Отключение проверки ssl сертификатов windows 10

Отключение PCT 1.0, SSL 2.0, SSL 3.0 и TLS 1.0 в службах IIS в Windows

Набор серверов и сетевых служб IIS (Internet Information Services) от Microsoft, как известно, использует для защиты соединения между сервером и клиентом различные криптографические протоколы, такие как SSL, TLS и PCT. Самым актуальным из них является TLS. В этой статье разберём, как отключить ненужные нам протоколы в IIS.

Как должно быть понятно из названия, смысл криптографических протоколов в повышении защиты передаваемой информации от перехвата. В криптографических протоколах время от времени находят уязвимости, это приводит к разработке новых стандартов этих самых протоколов. К сожалению, моментально перейти на новый протокол нельзя из-за соображений обратной совместимости. Тем не менее, разработчики ПО постепенно внедряют в свои творения поддержку новых протоколов. Таким образом, иногда целесообразно отключать старые протоколы, если они уже не используются.

В операционных системах семейства Windows управление поддержкой протоколов PCT/SSL/TLS осуществляется на уровне реестра. Нас интересует ветка HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocols. В ней вы можете увидеть следующие подразделы:

Наличие или отсутствие подразделов зависит от версии операционной системы. Отсутствующие подразделы и параметры в них можно добавить.

Подразделы с именами протоколов, в свою очередь, содержат подразделы Client и Server с настройками, как ни странно, клиента и сервера.

В настройках клиента и сервера можно прописать параметры DisabledByDefault (выключен по умолчанию) и Enable (включен), которые и отвечают за использование криптографических протоколов. Тип параметров DWORD (32 бита), значения, которые они могут принимать: и 1.

Настройки протокола SSL 2.0 в Windows.

Немного о значениях:

Может показаться, что параметры дублируют друг друга, но в них есть различия. Если говорить в двух словах, параметр DisabledByDefault это более мягкий вариант отключения, который допускает исключения для приложений. А вот Enable — более жесткий параметр. Enable имеет приоритет над DisabledByDefault, т.е. Enable = 0 отключит протокол, несмотря на DisabledByDefault = 0.

Таким образом вы можете включить или выключить любой из перечисленных протоколов. Например, если мы хотим отключить протоколы SSL 2.0 и SSL 3.0, то нужно создать в ветке HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocols подразделы SSL 2.0 и SSL 3.0 (при отсутствии), в них подразделы Client и Server (также при отсутствии), а там создать или отредактировать параметры DisabledByDefault (в значении 1 для отключения) и Enable (в значении 0 для отключения) в зависимости от того, насколько «жёстко» мы хотим запретить протоколы.

Похожим образом можно включить поддержку более новых криптографических протоколов. Например, в Windows 7 и Windows Server 2008 R2, которые всё ещё весьма распространены, по умолчанию отключены протоколы TLS 1.1 и TLS 1.2. Для их включения нужно создать одноимённые подразделы в реестре с соответствующими настройками.

Включаем по умолчанию TLS 1.2 в Windows 7.

Для применения параметров нужно перезагрузить систему.

Напоследок отметим, что выставленные параметры применяются только для ПО, которое использует системные API. Если программа имеет собственные средства криптографии, то её нужно настраивать отдельно.

Windows 10: как отключить проверку цифровой подписи драйвера

Если вам необходимо установить неподписанный драйвер под Windows 10, придется сначала деактивировать проверку его цифровой подписи. Для этого существуют две возможности.

Иногда нам жизненно необходимо установить неподписанный драйвер устройства — например, любимого принтера или сканера. Но сделать это мы не можем, потому что операционная система на компьютере слишком умна и не дает нам сделать такую глупость, как инсталляция древних «дров» из неизвестного источника. Неужели слишком умную ОС никак не победить? Ничего подобного! Для этого существует, как минимум, два способа.

Отключить проверку цифровой подписи драйвера в UEFI

Для начала следует отметить, что это руководство сработает только в том случае, если на вашем компьютере используется UEFI, а не более ранний BIOS. Обычно UEFI установлен, если вы приобрели свой компьютер с Windows 8 или 10, или же если сам ПК был выпущен после 2012 года.

Итак, сначала запустите UEFI. Сделать это достаточно просто. Зайдя в операционную систему, надо нажать на значок уведомлений и выбрать пункт «Все параметры». После этого в настройках следует открыть пункт «Обновление и безопасность» > «Восстановление».

Если UEFI открылся в синем дизайне, выберите «Устранение неполадок». В разделе «Дополнительные параметры» вы найдете «Параметры загрузки». Эта кнопка отобразит все доступные параметры запуска.

В разделе «Дополнительные параметры» вы найдете «Параметры загрузки»

С помощью клавиши [F7] выберите опцию «Отключить обязательную проверку подписи драйверов». После этого вы можете установить неподписанный драйвер.

Отключить проверку цифровой подписи драйвера из ОС

Для тех, кто побаивается лезть в настройки материнской платы, есть и другой способ, позволяющий отключить проверку подписи драйвера из самой системы. Для этого одновременно нажмите клавиши [Windows] и [X] — в правом нижнем углу экрана откроется небольшое меню.

Выберите опцию «Выполнить (администратор)» и подтвердите запрос нажатием «Да».

В новом окне командной строки введите команду «BCDEDIT -Set LoadOptions DDISABLE_INTEGRITY_CHECKS» без кавычек и подтвердите с помощью [Enter].
Затем введите команду «BCDEDIT -SET TESTSIGNING ON» и подтвердите снова с помощью [Enter].

В новом окне командной строки введите команду «BCDEDIT -Set LoadOptions DDISABLE_INTEGRITY_CHECKS» без кавычек и подтвердите с помощью [Enter] Теперь вы можете устанавливать неподписанные драйвера под Windows 10. Следует, впрочем, оговориться: если инструкции не работают, добавьте к «–» две косые черты, или два слэша, —«/».

Отключение этой опции возможно через команду «BCDEDIT –Set LoadOptions EENABLE_INTEGRITY_CHECKS» >«BCDEDIT –Set TESTSIGNING OFF».

Как отключить проверку сертификатов в Яндекс Браузере

Проверка сертификатов в браузере от Яндекса обычно связана с протоколом HTTPS защищенного интернет-соединения. Проще говоря, с помощью данного протокола, а также различных сертификатов происходит защита данных на веб-страницах. Это очень хорошая практика и она позволяет иметь довольно эффективную защиту ресурса. Но что делать, если при открытии ссылки, появляется меню, говорящее о том, что не удалось пройти проверку сертификата? Читайте об этом далее. Мы поговорим о том, как отключить проверку сертификатов в Яндекс браузере.

На компьютере

Проблемы, возникающие с сертификатами браузере, могут быть связаны с двумя причинами. Первая – это неправильно установленное время.

1. Для этого достаточно кликнуть по времени в нижнем правом углу и отметить пункт «Установить время автоматически».

В разных операционных системах изменение времени может немного отличаться, но сама по себе суть одна и та же – активация ползунка на пункте «Установка автоматического времени».

Решение следующей причины немного сложнее, давайте рассмотрим ее более подробно:

1. Открываем Яндекс браузер и переходим в раздел «Настройки» через выпадающее меню.
2. Далее пролистываем в самый низ страницы и нажимаем на кнопку «Настройки прокси-сервера».
3. В появившемся окне переходим в раздел «Безопасность» и устанавливаем ползунок в режим «Средний».
4. После этого переходим в раздел «Конфиденциальность» и снимаем галочку с пункта «Никогда не разрешать веб-сайтам запрашивать ваше местонахождение».
5. Также, если у вас установлено антивирусное средство, вы можете в его настройках отключить пункт «Включить проверку протокола HTTPS».
6. Если и в этом случае ничего не помогает, вернитесь назад в меню «Свойства: Интернет» и воспользуйтесь опцией «Очистить SSL».

По окончании инструкции проверьте, получилось ли устранить проблему. В противном же случае попробуйте переустановить браузер, в некоторых случаях это может помочь.

На телефоне

Теперь вы знаете как отключить проверку сертификатов в Яндекс браузере. Сам по себе процесс может показаться довольно сложным для не опытных пользователей. Но если вы проделаете это несколько раз, то в последующие разы данная проблема будет для вас уже пустяком.

Отключение SSL 3.0 в Windows.

Технический уровень : Средний

Найдена уязвимость в протоколе SSL 3.0, получившая название «Poodle».

Протокол SSL 3.0 больше нельзя использовать.

14 октября 2014 г. было опубликовано описание уязвимости в протоколе SSL 3.0, которую назвали «Poodle».

Уязвимость получила обозначение CVE-2014-3566.

Исследователи пришли к заключению, что протокол SSL 3.0 не может больше использоваться без риска раскрытия данных.

Microsoft рекомендует отключить поддержку SSL 3.0 в Windows и в браузере Internet Explorer.

Microsoft также объявила о том, что в ближайшее время будет выключена поддержка SSL 3.0 во всех on-line сервисах Microsoft.

Для отключения SSL 3.0 в Windows выполните следующие действия:

Для серверного ПО

1. Нажмите «Пуск», «Выполнить», напечатайте «regedit«, нажмите «ОК».
2. В редакторе реестра найдите ключ

Если такого ключа не существует, то нужно создать новый типа REG_DWORD (32 бита).

Измените его значение на 0.

После изменения значения в реестре перезагрузите компьютер.

Это временное решение отключит SSL 3.0 во всём серверном ПО, установленном в системе, включая IIS.

После отключения клиенты, полагающиеся только на SSL 3.0, не смогут больше подключаться к серверу.

Для клиентского ПО

Нажмите «Пуск», «Выполнить», напечатайте «regedit«, нажмите «ОК».

В редакторе реестра найдите ключ

Если такого ключа не существует, то нужно создать новый типа REG_DWORD (32 бита).

Измените его значение на 0.

После изменения значения в реестре перезагрузите компьютер.

Это временное решение отключит SSL 3.0 во всём клиентском ПО, установленном в системе.

После отключения клиентские приложения не смогут больше подключаться к другим серверам, полагающимся только на SSL 3.0

Для выполнения изменений в реестре нужно иметь права администратора.

См. также:

Была ли эта статья полезной?

К сожалению, это не помогло.

Отлично! Благодарим за отзыв.

Насколько вы удовлетворены этой статьей?

Благодарим за отзыв, он поможет улучшить наш сайт.

Насколько вы удовлетворены этой статьей?

Благодарим за отзыв.

Комментарии (2) 

Был ли этот комментарий полезным?

К сожалению, это не помогло.

Отлично! Благодарим за отзыв.

Насколько вы удовлетворены этим комментарием?

Благодарим за отзыв, он поможет улучшить наш сайт.

Насколько вы удовлетворены этим комментарием?

Благодарим за отзыв.

Oб отключении SSL 3.0 в браузере см. Как отключить SSL 3.0 в браузере

Для большинства домашних пользователей будет достаточно

Вместо SSL 3.0 Вы должны включить поддержку TLS — более совершенной версии протокола защищённого соединения.

Статья https://technet.microsoft.com/library/security/3009008 более подробна, но она на только на английском пока.

SSL 3.0 и SSL 2.0 устарели и применяются только для совместимости, когда использование TLS даёт ошибку. Большинство вендоров и так готовились к его упразднению. События немного опередили ожидаемое.

TLS 1.0, однако, тоже устарел и не отвечает необходимым требованиям.

Уязвимость протокола TLS 1.0 была продемонстрирована ещё на конференции Ekoparty в сентябре 2011 г.

В настоящее время для безопасного соединения нужно использовать TLS 1.2 или TLS 1.1

Не все сайты удовлетворяют этому требованию.

Например, чтобы зайти на Answers (с авторизацией), Вы должны включить TLS 1.0. Если отключить TLS 1.0, тогда надо включить SSL 3.0. Иначе – никак.

«Poodle» — такая штука, которая заставит переделать весь Интернет ( ну, или почти весь :-))

Время прочтения
2 мин

Просмотры 98K

В этом кратком обзоре я хотел бы поделиться своим опытом, как отключить проверку SSL для тестовых сайтов, иначе говоря, как сделать HTTPS сайты доступными для тестирования на локальных машинах.

В современное время https протокол становится все популярней, у него масса плюсов и достоинств, что хорошо. Правда для разработчиков он может вызывать легкий дискомфорт в процессе тестирования.

Всем известно, что при посещении сайта у которого “временно” что-то случилось c сертификатом вы обнаружите предупреждение, которое показывается, если сертификат безопасности не является доверенным net::ERR_CERT_AUTHORITY_INVALID?

Привет онлайн-кинотеатрам

Все современные браузеры показывают сообщение об ошибке HSTS

Самый простой способ обхода данного запрета — это, разумеется, нажатие на вкладку “Дополнительные” и согласиться с Небезопасным режимом.

Но не во всех браузерах как оказывается, есть данная возможность. Так я столкнулся с данной проблемой в Chrome на Mac OS

Разработчики данной операционной системы настолько обеспокоены безопасностью пользователей, что даже убрали доступ в «Небезопасном режиме» к сайту, несмотря на то, что это сайт владельца устройства.

Ну что ж, поскольку, вести разработку в других, более сговорчивых браузерах было не комфортно, вот способы как обойти эту проблему:

— Все хромоподобные браузеры (Chrome, Opera, Edge …) могут открыть небезопасную веб страницу, если на английской раскладке клавиатуры набрать фразу:

thisisunsafe

прямо на данной веб странице. Это даст возможность работать с сайтом без оповещение об ошибке на момент текущей сессии браузера, пока вы не закроете вкладку Chrome.

— Если же вам предстоит более длительная работа с сайтом, то рекомендую для этих нужд создать отдельного тестового пользователя на рабочем столе и указать ему необходимы флаги.

Для Windows

C:Program Files (x86)GoogleChromeApplicationchrome.exe" --ignore-certificate-errors

Для Mac OS

/Applications/Google Chrome.app/Contents/MacOS/Google Chrome --ignore-certificate-errors --ignore-urlfetcher-cert-requests &> /dev/null

Achtung! Данные манипуляции необходимо выполнять с выключенным Chrome приложением, иначе чуда не произойдет.

Если вы оставите сертификат ненадежным, то некоторые вещи не будут работать. Например, кэширование полностью игнорируется для ненадежных сертификатов.

Браузер напомнит, что вы находитесь в небезопасном режиме. Поэтому крайне не рекомендуется шастать по злачным сайтам Интернета с такими правами доступами.

*Так же есть метод с добавлением сертификатов тестируемого сайта в конфиги браузера Настройки->Безопасность->Настроить сертификаты->Импорт… но мне он показался не продуктивным и очень муторным, поэтому не привожу

Надеюсь моя краткая статья кому-то пригодится при разработке и тестировании сайтов =)

Способ 1: Настройка времени и даты на компьютере

Проблемы с сертификатом безопасности при просмотре страниц в интернете могут возникать по причине некорректной настройки времени и даты на компьютере. Необходимо проверить эти параметры и при необходимости внести изменения. На нашем сайте есть отдельные статьи, в которых подробно описаны все действия, необходимые для реализации задуманного.

Подробнее: Как изменить время / дату на компьютере

Обратите внимание! В руководствах все действия выполняются на примере Windows 10 и 7, но они применимы и к другим версиям операционной системы.

Способ 2: Обновление корневых сертификатов

Корневые сертификаты хранятся на диске с ОС Windows и необходимы для работы в сети, без наличия соответствующих файлов при открытии сайтов, работающих по протоколу HTTPS, будет появляться ошибка безопасности веб-узла. Для устранения проблемы потребуется установить на компьютере последние обновления.

Windows 10

Десятая версия операционной системы на момент написания настоящей статьи имеет активную поддержку, что означает систематический выход обновлений. При возможности рекомендуется устанавливать все доступные апдейты, чтобы предупредить возникновение множества ошибок. На нашем сайте есть тематическая статья, в которой пошагово описано, что нужно делать для проверки и установки обновлений.

Подробнее: Как обновить Windows 10 до актуального состояния

Также рекомендуется проверить настройки автообновления системы и при необходимости активировать эту опцию. Таким образом исчезнет нужда периодически проверять выход апдейтов вручную, все новые пакеты будут инсталлироваться в систему автоматически.

Подробнее: Как включить автообновление Windows 10

Windows 7

Поддержка Windows 7 закончилась 14 января 2020 года. Если при установке последнего пакета обновлений корневые сертификаты не были занесены в систему, потребуется это сделать вручную, скачав соответствующий апдейт с официального сайта Microsoft:

Каталог центра обновлений Microsoft

1. Перейдите по ссылке, размещенной выше. Находясь на главной странице сайта, впишите в поисковую строку запрос KB2813430 и кликните по кнопке «Найти».

   

   

2. В появившейся таблице с результатами отсортируйте данные по столбцу «Продукты», нажав по его названию левой кнопкой мыши.

   

3. Найдите в списке операционную систему Windows 7 нужной разрядности и щелкните по кнопке «Загрузить», расположенной напротив нее.

   

4. В появившемся окне подтвердите начало скачивания, кликнув по соответствующей ссылке.

   

5. Запустите загруженный на компьютер файл и выполните инсталляцию пакета обновлений, следуя подсказкам Мастера, появляющимся на экране.

   

Важно! На этапе выбора обновления для загрузки нужно обратить внимание на разрядность операционной системы. Если Windows 7 32-битная, следует выбрать файл с названием «Обновление для системы безопасности Windows 7 (KB2813430)». В случае использования 64-разрядной версии — «Обновление для системы безопасности Windows 7 для систем на базе 64-разрядных (x64) процессоров (KB2813430)».

Посмотреть информацию о системе можно в специальном меню на компьютере. В отдельной статье на сайте подробно рассказано, как это сделать.

Подробнее: Как определить разрядность операционной системы Windows 7

Способ 3: Ручная установка сертификатов

При обновлении корневых сертификатов путем установки апдейтов операционной системы могут быть сбои, из-за чего нужные файлы не попадут в Windows. В таком случае потребуется выполнить инсталляцию вручную с помощью предустановленной консольной программы certutil.exe. Для этого сделайте следующее:

1. Откройте «Командную строку» от имени администратора. Есть несколько способов сделать это, каждый из которых подробно описан в отдельной статье на нашем сайте.

   Подробнее: Как запустить «Командную строку» от имени администратора

   

2. После появления окна консоли впишите команду certutil.exe -generateSSTFromWU roots.sst и нажмите клавишу Enter.

   

3. Скачайте утилиту rootsupd.exe на компьютер, воспользовавшись ссылкой ниже. Откройте папку с загруженным архивом и извлеките его содержимое.

   Скачать rootsupd.exe

   Подробнее: Как извлечь файлы из архива с помощью WinRAR

   

4. В корневом каталоге диска C создайте папку с именем CA и переместите в нее исполняемый файл rootsupd.exe. Перейдите по пути C:WindowsSystem32, найдите документ roots.sst и скопируйте его в ту же директорию CA.
5. Откройте «Командную строку» от имени администратора и впишите следующую команду:

   C:CArootsupd /c /t:C:CA

   В появившемся окне утилиты нажмите по кнопке No, чтобы не перезаписывать уже существующий файл сертификатов безопасности.

   

6. В директории CA после выполнения предыдущего шага появятся дополнительные утилиты, с помощью которых можно выполнить установку корневых сертификатов. Для этого в «Командной строке» впишите следующее:

   C:CAupdroots.exe C:CAroots.sst
   

Обратите внимание, что после ввода команды нет никакой выдачи — это нормально, операция по установке все равно выполнится.

Внимание! После завершения всех действий загруженные файлы и созданные папки можно удалить с жесткого диска, они были необходимы исключительно для импорта корневых сертификатов в операционную систему.

Способ 4: Проверка системы на наличие вирусов

Вызвать сбой в работе браузера могут попавшие в операционную систему вирусы. Необходимо с помощью специального программного обеспечения выполнить поиск и удаление вредного кода. При этом рекомендуется воспользоваться решениями от сторонних разработчиков, так как встроенная защита Windows способна обнаружить не все вирусные угрозы. На нашем сайте есть статья, посвященная этой теме.

Подробнее: Как удалить вирусы с компьютера под управлением Windows 10

Также рекомендуется ознакомиться со списком популярных антивирусных программ. В отдельной статье представлены лучшие приложения с их кратким описанием. Это поможет выбрать наиболее подходящее решение для обеспечения защиты компьютера.

Подробнее: Приложения для удаления вирусов с компьютера

Способ 5: Отключение антивирусной программы

Доступ к файлам сертификата может блокировать антивирус, установленный на компьютере. Стоит отметить, что речь идет о стороннем программном обеспечении, встроенный «Защитник Windows» делать этого не может. Необходимо временно отключить приложение, чтобы проверить его влияние на работу сайтов в браузере. В случае обнаружения этой зависимости следует удалить программу полностью.

На нашем сайте есть статьи, посвященные теме отключения и удаления наиболее распространенных антивирусных программ. В них подробно описаны все действия по выполнению поставленной задачи с приложенными изображениями.

Подробнее: Как отключить / удалить антивирус с компьютера

Способ 6: Изменение параметров браузера Internet Explorer

Если ошибка сертификата безопасности веб-узла появляется при серфинге интернета в браузере Internet Explorer, то устранить проблему можно путем изменения его параметров. Необходимо сделать следующее:

1. Запустите браузер и нажмите по кнопке в виде шестерни, расположенной на верхней панели справа. В появившемся меню кликните по пункту «Свойства браузера».
   
2. В новом окне откройте вкладку «Дополнительно» и в списке параметров снимите отметку с пункта «Предупреждать о несоответствии адреса сертификата». Нажмите «Применить», а затем «ОК».

   

3. Перезагрузите страницу сайта, на котором появилась ошибка.

Способ 7: Восстановление файла hosts

Файл hosts в Windows отвечает за корректную адресацию пользователя в сети интернет. Если он был модифицирован по ошибке или путем использования вредоносного программного обеспечения, необходимо произвести восстановление. Сделать это можно вручную или с помощью специального приложения. Дальше будет рассмотрен второй вариант, поэтому предварительно скачайте и установите утилиту AVZ.

Скачать AVZ

После запуска программы для восстановления файла hosts сделайте следующее:

1. На верхней панели откройте меню «Файл» и нажмите по пункту «Восстановление системы».
   
2. В появившемся окне установите отметку напротив пункта «Очистка файла Hosts», после этого кликните по кнопке «Выполнить отмеченные операции».

   

3. Подтвердите действие во всплывающем диалоговом окне, щелкнув по кнопке «Да».

   

Способ 8: Обновление браузера

Разработчиками браузеров периодически выпускаются обновления, которые видоизменяют базу сертификатов. Если вовремя их не устанавливать, то при переходе на сайты с протоколом HTTPS может появиться ошибка безопасности веб-узла. Необходимо проверить и при необходимости инсталлировать новые апдейты веб-обозревателя. На нашем сайте есть подробное руководство, как это сделать в разных браузерах.

Подробнее: Как обновить популярные браузеры

Способ 9: Удаление установленных дополнений

На корректную работу браузера влияют установленные в нем расширения. Некоторые разработчики этого программного обеспечения могут навредить, заблокировав доступ проводнику к сертификатам безопасности. В этом случае рекомендуется удалить сторонние дополнения. Для каждого браузера эти действия выполняются по-разному, но у нас на сайте есть серия статей, посвященная данной теме.

Подробнее: Как удалить расширения в браузере Mozilla Firefox / Google Chrome / Opera / Яндекс.Браузе

Важно! Если среди представленных статей нет той, где рассматривается ваш браузер, рекомендуется обратиться к инструкции для Google Chrome. Многие веб-обозреватели работают на его основе, поэтому руководства будут схожи.

Способ 10: Очиска кэша

В процессе серфинга интернета браузер собирает дополнительную информацию и хранит в своей внутренней базе — в кэше. Если туда попадают конфликтные данные, они могут вызвать ошибки, в числе которых и рассматриваемая в этой статье. Необходимо выполнить очистку кэша, чтобы исключить этот вариант. На сайте есть инструкции для разных браузеров.

Подробнее: Как очистить кэш в браузере Mozilla Firefox / Google Chrome / Opera / Яндекс.Браузере

Внимание! Проводить чистку браузера рекомендуется систематически. Это предупредит появление критических ошибок и поспособствует увеличению скорости работы программы.

Способ 11: Переустановка браузера

Если удаление расширений и очистка кэша не помогли в решении проблемы, необходимо переустановить браузер. Эта процедура позволит избавиться от всех возможных причин, которые вызывают ошибку сертификата безопасности. Важно при этом скачивать установочный файл обозревателя с официального ресурса разработчика, чтобы не занести в операционную систему вредоносную программу. На нашем сайте есть статья, в которой рассказано, как это сделать на примере всех известных браузеров.

Подробнее: Как правильно переустановить браузер на компьютере

Этот сайт не может обеспечить безопасное соединение.
Сайт sitename.ru отправил недействительный ответ.
ERR_SSL_PROTOCOL_ERROR.

 Этот сайт не может обеспечить безопасное соединение.
На сайте sitename.ru используется неподдерживаемый протокол.
ERR_SSL_VERSION_OR_CIPHER_MISMATCH.

Secure Connection Failed

Ответ

Как вы уже вероятно поняли, проблема связана с проблемами при SSL взаимодействии между вашим компьютеров и HTTPS сайтом. Причины такой ошибки могут быть довольно разные. В этой статье я попробовал собрать все методы исправления ошибки «Этот сайт не может обеспечить безопасное соединение» (This site can’t provide a secure connection, ERR_SSL_PROTOCOL_ERROR) в различных браузерах.

Сразу хочется отметить, что несмотря на то, что браузеры Google Chrome, Opera, Яндекс Браузер и Edge выпускаются разными компаниями, на самом деле все эти браузеры основаны на одном и том же движке — WebKit (Chromium) и проблема с ошибками при открытии HTTPS сайтов в них решается одинаково.

В первую очередь нужно убедиться, что проблема не на стороне самого HTTPS сайта. Попробуйте открыть его с других устройств (телефон, планшет, домашний/рабочий компьютер и т.д.). Также проверьте, открывается ли в других браузерах, например, IE/Edge или Mozilla Firefox. В Firefox похожая ошибка обсуждалась в статье Ошибка при установлении защищённого соединения в Mozilla Firefox.

Очистите в брайзере кэш и куки, сбросьте SSL кэш

Кэш и куки браузера могут быть частой причиной возникновения ошибок с SSL сертификатами. Рекомендуем сначала очистить в браузере кэш и куки. В Chrome нужно нажать сочетание клавиш Ctrl + Shift + Delete, выберите промежуток времени (Все время) и нажмите кнопку очистки данных (Удалить данные / Clear Data).

Чтобы очистить SSL кэш в Windows:

1. Перейдите в раздел Панель управления -> Свойства браузера;
2. Щелкните по вкладке Содержание;
3. Нажмите на кнопку Очистить SSL (Clear SSL State);
4. Должно появится сообщение “SSL-кэш успешно очищен”;
5. Осталось перезапустить браузер и проверить, осталась ли ошибка ERR_SSL_PROTOCOL_ERROR.

Отключите сторонние расширения в браузере

Рекомендуем отключить (удалить) сторонние расширения браузера, особенно всякие анонимайзеры, прокси, VPN, расширения антивируса и другие подобные Addon-ы, которые могут вмешиваться в прохождение трафика до целевого сайта. Посмотреть список включенных расширения в Chrome можно, перейдя в Настройки -> Дополнительные инструменты -> Расширения, или перейдя на страницу
chrome://extensions/
. Отключите все подозрительные расширения.

Проверьте настройки антивируса и файрвола

Если на вашем компьютере установлены антивирусная программа или межсетевой экран (часто он встроен в антивирус), возможно доступ к сайту блокируется именно ими. Чтобы понять, ограничивают ли доступ к сайту антивирусы или файрволы, попробуйте на время приостановить их работу.
Во многих современных антивирусах по-умолчанию присутствует модуль проверки SST/TLS сертификатов сайтов. Если антивирус обнаружит, что сайт использует недостаточно защищенный (или самоподписанный) сертификат или устаревшую версию протокола SSL (тот же SSL 3.0 или TLS 1.0), доступ к пользователя к такому сайту может быть ограничен. Попробуйте отключить сканирование HTTP/HTTPS трафика и SSL сертификатов. В различных антивирусах эта опция может называть по-разному. Например:

Проверьте настройки даты и времени

Неправильная дата и время (и часового пояса) на компьютере также может быть причиной ошибки при установке защищенного соединения с HTTPS сайтами. Ведь при выполнении аутентификации система проверяет срок создания и дату истечения сертификата сайта и вышестоящего центра сертификации.

Проверьте что у вас установлено правильно время и часовой пояс. Если время постоянно сбивается – смотри статью “Сбивается время на компьютере при выключении: что делать?”.

Обновите корневые сертификаты Windows

Если ваш компьютер находится в изолированном сегменте, давно не обновлялся или на нем совсем отключена служба автоматического обновления, на вашем компьютере могут отсутствовать новые корневые доверенные сертификаты (TrustedRootCA). Рекомендуем выполнить обновление системы: установить последние обновления безопасности и обновления часовых поясов.

Вы можете вручную обновить корневые сертификаты по статье: Как вручную обновить корневые сертификаты в Windows (так же рекомендуем проверить хранилище сертификатов на предмет недоверенных сертификатов, это позволит предотвратить перехват вашего HTTPs трафика и ряд других проблем).

Отключите поддержку протокола QUIC

Проверьте, не включена ли в Chrome поддержка протокола QUIC (Quick UDP Internet Connections). Протокол QUIC позволяет гораздо быстрее открыть соединение и согласовать все параметры TLS (HTTPs) при подключении к сайту. Однако в некоторых случая он может вызывать проблемы с SSL подключениями. Попробуйте отключить QUIC:

1. Перейдите на страницу: chrome://flags/#enable-quic;
2. Найдите опцию Experimental QUIC protocol;
3. Измените значение опции Default на Disabled;
4. Перезапустите Chrome.

Проверьте версии протоколов TLS, поддерживаемых вашим браузером и сайтом

Проверьте, какие версии протоколов TLS/SSL и методы шифрования (Cipher Suite ) поддерживаются вашим браузером. Для этого просто откройте веб страницу https://clienttest.ssllabs.com:8443/ssltest/viewMyClient.html

Онлайн сервис SSL Labs вернет список протоколов и методов шифрования, которые поддерживает ваш блаузер. Например, в моем примере Chrome поддерживает TLS 1.3 и TLS 1.2. Все остальные протоколы (TLS 1.1, TLS 1.0, SSL3 и SSL 2) отключены.

Чуть ниже указан список поддерживаемых методов шифрования.

Cipher Suites (in order of preference)

• TLS_AES_128_GCM_SHA256
• TLS_CHACHA20_POLY1305_SHA256
• TLS_AES_256_GCM_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
• TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
• TLS_RSA_WITH_AES_128_GCM_SHA256
• TLS_RSA_WITH_AES_256_GCM_SHA384
• TLS_RSA_WITH_AES_128_CBC_SHA
• TLS_RSA_WITH_AES_256_CBC_SHA

Затем проверьте список протоколов TLS/SSL, которые поддерживает ваш сайт. Для этого воспользуйтесь онлайн сервисом проверки SSL
https://www.ssllabs.com/ssltest/analyze.html?d=domain.ru
(замените
domain.ru
на адрес сайта, который вы хотите проверить).

Проверьте, все ли версии TLS/SSL поддерживаемые сайтом доступны в вашем браузере.

В этом примере видно, что сайт не поддерживает TLS 3.1 и SSL3/2. Аналогично сравните список Cipher Suite.

Если метод шифрования не поддерживается вашим браузером, возможно нужно включить его в Windows.

Если сайт не поддерживает SSL протоколы, которые требует использовать клиент, то при подключении вы увидите ошибку “ Этот сайт не может обеспечить безопасное соединение”.

Включите поддержку старых версий протоколов TLS и SSL

И самый последний пункт. Cкорее всего для решения проблемы вам достаточно будет включить поддержку старых версий протоколов TLS и SSL. В большинстве случае он окажется самым эффективным, но я намеренно перенес его в конец статьи. Объясню почему.

Старые версии протоколов TLS и SSL отключены не по простой прихоти разработчиков, а в связи с наличием большого количества уязвимостей, которые позволяют злоумышленникам перехватить ваши данные в HTTPS трафике и даже видоизменить их. Бездумное включение старых протоколов существенно снижает вашу безопасность в Интернете, поэтому к этому способу нужно прибегать в последнюю очередь, если все другое точно не помогло.

Современные браузеры и ОС уже давно отказались от поддержки устаревших и уязвимых протоколов SSL/TLS (SSL 2.0, SSL 3.0 и TLS 1.1). Стандартном сейчас считаются TLS 1.2 и TLS 1.3

Если на стороне сайта используется более старая версия протокола SSL/TLS, чем поддерживается клиентом/браузером, пользователь видит ошибку установки безопасного подключения ERR_SSL_VERSION_OR_CIPHER_MISMATCH. Такая ошибка появляется, если клиент на этапе TLS Handshake обнаружил, что на сайте используется протокол шифрования или длина ключа, которая не поддерживается вашим браузером. Выше мы показали, как определить набор протоколов и шифров, поддерживаемых сервером.

Чтобы разрешить использовать старые версии протоколов SSL/TLS в Windows (еще раз отмечаю – это небезопасно!):

1. Откройте Панель Управления -> Свойства браузера;
2. Перейдите на вкладку Дополнительно;
3. Включите опции TLS 1.0, TLS 1.1 и TLS 1.2 (если не помогло, включите также SSL 3.0,2.0).
4. Перезапустите браузер.

Если все рассмотренные способы не помогли избавиться от ошибки «Этот сайт не может обеспечить безопасное соединение» также попробуйте:

1. 1. Проверить, что в файле C:WindowsSystem32driversetchosts отсутствуют статические записи. Файл hosts может использоваться в Windows в том числе для блокировки доступа к сайтам. Выведите содержимое файла hosts с помощью PowerShell:
      Get-Content $env:SystemRootSystem32Driversetchosts
   2. Попробуйте использовать публичные DNS сервера, например – DNS сервер Google. В настройках сетевого подключения в качестве предпочитаемого DNS сервера укажите IP адрес 8.8.8.8;
   3. В Панели управления -> свойства браузера, убедитесь, что для зоны Интернет выбрана уровень безопасности Выше среднего или Средний. Если выбрана зона Высокий, некоторые SSL подключения могут блокироваться браузером.
   4. Возможно проблема связана с сертификатом сайта. Проверьте его с помощью онлайн утилит SSL Checker;
   5. Если на компьютере используется VPN или задан прокси сервер в Windows, попробуйте отключите их;
   6. В тестовых целях, если вам нужно быстро просмотреть содержимое сайта, можно отключить ошибки проверки SSL сертификатов в Chrome. Для этого нужно запустить его с параметром —ignore-certificate-errors:
      "C:Program Files (x86)GoogleChromeApplicationchrome.exe" --ignore-certificate-errors
      (не работайте в таком режиме постоянно и не отправляйте конфиденциальные данные пароли/кредитки в такой сессии);
   7. В Chrome проверьте, включен ли протокол TLS 1.3. В адресной строке перейдите в раздел настроек chrome://flags, С помощью поиска найдите параметр TLS 1.3. Убедитесь, что он включен (Enabled) или находится в состоянии Default. Если отключен – его нужно включить;
   8. Если у вас используется одна из старых версий ОС (Windows XP или Windows 7), установите вместо Chrome браузер Mozilla Firefox. В отличии от движков на базе Chromium, Mozilla не использует собственные модули реализации протоколов шифрования SSL/TLS, а не встроенные в Windows.

Отключение PCT 1.0, SSL 2.0, SSL 3.0 и TLS 1.0 в службах IIS в Windows

Набор серверов и сетевых служб IIS (Internet Information Services) от Microsoft, как известно, использует для защиты соединения между сервером и клиентом различные криптографические протоколы, такие как SSL, TLS и PCT. Самым актуальным из них является TLS. В этой статье разберём, как отключить ненужные нам протоколы в IIS.

Как должно быть понятно из названия, смысл криптографических протоколов в повышении защиты передаваемой информации от перехвата. В криптографических протоколах время от времени находят уязвимости, это приводит к разработке новых стандартов этих самых протоколов. К сожалению, моментально перейти на новый протокол нельзя из-за соображений обратной совместимости. Тем не менее, разработчики ПО постепенно внедряют в свои творения поддержку новых протоколов. Таким образом, иногда целесообразно отключать старые протоколы, если они уже не используются.

В операционных системах семейства Windows управление поддержкой протоколов PCT/SSL/TLS осуществляется на уровне реестра. Нас интересует ветка HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocols. В ней вы можете увидеть следующие подразделы:

Наличие или отсутствие подразделов зависит от версии операционной системы. Отсутствующие подразделы и параметры в них можно добавить.

Подразделы с именами протоколов, в свою очередь, содержат подразделы Client и Server с настройками, как ни странно, клиента и сервера.

В настройках клиента и сервера можно прописать параметры DisabledByDefault (выключен по умолчанию) и Enable (включен), которые и отвечают за использование криптографических протоколов. Тип параметров DWORD (32 бита), значения, которые они могут принимать: 0 и 1.

Настройки протокола SSL 2.0 в Windows.

Немного о значениях:

Может показаться, что параметры дублируют друг друга, но в них есть различия. Если говорить в двух словах, параметр DisabledByDefault это более мягкий вариант отключения, который допускает исключения для приложений. А вот Enable — более жесткий параметр. Enable имеет приоритет над DisabledByDefault, т.е. Enable = 0 отключит протокол, несмотря на DisabledByDefault = 0.

Таким образом вы можете включить или выключить любой из перечисленных протоколов. Например, если мы хотим отключить протоколы SSL 2.0 и SSL 3.0, то нужно создать в ветке HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocols подразделы SSL 2.0 и SSL 3.0 (при отсутствии), в них подразделы Client и Server (также при отсутствии), а там создать или отредактировать параметры DisabledByDefault (в значении 1 для отключения) и Enable (в значении 0 для отключения) в зависимости от того, насколько «жёстко» мы хотим запретить протоколы.

Похожим образом можно включить поддержку более новых криптографических протоколов. Например, в Windows 7 и Windows Server 2008 R2, которые всё ещё весьма распространены, по умолчанию отключены протоколы TLS 1.1 и TLS 1.2. Для их включения нужно создать одноимённые подразделы в реестре с соответствующими настройками.

Включаем по умолчанию TLS 1.2 в Windows 7.

Для применения параметров нужно перезагрузить систему.

Напоследок отметим, что выставленные параметры применяются только для ПО, которое использует системные API. Если программа имеет собственные средства криптографии, то её нужно настраивать отдельно.

Источник

Обходим проверку сертификата SSL

В этом кратком обзоре я хотел бы поделиться своим опытом, как отключить проверку SSL для тестовых сайтов, иначе говоря, как сделать HTTPS сайты доступными для тестирования на локальных машинах.

В современное время https протокол становится все популярней, у него масса плюсов и достоинств, что хорошо. Правда для разработчиков он может вызывать легкий дискомфорт в процессе тестирования.

Всем известно, что при посещении сайта у которого “временно” что-то случилось c сертификатом вы обнаружите предупреждение, которое показывается, если сертификат безопасности не является доверенным net::ERR_CERT_AUTHORITY_INVALID?

Все современные браузеры показывают сообщение об ошибке HSTS

Самый простой способ обхода данного запрета — это, разумеется, нажатие на вкладку “Дополнительные” и согласиться с Небезопасным режимом.

Но не во всех браузерах как оказывается, есть данная возможность. Так я столкнулся с данной проблемой в Chrome на Mac OS

Разработчики данной операционной системы настолько обеспокоены безопасностью пользователей, что даже убрали доступ в «Небезопасном режиме» к сайту, несмотря на то, что это сайт владельца устройства.

Ну что ж, поскольку, вести разработку в других, более сговорчивых браузерах было не комфортно, вот способы как обойти эту проблему:

— Все хромоподобные браузеры (Chrome, Opera, Edge …) могут открыть небезопасную веб страницу, если на английской раскладке клавиатуры набрать фразу:

прямо на данной веб странице. Это даст возможность работать с сайтом без оповещение об ошибке на момент текущей сессии браузера, пока вы не закроете вкладку Chrome.

— Если же вам предстоит более длительная работа с сайтом, то рекомендую для этих нужд создать отдельного тестового пользователя на рабочем столе и указать ему необходимы флаги.

Achtung! Данные манипуляции необходимо выполнять с выключенным Chrome приложением, иначе чуда не произойдет.

Если вы оставите сертификат ненадежным, то некоторые вещи не будут работать. Например, кэширование полностью игнорируется для ненадежных сертификатов.

Браузер напомнит, что вы находитесь в небезопасном режиме. Поэтому крайне не рекомендуется шастать по злачным сайтам Интернета с такими правами доступами.

*Так же есть метод с добавлением сертификатов тестируемого сайта в конфиги браузера Настройки->Безопасность->Настроить сертификаты->Импорт… но мне он показался не продуктивным и очень муторным, поэтому не привожу

Надеюсь моя краткая статья кому-то пригодится при разработке и тестировании сайтов =)

Источник

Как отключить SSL 3.0 в браузере

Технический уровень : Средний

Найдена уязвимость в протоколе SSL 3.0.

Рекомендуется отключить поддержку протокола SSL 3.0 во всех браузерах.

14 октября 2014 г. инженеры Google опубликовали описание уязвимости в протоколе SSL 3.0, который используется для соединения с сервером. Уязвимость получила название «Poodle» и обозначение CVE-2014-3566.

Microsoft рекомендует отключить поддержку SSL 3.0

Microsoft выпустила автоматическое средство Fix it 51024 для отключения поддержки SSL 3.0 в Internet Explorer.

Microsoft объявляет о том, что поддержка SSL 3.0 будет выключена в настройках по-умолчанию браузера Internet Explorer, а так же во всех on-line сервисах Microsoft, в ближайшее время.

Вы можете выполнить отключение SSL 3.0 в браузере Internet Explorer самостоятельно.

Для отключения откройте меню «Сервис» (можно нажать шестерёнку справа вверху), затем «Свойства браузера» или откройте апплет «Свойства браузера» в «Панели управления» на рабочем столе.

В окне свойств перейдите на вкладку «Дополнительно».

В секции «Безопасность» отключите поддержку SSL и включите поддержку TLS 1.0, TLS 1.1 и TLS 1.2.

UPDATE : В настоящее время рекомендуется отключить поддержку всех устаревших протоколов и включить только TLS 1.2

Нажмите применить и ОК.

Следует иметь ввиду, что некоторые сайты не будут работать правильно с отключенной поддержкой SSL.

Пользователям других браузеров также стоит отключить поддержку SSL 3.0 во всех браузерах по инструкциям к соответствующим программам.

Если на компьютере установлена JAVA, то следует также отключить поддержку SSL 3.0 в JAVA

Откройте JAVA Control Panel и отключите SSL 3.0

Необходимо перезапустить браузер с новыми настройками, чтобы они начали действовать.

Статья KB3013210 описывает, как включить предупреждение о небезопасном переключении из Internet Explorer из TLS 1.0 в SSL 3.0 или более ранние версии. Предупреждение позволит предупредить атаку злоумышленника вида «человек посередине». По умолчанию такая возможность выключена. Однако, Вы можете включить опцию самостоятельно одним из следующих способов:

Изменения, описанные в статье KB3013210, включены в December cumulative security update for Internet Explorer (MS14-080)

Установите накопительное обновление безопасности KB3008923 для Internet Explorer через «Центр обновления Windows».

Чтобы внести изменения самостоятельно с помощью редактора реестра, выполните следующие шаги:

Предупреждение : выполняйте действия с максимальной осторожностью. При неправильных изменениях в реестре система может быть повреждена.

Запустите редактор реестра.

Найдите и выберите подраздел
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings

Напечатайте EnableSSL3Fallback, а затем нажмите клавишу «Ввод».

Щёлкните в окне справа параметр EnableSSL3Fallback правой кнопкой мыши, нажмите «Изменить».

Установите необходимое значение параметра EnableSSL3Fallback и нажмите «ОК».

Если Вы хотите заблокировать небезопасное переключение для всех сайтов, установите значение 0 (наиболее безопасно).

Если Вы хотите заблокировать небезопасное переключение для сайтов, открываемых в защищённом режиме, установите значение 1.

Если Вы не хотите блокировать небезопасное переключение, установите значение 3 (минимальная безопасность).

Источник

Отключение SSL 3.0 в Windows.

Технический уровень : Средний

Найдена уязвимость в протоколе SSL 3.0, получившая название «Poodle».

Протокол SSL 3.0 больше нельзя использовать.

14 октября 2014 г. было опубликовано описание уязвимости в протоколе SSL 3.0, которую назвали «Poodle».

Уязвимость получила обозначение CVE-2014-3566.

Исследователи пришли к заключению, что протокол SSL 3.0 не может больше использоваться без риска раскрытия данных.

Microsoft рекомендует отключить поддержку SSL 3.0 в Windows и в браузере Internet Explorer.

Microsoft также объявила о том, что в ближайшее время будет выключена поддержка SSL 3.0 во всех on-line сервисах Microsoft.

Для отключения SSL 3.0 в Windows выполните следующие действия:

Если такого ключа не существует, то нужно создать новый типа REG_DWORD (32 бита).

Измените его значение на 0.

После изменения значения в реестре перезагрузите компьютер.

Это временное решение отключит SSL 3.0 во всём серверном ПО, установленном в системе, включая IIS.

После отключения клиенты, полагающиеся только на SSL 3.0, не смогут больше подключаться к серверу.

Для клиентского ПО

Нажмите «Пуск», «Выполнить», напечатайте «regedit«, нажмите «ОК».

В редакторе реестра найдите ключ

Если такого ключа не существует, то нужно создать новый типа REG_DWORD (32 бита).

Измените его значение на 0.

После изменения значения в реестре перезагрузите компьютер.

Это временное решение отключит SSL 3.0 во всём клиентском ПО, установленном в системе.

После отключения клиентские приложения не смогут больше подключаться к другим серверам, полагающимся только на SSL 3.0

Для выполнения изменений в реестре нужно иметь права администратора.

См. также:

Была ли эта статья полезной?

К сожалению, это не помогло.

Отлично! Благодарим за отзыв.

Насколько вы удовлетворены этой статьей?

Благодарим за отзыв, он поможет улучшить наш сайт.

Насколько вы удовлетворены этой статьей?

Благодарим за отзыв.

Комментарии (2) 

Был ли этот комментарий полезным?

К сожалению, это не помогло.

Отлично! Благодарим за отзыв.

Насколько вы удовлетворены этим комментарием?

Благодарим за отзыв, он поможет улучшить наш сайт.

Насколько вы удовлетворены этим комментарием?

Благодарим за отзыв.

Oб отключении SSL 3.0 в браузере см. Как отключить SSL 3.0 в браузере

Для большинства домашних пользователей будет достаточно

Вместо SSL 3.0 Вы должны включить поддержку TLS — более совершенной версии протокола защищённого соединения.

Статья https://technet.microsoft.com/library/security/3009008 более подробна, но она на только на английском пока.

SSL 3.0 и SSL 2.0 устарели и применяются только для совместимости, когда использование TLS даёт ошибку. Большинство вендоров и так готовились к его упразднению. События немного опередили ожидаемое.

TLS 1.0, однако, тоже устарел и не отвечает необходимым требованиям.

Уязвимость протокола TLS 1.0 была продемонстрирована ещё на конференции Ekoparty в сентябре 2011 г.

В настоящее время для безопасного соединения нужно использовать TLS 1.2 или TLS 1.1

Не все сайты удовлетворяют этому требованию.

Например, чтобы зайти на Answers (с авторизацией), Вы должны включить TLS 1.0. Если отключить TLS 1.0, тогда надо включить SSL 3.0. Иначе – никак.

Источник

Управление протоколами SSL/TLS и комплектами шифров для AD FS Managing SSL/TLS Protocols and Cipher Suites for AD FS

В следующей документации содержатся сведения о том, как отключить и включить определенные протоколы TLS/SSL и комплекты шифров, используемые AD FS The following documentation provides information on how to disable and enable certain TLS/SSL protocols and cipher suites that are used by AD FS

TLS/SSL, SChannel и комплекты шифров в AD FS TLS/SSL, SChannel, and Cipher Suites in AD FS

Протоколы TLS и SSL (SSL) обеспечивают безопасность обмена данными. The Transport Layer Security (TLS) and Secure Sockets Layer (SSL) are protocols that provide for secure communications. Службы федерации Active Directory (AD FS) использует эти протоколы для обмена данными. Active Directory Federation Services uses these protocols for communications. В настоящее время существует несколько версий этих протоколов. Today several versions of these protocols exist.

Schannel — это поставщик поддержки безопасности (SSP), реализующий стандартные протоколы проверки подлинности SSL, TLS и DTLS Internet. Schannel is a Security Support Provider (SSP) that implements the SSL, TLS and DTLS Internet standard authentication protocols. Интерфейс поставщика поддержки безопасности (SSPI) является интерфейсом API, используемым системами Windows для выполнения функций, связанных с безопасностью, включая проверку подлинности. The Security Support Provider Interface (SSPI) is an API used by Windows systems to perform security-related functions including authentication. Интерфейс SSPI работает как общий интерфейс для нескольких поставщиков поддержки безопасности (SSP), включая поставщика SCHANNEL SSP. The SSPI functions as a common interface to several Security Support Providers (SSPs), including the Schannel SSP.

Комплект шифров — это набор алгоритмов шифрования. A cipher suite is a set of cryptographic algorithms. Реализация протокола TLS/SSL в ПОСТАВЩИКе SChannel использует алгоритмы из набора шифров для создания ключей и шифрования информации. The Schannel SSP implementation of the TLS/SSL protocols use algorithms from a cipher suite to create keys and encrypt information. Комплект шифров указывает один алгоритм для каждой из следующих задач: A cipher suite specifies one algorithm for each of the following tasks:

AD FS использует Schannel.dll для выполнения взаимодействия с безопасной связью. AD FS uses Schannel.dll to perform its secure communications interactions. В настоящее время AD FS поддерживает все протоколы и комплекты шифров, поддерживаемые Schannel.dll. Currently AD FS supports all of the protocols and cipher suites that are supported by Schannel.dll.

Управление протоколами TLS и SSL, а также комплектами шифров Managing the TLS/SSL Protocols and Cipher Suites

В этом разделе содержатся инструкции по изменению реестра. This section contains steps that tell you how to modify the registry. При неправильном изменении реестра могут возникнуть серьезные проблемы. However, serious problems might occur if you modify the registry incorrectly. Поэтому будьте внимательны и в точности следуйте инструкциям. Therefore, make sure that you follow these steps carefully.

Имейте в виду, что изменение параметров безопасности по умолчанию для канала SCHANNEL может привести к нарушению или предотвращению обмена данными между определенными клиентами и серверами. Be aware that changing the default security settings for SCHANNEL could break or prevent communications between certain clients and servers. Это происходит, если требуется безопасная связь и у них нет протокола для согласования связи с. This will occur if secure communication is required and they do not have a protocol to negotiate communications with.

При применении этих изменений они должны быть применены ко всем AD FSным серверам в ферме. If you are applying these changes, they must be applied to all of your AD FS servers in your farm. После применения этих изменений требуется перезагрузка. After applying these changes a reboot is required.

В сегодняшний день и возраст, усиление защиты серверов и удаление старых или слабых комплектов шифров становится основным приоритетом для многих организаций. In today’s day and age, hardening your servers and removing older or weak cipher suites is becoming a major priority for many organizations. Доступны пакеты программного обеспечения, которые проверяют серверы и предоставляют подробные сведения об этих протоколах и наборах. Software suites are available that will test your servers and provide detailed information on these protocols and suites. Чтобы сохранить соответствие требованиям или обеспечить безопасность, удаление или отключение более слабых протоколов или наборов шифров стало необходимостью. In order to remain compliant or achieve secure ratings, removing or disabling weaker protocols or cipher suites has become a must. В оставшейся части этого документа содержатся инструкции по включению и отключению определенных протоколов и комплектов шифров. The remainder of this document will provide guidance on how to enable or disable certain protocols and cipher suites.

Приведенные ниже разделы реестра расположены в том же расположении: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocols. The registry keys below are located in the same location: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocols. Используйте Regedit или PowerShell, чтобы включить или отключить эти протоколы и комплекты шифров. Use regedit or PowerShell to enable or disable these protocols and cipher suites.

Включение и отключение SSL 2,0 Enable and Disable SSL 2.0

Используйте следующие разделы реестра и их значения для включения и отключения SSL 2,0. Use the following registry keys and their values to enable and disable SSL 2.0.

Включение SSL 2,0 Enable SSL 2.0

Отключение SSL 2,0 Disable SSL 2.0

Отключение SSL 2,0 с помощью PowerShell Using PowerShell to disable SSL 2.0

Включение и отключение SSL 3,0 Enable and Disable SSL 3.0

Используйте следующие разделы реестра и их значения для включения и отключения SSL 3,0. Use the following registry keys and their values to enable and disable SSL 3.0.

Включение SSL 3.0 Enable SSL 3.0

Отключение SSL 3.0 Disable SSL 3.0

Отключение SSL 3,0 с помощью PowerShell Using PowerShell to disable SSL 3.0

Включение и отключение TLS 1,0 Enable and Disable TLS 1.0

Используйте следующие разделы реестра и их значения для включения и отключения TLS 1,0. Use the following registry keys and their values to enable and disable TLS 1.0.

Отключение TLS 1,0 приведет к разрыву WAP для AD FS доверия. Disabling TLS 1.0 will break the WAP to AD FS trust. При отключении TLS 1,0 необходимо включить строгую проверку подлинности для приложений. If you disable TLS 1.0 you should enable strong auth for your applications. См. раздел Включение строгой проверки подлинности See Enable Strong Authentication

Включение TLS 1,0 Enable TLS 1.0

Отключение TLS 1.0 Disable TLS 1.0

Отключение TLS 1,0 с помощью PowerShell Using PowerShell to disable TLS 1.0

Включение и отключение TLS 1,1 Enable and Disable TLS 1.1

Используйте следующие разделы реестра и их значения для включения и отключения TLS 1,1. Use the following registry keys and their values to enable and disable TLS 1.1.

Включение TLS 1,1 Enable TLS 1.1

Отключение TLS 1,1 Disable TLS 1.1

Отключение TLS 1,1 с помощью PowerShell Using PowerShell to disable TLS 1.1

Включение и отключение TLS 1.2 Enable and Disable TLS 1.2

Используйте следующие разделы реестра и их значения для включения и отключения TLS 1,2. Use the following registry keys and their values to enable and disable TLS 1.2.

Включите протокол TLS 1.2. Enable TLS 1.2

Отключение протокола TLS 1.2 Disable TLS 1.2

Отключение TLS 1,2 с помощью PowerShell Using PowerShell to disable TLS 1.2

Включение и отключение RC4 Enable and Disable RC4

Используйте следующие разделы реестра и их значения для включения и отключения RC4. Use the following registry keys and their values to enable and disable RC4. Разделы реестра для этого набора шифров находятся здесь: This cipher suite’s registry keys are located here:

Включить RC4 Enable RC4

Отключение версии-кандидата 4 Disable RC4

Регистрация с помощью PowerShell Using PowerShell

Включение или отключение дополнительных комплектов шифров Enabling or Disabling additional cipher suites

Некоторые определенные шифры можно отключить, удалив их из HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlCryptographyConfigurationLocalSSL0010002 You can disable certain specific ciphers by removing them from HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlCryptographyConfigurationLocalSSL0010002

Чтобы включить комплект шифров, добавьте его строковое значение в ключ многострочного значения функций. To enable a cipher suite, add its string value to the Functions multi-string value key. Например, если нужно включить TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521 то мы бы добавили его в строку. For example, if we want to enable TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521 then we would add it to the string.

Полный список поддерживаемых комплектов шифров см. в разделе комплекты шифров в TLS/SSL (Schannel SSP). For a full list of supported Cipher suites see Cipher Suites in TLS/SSL (Schannel SSP). Этот документ содержит таблицу наборов, включенных по умолчанию и поддерживаемых, но не включенных по умолчанию. This document provides a table of suites that are enabled by default and those that are supported but not enabled by default. Чтобы определить приоритеты для комплектов шифров, см. раздел Определение приоритетов для комплектов шифров SChannel. To prioritize the cipher suites see Prioritizing Schannel Cipher Suites.

Источник

Видео