường hợp trước đó đã làm việc với chương trình này). Phiên bản lỗi thời của sản phẩm có thể gây ra lỗi trang không được kết nối an toàn;
  • Thay đổi cài đặt IE của bạn. Đi tới “Tùy chọn trình duyệt”, chọn tab “Bảo mật”, sau đó nhấp vào “Trang web đáng tin cậy” (địa chỉ cổng thông tin của bạn phải được nhập vào đó, nếu không, hãy nhập nó). Ở phía dưới, bỏ chọn tùy chọn “Bật chế độ bảo vệ”.

    Sau đó nhấp vào nút “Trang web” ở trên và bỏ chọn tùy chọn “Đối với tất cả các trang web trong vùng này…”. Nhấp vào “Ok” và thử truy cập trang web có vấn đề.

  • Xóa cookie trình duyệt IE. Khởi chạy trình duyệt và nhấn nút Alt để hiển thị menu. Chọn tab “Công cụ” - “Xóa lịch sử trình duyệt”, chọn hộp (nếu không có) trên tùy chọn “Cookie…”, sau đó nhấp vào “Xóa”;

  • Vô hiệu hóa việc sử dụng các chương trình VPN (nếu có);
  • Hãy thử sử dụng một trình duyệt khác để điều hướng đến tài nguyên có vấn đề (trong trường hợp bạn không bắt buộc phải sử dụng bất kỳ trình duyệt cụ thể nào);
  • Kiểm tra PC của bạn để tìm virus (ví dụ: Doctor Web Curate đã được chứng minh sẽ giúp ích);
  • Tắt tùy chọn “Khởi động an toàn” trong BIOS. Bất chấp tính chất phi tiêu chuẩn nhất định của lời khuyên này, nó đã giúp nhiều người dùng thoát khỏi lỗi “tham số TLS lỗi thời hoặc không đáng tin cậy”.

    Vô hiệu hóa tùy chọn “Khởi động an toàn” trong BIOS

Phần kết luận

Nguyên nhân gây ra lỗi “Trang web có thể đang sử dụng các thông số bảo mật đã lỗi thời hoặc không đáng tin cậy của giao thức TLS” thường là do phần mềm chống vi-rút cục bộ trên PC, vì một số lý do nhất định sẽ chặn quyền truy cập vào cổng Internet mong muốn. Nếu xảy ra tình huống có vấn đề, trước tiên bạn nên tắt phần mềm chống vi-rút của mình để đảm bảo rằng nó không gây ra sự cố được đề cập. Nếu lỗi tiếp tục tái diễn thì tôi khuyên bạn nên chuyển sang thực hiện các mẹo khác được mô tả bên dưới để giải quyết vấn đề cài đặt bảo mật giao thức TSL không đáng tin cậy trên PC của bạn.

Liên hệ với

Tất cả các lập luận của chúng tôi đều dựa trên thực tế là hệ điều hành là Windows XP trở lên (Vista, 7 hoặc 8), trên đó tất cả các bản cập nhật và bản vá thích hợp đều được cài đặt. Bây giờ có một điều kiện nữa: chúng ta đang nói về các phiên bản trình duyệt mới nhất chứ không phải “Ognelis hình cầu trong chân không”.

Vì vậy, chúng tôi định cấu hình trình duyệt để sử dụng các phiên bản mới nhất của giao thức TLS và hoàn toàn không sử dụng các phiên bản và SSL lỗi thời của nó. Ít nhất, theo lý thuyết thì càng xa càng tốt.

Và lý thuyết cho chúng ta biết rằng mặc dù Internet Explorer đã hỗ trợ TLS 1.1 và 1.2 từ phiên bản 8, nhưng trong Windows XP và Vista, chúng tôi sẽ không bắt buộc nó phải làm như vậy. Nhấp vào: Công cụ/Tùy chọn Internet/Nâng cao và trong phần “Bảo mật”, chúng tôi tìm thấy: SSL 2.0, SSL 3.0, TLS 1.0... bạn có tìm thấy gì khác không? Xin chúc mừng, bạn sẽ có TLS 1.1/1.2! Nếu họ không tìm thấy thì bạn có Windows XP hoặc Vista, và ở Redmond họ coi bạn là người chậm phát triển.

Vì vậy, hãy bỏ chọn tất cả các hộp SSL, chọn tất cả các hộp TLS có sẵn. Nếu chỉ có TLS 1.0 thì cũng vậy; nếu có nhiều phiên bản hiện tại hơn, tốt hơn là chỉ chọn chúng và bỏ chọn TLS 1.0 (và sau này đừng ngạc nhiên khi một số trang web không mở qua HTTPS). Sau đó nhấp vào nút “Áp dụng” và “OK”.

Dễ dàng hơn với Opera - nó mang đến cho chúng ta một bữa tiệc thực sự gồm các phiên bản giao thức khác nhau: Công cụ/Cài đặt chung/Nâng cao/Bảo mật/Giao thức bảo mật. Chúng ta thấy gì? Toàn bộ tập hợp, từ đó chúng tôi chỉ để lại các hộp kiểm cho TLS 1.1 và TLS 1.2, sau đó chúng tôi nhấp vào nút “Chi tiết” và ở đó chúng tôi bỏ chọn tất cả các dòng ngoại trừ những dòng bắt đầu bằng “256 bit AES” - chúng ở cùng kết thúc. Ở đầu danh sách có dòng “256 bit AES ( Vô danh DH/SHA-256), cũng bỏ chọn nó. Nhấp vào “OK” và tận hưởng sự bảo mật.

Tuy nhiên, Opera có một thuộc tính lạ: nếu TLS 1.0 được bật thì nếu cần thiết lập kết nối an toàn, nó sẽ ngay lập tức sử dụng phiên bản giao thức này, bất kể trang web có hỗ trợ các giao thức hiện tại hơn hay không. Giống như, tại sao phải bận tâm – mọi thứ đều ổn, mọi thứ đều được bảo vệ. Khi chỉ bật TLS 1.1 và 1.2, phiên bản nâng cao hơn sẽ được thử trước tiên và chỉ khi trang web không hỗ trợ thì trình duyệt mới chuyển sang phiên bản 1.1.

Nhưng Ognelis Firefox hình cầu sẽ không làm hài lòng chúng tôi chút nào: Công cụ/Cài đặt/Nâng cao/Mã hóa: tất cả những gì chúng tôi có thể làm là vô hiệu hóa SSL, TLS chỉ có trong phiên bản 1.0, không có gì phải làm - chúng tôi để lại dấu kiểm.

Tuy nhiên, điều tồi tệ nhất được rút ra bằng cách so sánh: Chrome và Safari hoàn toàn không chứa các cài đặt về giao thức mã hóa sẽ sử dụng. Theo những gì chúng tôi biết, Safari không hỗ trợ các phiên bản TLS mới hơn 1.0 trong các phiên bản dành cho HĐH Windows và vì việc phát hành các phiên bản mới cho HĐH này đã bị ngừng nên sẽ không hỗ trợ.

Theo như chúng tôi biết, Chrome hỗ trợ TLS 1.1, nhưng, như trong trường hợp của Safari, chúng tôi không thể từ chối sử dụng SSL. Không có cách nào để tắt TLS 1.0 trong Chrome. Nhưng với việc sử dụng TLS 1.1 thực tế, có một câu hỏi lớn: nó được bật lần đầu tiên, sau đó tắt do vấn đề vận hành và theo như người ta có thể đánh giá là vẫn chưa được bật lại. Tức là hình như có hỗ trợ nhưng hình như bị tắt, người dùng không có cách nào bật lại. Câu chuyện tương tự cũng xảy ra với Firefox - nó thực sự có hỗ trợ TLS 1.1, nhưng nó vẫn chưa có sẵn cho người dùng.

Tóm tắt từ nhiều lá thư trên. Những mối nguy hiểm chung của việc sử dụng các phiên bản giao thức mã hóa lỗi thời là gì? Thực tế là người khác sẽ truy cập vào kết nối an toàn của bạn với trang web và có quyền truy cập vào tất cả thông tin “ở đó” và “ở đó”. Về mặt thực tế, anh ta sẽ có toàn quyền truy cập vào hộp thư email, tài khoản trong hệ thống ngân hàng khách hàng, v.v.

Khó có khả năng bạn vô tình xâm nhập vào kết nối an toàn của người khác; chúng ta chỉ đang nói về những hành động độc hại. Nếu khả năng xảy ra những hành động đó thấp hoặc thông tin được truyền qua kết nối an toàn không có giá trị đặc biệt thì bạn không cần phải bận tâm và sử dụng các trình duyệt chỉ hỗ trợ TLS 1.0.

Nếu không thì không có lựa chọn nào khác: chỉ có Opera và chỉ TLS 1.2 (TLS 1.1 chỉ là một cải tiến trên TLS 1.0, kế thừa một phần các vấn đề bảo mật của nó). Tuy nhiên, các trang web yêu thích của chúng tôi có thể không hỗ trợ TLS 1.2 :(

Vào tháng 10, các kỹ sư của Google đã công bố thông tin về một lỗ hổng nghiêm trọng trong SSL phiên bản 3.0, nhận được một cái tên buồn cười con chó xù(Đệm Oracle trên Mã hóa kế thừa đã hạ cấp hoặc poodle 🙂). Lỗ hổng này cho phép kẻ tấn công có quyền truy cập vào thông tin được mã hóa bằng giao thức SSLv3 bằng cách sử dụng cuộc tấn công “người đứng giữa”. Cả máy chủ và máy khách có thể kết nối bằng giao thức SSLv3 đều dễ bị tổn thương.

Nói chung, tình hình không có gì đáng ngạc nhiên, bởi vì... giao thức SSL 3.0, được giới thiệu lần đầu tiên vào năm 1996, đã 18 tuổi và đã lỗi thời về mặt đạo đức. Trong hầu hết các nhiệm vụ thực tế, nó đã được thay thế bằng giao thức mật mã TLS(phiên bản 1.0, 1.1 và 1.2).

Để bảo vệ khỏi lỗ hổng POODLE, bạn nên cài đặt đầy đủ tắt hỗ trợ SSLv3 ở cả phía máy khách và phía máy chủ và từ đó chỉ sử dụng TLS. Đối với người dùng phần mềm cũ (chẳng hạn như những người sử dụng IIS 6 trên Windows XP), điều này có nghĩa là họ sẽ không thể xem các trang HTTPS hoặc sử dụng các dịch vụ SSL khác nữa. Nếu hỗ trợ SSLv3 không bị tắt hoàn toàn và mã hóa mạnh hơn được cung cấp theo mặc định thì lỗ hổng POODLE sẽ vẫn tồn tại. Điều này là do đặc thù của việc lựa chọn và thống nhất giao thức mã hóa giữa máy khách và máy chủ, bởi vì Nếu phát hiện vấn đề trong quá trình sử dụng TLS, quá trình chuyển đổi tự động sang SSL sẽ diễn ra.

Chúng tôi khuyên bạn nên kiểm tra tất cả các dịch vụ có thể sử dụng SSL/TLS dưới mọi hình thức và tắt hỗ trợ SSLv3. Bạn có thể kiểm tra lỗ hổng bảo mật trên máy chủ web của mình bằng cách sử dụng bài kiểm tra trực tuyến, ví dụ: tại đây: http://poodlebleed.com/.

Ghi chú. Cần phải hiểu rõ ràng rằng việc vô hiệu hóa SSL v3 ở cấp độ toàn hệ thống sẽ chỉ có tác dụng đối với phần mềm sử dụng API hệ thống để mã hóa SSL (Internet Explorer, IIS, SQL NLA, RRAS, v.v.). Các chương trình sử dụng công cụ tiền điện tử của riêng chúng (Firefox, Opera, v.v.) cần được cập nhật và định cấu hình riêng lẻ.

Vô hiệu hóa SSLv3 trong Windows ở cấp hệ thống

Trong hệ điều hành Windows, việc hỗ trợ giao thức SSL/TLS được quản lý thông qua sổ đăng ký.

Trong ví dụ này, chúng tôi sẽ hướng dẫn cách tắt hoàn toàn SSLv3 ở cấp hệ thống (cả cấp máy khách và máy chủ) trong Windows Server 2012 R2:

Vô hiệu hóa SSLv2 (Windows 2008 / Server trở xuống)

Các hệ điều hành trước Windows 7 / Windows Server 2008 R2 sử dụng giao thức thậm chí còn kém an toàn và lỗi thời hơn theo mặc định SSL v2, tính năng này cũng cần bị tắt vì lý do bảo mật (trong các phiên bản Windows mới hơn, SSLv2 cấp máy khách bị tắt theo mặc định và chỉ sử dụng SSLv3 và TLS1.0). Để tắt SSLv2, bạn cần lặp lại quy trình được mô tả ở trên, chỉ đối với khóa đăng ký SSL 2.0.

Trên Windows 2008/2012, SSLv2 bị tắt ở cấp máy khách theo mặc định.

Kích hoạt TLS 1.1 và TLS 1.2 trong Windows Server 2008 R2 trở lên

Windows Server 2008 R2 / Windows 7 trở lên hỗ trợ thuật toán mã hóa TLS 1.1 và TLS 1.2, nhưng các giao thức này bị tắt theo mặc định. Bạn có thể bật hỗ trợ cho TLS 1.1 và TLS 1.2 trong các phiên bản Windows này bằng cách sử dụng tình huống tương tự


Tiện ích quản lý các giao thức mật mã hệ thống trong Windows Server

Có một tiện ích miễn phí IIS Crypto, cho phép bạn quản lý thuận tiện các tham số của giao thức mã hóa trong Windows Server 2003, 2008 và 2012. Sử dụng tiện ích này, bạn có thể bật hoặc tắt bất kỳ giao thức mã hóa nào chỉ bằng hai cú nhấp chuột.

Chương trình đã có một số mẫu cho phép bạn nhanh chóng áp dụng các cài đặt trước cho các cài đặt bảo mật khác nhau.

Nếu bạn gặp phải sự cố không thể truy cập vào một trang web cụ thể và có thông báo xuất hiện trong trình duyệt của bạn, thì có lời giải thích hợp lý cho điều này. Nguyên nhân và cách giải quyết vấn đề được đưa ra trong bài viết này.

SSL TLS

Giao thức SSL TLS

Người dùng của các tổ chức ngân sách, không chỉ các tổ chức ngân sách có hoạt động liên quan trực tiếp đến tài chính, khi tương tác với các tổ chức tài chính, chẳng hạn như Bộ Tài chính, Kho bạc, v.v., thực hiện mọi hoạt động của họ chỉ bằng giao thức SSL an toàn. Về cơ bản, trong công việc họ sử dụng trình duyệt Internet Explorer. Trong một số trường hợp - Mozilla Firefox.

Lỗi SSL

Sự chú ý chính khi thực hiện các hoạt động này và công việc nói chung là dành cho hệ thống bảo mật: chứng chỉ, chữ ký điện tử. Phiên bản hiện tại của phần mềm CryptoPro được sử dụng để vận hành. Liên quan đến vấn đề với giao thức SSL và TLS, Nếu như Lỗi SSL xuất hiện, rất có thể không có hỗ trợ cho giao thức này.

lỗi TLS

lỗi TLS trong nhiều trường hợp, nó cũng có thể cho thấy sự thiếu hỗ trợ giao thức. Nhưng... hãy xem những gì có thể được thực hiện trong trường hợp này.

Hỗ trợ giao thức SSL và TLS

Vì vậy, khi bạn sử dụng Microsoft Internet Explorer để truy cập trang web được bảo mật SSL, thanh tiêu đề sẽ hiển thị Đảm bảo giao thức ssl và tls được bật. Trước hết, bạn cần kích hoạt hỗ trợ giao thức TLS 1.0 trong Internet Explorer.

Nếu bạn đang truy cập một trang web chạy Dịch vụ thông tin Internet 4.0 trở lên, việc định cấu hình Internet Explorer để hỗ trợ TLS 1.0 sẽ giúp bảo mật kết nối của bạn. Tất nhiên, với điều kiện là máy chủ web từ xa mà bạn đang sử dụng có hỗ trợ giao thức này.

Để làm điều này trong menu Dịch vụ chọn đội Tùy chọn Internet.

Trên tab Ngoài ra Trong chuong Sự an toàn, hãy đảm bảo chọn các hộp kiểm sau:

Sử dụng SSL 2.0
Sử dụng SSL 3.0
Sử dụng TLS 1.0

Nhấn vào nút Áp dụng , và sau đó ĐƯỢC RỒI . Khởi động lại trình duyệt của bạn .

Sau khi bật TLS 1.0, hãy thử truy cập lại trang web.

Chính sách bảo mật hệ thống

Nếu chúng vẫn xảy ra lỗi với SSL và TLS Nếu bạn vẫn không thể sử dụng SSL thì máy chủ web từ xa có thể không hỗ trợ TLS 1.0. Trong trường hợp này, bạn phải tắt chính sách hệ thống yêu cầu thuật toán tuân thủ FIPS.

Để làm điều này, trong Bảng điều khiển lựa chọn Sự quản lý, rồi bấm đúp vào Chính sách bảo mật cục bộ.

Trong Cài đặt bảo mật cục bộ, mở rộng Chính sách địa phương và sau đó nhấp vào nút Cài đặt hệ thống bảo vệ.

Theo chính sách ở bên phải cửa sổ, nhấp đúp vào Mật mã hệ thống: sử dụng thuật toán tuân thủ FIPS để mã hóa, băm và ký và sau đó nhấp vào nút Tàn tật.

Chú ý! Thay đổi có hiệu lực sau khi chính sách bảo mật cục bộ được áp dụng lại. Đó là bật nó lênkhởi động lại trình duyệt của bạn .

SSL TLS của CryptoPro

Cập nhật CryptoPro

Thiết lập SSL TLS

Cấu hình mạng

Một lựa chọn khác có thể là vô hiệu hóa NetBIOS qua TCP/IP- nằm trong thuộc tính kết nối.

đăng ký DLL

Khởi chạy Dấu nhắc lệnh với tư cách Quản trị viên và nhập lệnh regsvr32 cpcng. Đối với hệ điều hành 64 bit, bạn phải sử dụng cùng regsvr32 có trong syswow64.

Mã lỗi này thường xuất hiện trên màn hình khi bạn truy cập trang web dịch vụ hoặc chính phủ. Một ví dụ nổi bật là cổng thông tin EIS chính thức. Có thể lỗi xảy ra do các tham số giao thức TSL lỗi thời hoặc không an toàn. Đây là một vấn đề rất phổ biến. Người dùng gặp phải nó trong một thời gian dài. Bây giờ hãy tìm hiểu chính xác nguyên nhân gây ra lỗi này và cách khắc phục.

Tính bảo mật của kết nối đến trang web được đảm bảo bằng cách sử dụng các giao thức mã hóa đặc biệt – SSL và TSL. Họ cung cấp bảo mật cho việc truyền tải thông tin. Các giao thức được xây dựng dựa trên việc sử dụng các công cụ mã hóa đối xứng và bất đối xứng. Mã xác thực tin nhắn và các tùy chọn khác cũng được sử dụng. Kết hợp lại với nhau, các biện pháp này giúp duy trì tính ẩn danh của kết nối, do đó các bên thứ ba sẽ không có cơ hội giải mã phiên.

Khi xuất hiện lỗi trong trình duyệt cho biết có vấn đề với giao thức TSL, điều này có nghĩa là trang web đang sử dụng tham số không chính xác. Vì vậy, kết nối thực sự không an toàn. Truy cập vào cổng sẽ tự động bị chặn.

Thông thường, người dùng làm việc thông qua trình duyệt Internet Explorer sẽ gặp phải lỗi này. Có một số lý do cho sự thất bại này, cụ thể là:

  • phần mềm chống vi-rút chặn kết nối đến trang web;
  • phiên bản tiện ích CryptoPro đã lỗi thời;
  • kết nối với cổng được thực hiện thông qua VPN;
  • cài đặt trình duyệt Internet Explorer không chính xác;
  • chức năng “SecureBoot” được kích hoạt trong BIOS;
  • Có các tập tin bị nhiễm virus và virus trên máy tính.

Chúng tôi đã tìm ra nguyên nhân gây ra lỗi. Đã đến lúc phân tích những cách có thể để giải quyết vấn đề.

Hướng dẫn khắc phục sự cố

Nếu lỗi vẫn chưa biến mất thì đã đến lúc thử các phương pháp thay thế:

Thực tiễn cho thấy rằng mỗi mẹo được liệt kê đều có thể loại bỏ được vấn đề. Vì vậy, chỉ cần làm theo hướng dẫn.

Phần kết luận

Các chuyên gia cho rằng lỗi phần mềm được đề cập xuất hiện do phần mềm chống vi-rút được cài đặt trên máy tính của người dùng. Vì lý do nào đó chương trình đang chặn quyền truy cập vào trang web. Do đó, trước tiên chỉ cần tắt phần mềm chống vi-rút và thay đổi cài đặt xác minh chứng chỉ. Có khả năng điều này sẽ giải quyết được vấn đề. Nếu lỗi vẫn còn, hãy thử từng mẹo được đề xuất ở trên. Nhờ đó, vấn đề bảo mật của giao thức TSL sẽ được giải quyết triệt để.

Các ấn phẩm tương tự: