Проблемы с протоколом TSL – Не удается безопасно подключиться к этой странице. Протокол TLS в Internet Explorer Windows 10 ненадежные параметры протокола tls ошибка

Протокол SSL TLS

Пользователи бюджетных организаций, да и не только бюджетных, чья деятельность напрямую связана с финансами, во взаимодействии с финансовыми организациями, например, Минфином, казначейством и т.д., все свои операции проводят исключительно по защищенному протоколу SSL. В основном, в своей работе они используют браузер Internet Explorer. В некоторых случаях Mozilla Firefox.

Компьютерные новости, обзоры, решение проблем с компьютером, компьютерными играми, драйверами и устройствами и другими компьютерными программами." title="программы, драйверы, проблемы с компьютером, играми" target="_blank">

Ошибка SSL

Основное внимание, при проведении данных операций, да и работе в целом, уделено системе защиты: сертификаты, электронные подписи. Для работы используется программное обеспечение КриптоПро актуальной версии. Что касается проблемы с протоколами SSL и TLS , если ошибка SSL появилась, вероятнее всего отсутствует поддержка данного протокола.

Ошибка TLS

Ошибка TLS во многих случаях также может указывать на отсутствие поддержки протокола. Но... посмотрим, что можно в этом случае сделать.

Поддержка протоколов SSL и TLS

Итак, при использовании Microsoft Internet Explorer, чтобы посетить веб-сайт по защищенному протоколу SSL, в строке заголовка отображается Убедитесь что протоколы ssl и tls включены . В первую очередь, необходимо включить поддержку протокола TLS 1.0 в Internet Explorer.

Если вы посещаете веб-сайт, на котором работает Internet Information Services 4.0 или выше, настройка Internet Explorer для поддержки TLS 1.0 помогает защитить ваше соединение. Конечно, при условии, что удаленный веб-сервер, который вы пытаетесь использовать поддерживает этот протокол.

Для этого в меню Сервис выберите команду Свойства обозревателя .

На вкладке Дополнительно в разделе Безопасность , убедитесь, что следующие флажки выбраны:

Использовать SSL 2.0
Использовать SSL 3.0
Использовать TLS 1.0

Нажмите кнопку Применить , а затем ОК . Перезагрузите браузер .

После включения TLS 1.0, попытайтесь еще раз посетить веб-сайт.

Системная политика безопасности

Если по-прежнему возникают ошибки с SSL и TLS , если вы все еще не можете использовать SSL, удаленный веб-сервер, вероятно, не поддерживает TLS 1.0. В этом случае, необходимо отключить системную политику , которая требует FIPS-совместимые алгоритмы.

Чтобы это сделать, в Панели управления выберите Администрирование , а затем дважды щелкните значок Локальная политика безопасности .

В локальных параметрах безопасности, разверните узел Локальные политики , а затем нажмите кнопку Параметры безопасности .

В соответствии с политикой в правой части окна, дважды щелкните Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хеширования и подписывания , а затем нажмите кнопку Отключено .

Внимание! Изменение вступает в силу после того, как локальная политика безопасности повторно применяется. То есть включите ее и перезапустите браузер .

КриптоПро TLS SSL

Обновить КриптоПро

Далее, как одним из вариантов решения проблемы, является обновление КриптоПро, а также настройка ресурса. В данном случае, это работа с электронными платежами. Поэтому, переходим на Удостоверяющий центр для автоматической настройки ресурса. В качестве ресурса выбираем Электронные торговые площадки.

После запуска автоматической настройки рабочего места, останется только дождаться завершения процедуры , после чего перезагрузить браузер . Если необходимо ввести или выбрать адрес ресурса - выбирайте нужный. Также, по окончании настройки, возможно, потребуется перезагрузить компьютер.

Настройка SSL TLS

Настройка сети

Еще одним вариантом может быть отключение NetBIOS через TCP/IP - расположен в свойствах подключения.

Регистрация DLL

Запустить командную строку от имени администратора и ввести команду regsvr32 cpcng . Для 64-разрядной ОС необходимо использовать тот regsvr32 , который в syswow64 .

Код этой ошибки, как правило, появляется на экране при переходе на служебный или государственный web-сайт. Яркий пример – официальный портал ЕИС. Не исключено, что причиной сбоя стали устаревшие или небезопасные параметры протокола TSL. Это очень распространенная проблема. Пользователи сталкиваются с ней на протяжении длительного отрезка времени. Сейчас разберемся, что именно стало причиной появления данной ошибки и как ее устранить.

Безопасность подключения к web-сайту обеспечивается путем использования специальных протоколов шифрования – SSL и TSL. Они обеспечивают защиту передачи информации. Протоколы построены на использовании симметричных и асcиметричных инструментов шифрования. Также применяются коды аутентичности сообщений и прочие опции. В совокупности перечисленные меры позволяют сохранить анонимность подключения, поэтому третьи лица лишаются возможности расшифровать сессию.

Когда в браузере появляется ошибка, оповещающая о проблемах с протоколом TSL, то это значит, что web-сайт использует некорректные параметры. Следовательно, подключение действительно не является безопасным. Доступ к порталу автоматически блокируется.

Чаще всего с ошибкой сталкиваются пользователи, работающие через браузер Internet Explorer. Существует несколько причин появления этого сбоя, а именно:

антивирус блокирует подключение к web-сайту;
устарела версия утилиты «КриптоПро»;
подключение к порталу осуществляется через VPN;
некорректные настройки браузера Internet Explorer;
в BIOS активирована функция «SecureBoot»;
на компьютере есть зараженные файлы, вирусы.

С причинами появления ошибки разобрались. Самое время проанализировать возможные способы решения проблемы.

Инструкция по устранению ошибки

Если ошибка никуда не исчезла, тогда самое время опробовать альтернативные способы:

Практика показывает, что каждый из перечисленных советов может устранить проблему. Поэтому просто следуйте инструкции.

Заключение

Эксперты уверяют, что рассматриваемый программный сбой появляется из-за антивируса, установленного на компьютере пользователя. По каким-то причинам программа блокирует доступ к web-сайту. Поэтому сначала просто отключите антивирус, измените настройки проверки сертификатов. Вполне вероятно, что это решит проблему. Если ошибка никуда не исчезла, тогда попробуйте каждый из предложенных выше советов. В результате, проблема безопасности протокола TSL будет абсолютно точно решена.

Согласно отраслевым рекомендациям по безопасности и целостности данных, компания Salesforce требует обновить текущий протокол шифрования на TLS 1.2 до сентября 2019 года. Примерно в это время начнется выключение протокола шифрования TLS 1.1. Во избежание нестабильной работы экземпляра производственной среды, рекомендуемые действия должны быть выполнены до наступления данной даты. Данная статья содержит всю доступную информацию о выключении протокола шифрования TLS 1.1. Данная статья будет обновляться по мере появления новой информации.

Выключение TLS 1.1 для других служб Salesforce (например, Marketing Cloud, Heroku, Pardot, SalesforceIQ и т. д.) в настоящее время оценивается. Дополнительная информация будет доступна после утверждения планов и крайних сроков.

TLS расшифровывается как Transport Layer Security (безопасность транспортного уровня). Это протокол, обеспечивающий конфиденциальность и целостность данных между двумя взаимодействующими приложениями. На сегодняшний день данный протокол безопасности является наиболее распространенным, поэтому используется для веб-обозревателей и других приложений, требующих безопасного обмена данными по сети. TLS гарантирует правильность подключения к удаленной конечной точке посредством шифрования и проверки подлинности конечной точки. В настоящее время доступны следующие версии: TLS 1.0, TLS 1.1, TLS 1.2 и TLS 1.3.

Веб-подключения и API-подключения Salesforce, а также доставка эл. почты, используют TLS в качестве основного компонента безопасности. Протоколы HTTPS (веб) и STARTTLS SMTP (эл. почта) используют TLS в качестве основного компонента безопасности.

Операционная система Windows Vista, XP или более ранней версии является несовместимой и не может быть настроена для поддержки TLS 1.1 или TLS 1.2.

Internet Explorer 7 или более ранней (настольной) версии

Internet Explorer 10 или более ранней (мобильной) версии

Microsoft Edge

Mozilla Firefox

Firefox 27 или более поздней версии

Совместимо при использовании TLS 1.2 по умолчанию.

Совместимо, но не по умолчанию.
Чтобы использовать about:config для включения TLS 1.1 или TLS 1.2, обновите значение конфигурации security.tls.version.max на "2" для TLS 1.1 или "3" для TLS 1.2.

Firefox 23 или более ранней версии

Несовместимо при использовании TLS 1.2.

Google Chrome

Совместимо с последней версией (независимо от операционной системы).

Google Chrome 38 или более поздней версии

Совместимо при использовании TLS 1.2.

Google Chrome 30-37

Совместимо при наличии операционной системы Windows XP SP3, Vista или более поздней (настольной) версии, OS X 10.6 (Snow Leopard) или более поздней (настольной) версии, Android 2.3 (Gingerbread) или более поздней (мобильной) версии.

Google Chrome 29 или более ранней версии

Несовместимо при использовании TLS 1.2.

Обозреватель операционной системы Google Android

Android 5.0 (Lollipop) или более поздней версии

Совместимо при использовании TLS 1.2.

Android 4.4 (KitKat)-4.4.4

Может быть совместимо при использовании TLS 1.2 или более поздней версии. Некоторые устройства, оснащенные операционной системой Android 4.4.x, могут не поддерживать TLS 1.2.

Android 4.3 (Jelly Bean) или более ранней версии

Несовместимо при использовании TLS 1.2.

Apple Safari

Safari 7 или более поздней (настольной) версии для операционной системы OS X 10.9 (Mavericks) или более поздней версии

Совместимо при использовании TLS 1.2 по умолчанию.

Safari 6 или более ранней (настольной) версии для операционной системы OS X 10.8 (Mountain Lion) или более ранней версии

Несовместимо при использовании шифрования TLS 1.1 или более поздней версии.

Safari 5 или более поздней (мобильной) версии для операционной системы iOS 5 или более поздней версии

Совместимо при использовании TLS 1.2 по умолчанию.

Safari (мобильная версия) для операционной системы iOS 4 или более ранней версии

Несовместимо при использовании TLS 1.2.

Использование веб-обозревателя

В зависимости от точки доступа, пользователю, пытающемуся получить доступ к организации посредством веб-обозревателя, использующего TLS 1.1 после включения параметра "Требовать протокол TLS 1.2 или более поздней версии для подключений HTTPS", отображается сообщение об ошибке, содержащее рекомендации по дальнейшим действиям для исправления данной несовместимости.

См. сводную таблицу ниже.

Точка доступа	Сообщение об ошибке пользователя	Язык сообщения
login.salesforce.com	Сообщение об ошибке отображается только после входа пользователя посредством данной страницы.	Отображается на языке Salesforce пользователя.
Страница входа для функции "Мой домен"		Отображается на стандартном языке организации.
Сайт или сообщество	Сообщение об ошибке отображается при посещении данной страницы.	Отображается на языке Salesforce пользователя-гостя сайта.
Web-to-Lead или Web-to-Case	Сообщение об ошибке отображается при отправке данных с внешней страницы в систему Salesforce. Отправленные данные архивируются без создания интереса или обращения. Чтобы повторить данные архивные отправки, обратитесь в службу поддержки Salesforce и зарегистрируйте соответствующее обращение.
Страница входа или восстановления пароля клиентского или партнерского портала (не посредством сайта)	Сообщение об ошибке отображается при посещении данной страницы.	Отображается на стандартном языке портала.

Дополнительную информацию см. ниже (в зависимости от используемого обозревателя и операционной системы).

Совместимо с последней версией (независимо от операционной системы).

Java 8 (1.8) или более поздней версии

Совместимо при использовании TLS 1.2 по умолчанию.

Включите TLS 1.2 посредством системного свойства Java (https.protocols) для HttpsURLConnection. Чтобы включить TLS 1.2 для подключений, отличных от HttpsURLConnection, настройте включенные протоколы в созданных экземплярах SSLSocket и SSLEngine внутри исходного кода приложения. При отсутствии возможности внедрения более новой версии Oracle Java рекомендуем временно использовать IBM Java.

Java 6 (1.6) или более ранней версии

Несовместимо при использовании TLS 1.2. При отсутствии возможности внедрения более новой версии Oracle Java рекомендуем временно использовать IBM Java.

Java (IBM)

Совместимо при использовании TLS 1.2 или более поздней версии по умолчанию. При необходимости задайте , если вызываемое приложение или библиотека использует SSLContext.getinstance("TLS").

Java 7 или более поздней версии, Java 6.0.1 Service Refresh 1 (J9 VM2.6) или более поздней версии, Java 6 Service Refresh 10 или более поздней версии

Включите TLS 1.2 посредством системного свойства Java (https.protocols) для HttpsURLConnection и системного свойства Java (com.ibm.jsse2.overrideDefaultProtocol) для подключений SSLSocket и SSLEngine (согласно рекомендациям, указанным в документации IBM). При необходимости задайте com.ibm.jsse2.overrideDefaultTLS=true .

NET 4.6 или более поздней версии

Совместимо при использовании TLS 1.2 по умолчанию.

NET 4.5, 4.5.1 и 4.5.2 не поддерживают TLS 1.2 по умолчанию. Включение может быть выполнено двумя описанными ниже способами.

Способ 1.
Приложения.NET могут включать TLS 1.2 прямо в коде программного обеспечения путем настройки System.Net.ServicePointManager.SecurityProtocol для включения SecurityProtocolType.Tls12 и SecurityProtocolType.Tls11. Ниже приведен пример кода C#.

System.Net.ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls12 | SecurityProtocolType.Tls11 | SecurityProtocolType.Tls;

Способ 2.
Чтобы включить TLS 1.2 по умолчанию без изменения исходного кода, задайте значение "1" параметру DWORD (SchUseStrongCrypto) в следующих двух разделах реестра (при их отсутствии создаются пользователем): "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319" и "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319". Несмотря на наличие версии 4.0.30319 в данных разделах реестра, .NET 4.5, 4.5.1 и 4.5.2 также используют данные значения. Тем не менее, данные разделы реестра будут включать TLS 1.2 по умолчанию во всех установленных приложениях.NET 4.0, 4.5, 4.5.1 и 4.5.2 используемой системы. Именно поэтому, рекомендуем проверить данное изменение перед его развертыванием на производственных серверах. Кроме того, данное изменение доступно в виде файла импорта реестра . Тем не менее, данные значения реестра не повлияют на приложения.NET, которые задают значение System.Net.ServicePointManager.SecurityProtocol.

NET 4.0 не поддерживает TLS 1.2 по умолчанию. Чтобы включить TLS 1.2 по умолчанию, установите.NET Framework 4.5 или более поздней версии и задайте значение "1" параметру DWORD (SchUseStrongCrypto) в следующих двух разделах реестра (при их отсутствии создаются пользователем): "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319" и "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319". Тем не менее, данные разделы реестра могут включать TLS 1.2 по умолчанию во всех установленных приложениях.NET 4.0, 4.5, 4.5.1 и 4.5.2 используемой системы. Рекомендуем проверить данное изменение перед его развертыванием на производственных серверах. Кроме того, данное изменение доступно в виде файла импорта реестра .

Тем не менее, данные значения реестра не повлияют на приложения.NET, которые задают значение System.Net.ServicePointManager.SecurityProtocol.

NET 3.5 или более ранней версии

Несовместимо при использовании TLS 1.2.

Совместимо с последней версией (при наличии операционной системы, поддерживающей TLS 1.2).

Python 2.7.9 или более поздней версии

Совместимо при использовании TLS 1.2 или более поздней версии по умолчанию.

Python 2.7.8 или более ранней версии

Несовместимо при использовании шифрования TLS 1.2 или более поздней версии.

Совместимо с последней версией (при связывании с OpenSSL 1.0.1 или более поздней версии).

TLS 1.2 включается по умолчанию при наличии OpenSSL 1.0.1 или более поздней версии. Использование символа:TLSv1_2 (предпочтительно) или:TLSv1_1 с параметром ssl_version объекта SSLContext гарантирует выключение TLS 1.1 или более ранней версии.

Ruby 1.9.3 или более ранней версии

Несмотря на отсутствие символа:TLSv1_2 в Ruby 1.9.3 или более ранней версии, Ruby поддерживает его добавление и компиляцию с OpenSSL 1.0.1 или более поздней версии.

Microsoft WinInet

Совместимо при использовании TLS 1.2 по умолчанию.

Windows Server 2008 R2-2012

Совместимо по умолчанию (при наличии обозревателя Internet Explorer 11). При наличии обозревателя Internet Explorer 8, 9 или 10 протокол TLS 1.2 включается пользователем или администратором.

Несовместимо при использовании TLS 1.2.

Безопасный канал Microsoft

Совместимо с последней версией.

Windows Server 2012 R2 или более поздней версии

Windows 8.1 или более поздней версии

Совместимо при использовании TLS 1.2 по умолчанию.

Windows Server 2012

По умолчанию протокол TLS 1.2 выключен, но доступен при его поддержке приложением. Протоколы TLS 1.1 и TLS 1.2 могут быть включены по умолчанию внутри реестра файла импорта реестра .

Windows Server 2008 R2

Совместимо по умолчанию в режиме клиента (при наличии обозревателя Internet Explorer 11). При отсутствии обозревателя Internet Explorer 11 или при необходимости подключения системы Salesforce к службе, выполняемой в системе данного типа, протокол TLS 1.2 может быть включен по умолчанию внутри реестра . Кроме того, данные параметры реестра доступны в виде файла импорта реестра .

Windows Server 2008 или более ранней версии

Windows Vista или более ранней версии

Несовместимо при использовании TLS 1.2.

Microsoft WinHTTP и Webio

Windows Server 2012 R2 или более поздней версии

Windows 8.1 или более поздней версии

Совместимо при использовании TLS 1.2 по умолчанию.

Windows Server 2008 R2 SP1 и 2012

Как помочь конечным пользователям в управлении данным изменением?

При получении доступа к системе Salesforce посредством TLS 1.1 пользователям (включая внутренних и внешних участников сообщества) может отображаться уведомление о необходимости обновления веб-обозревателя или его параметров.

Для этого, воспользуйтесь указанными ниже методами.

Пакет AppExchange.

Пакет TLS 1.1 Compatibility User Message будет доступен в каталоге AppExchange в ближайшее время. Данный пакет предназначен для доставки пользователям TLS 1.1 внутрипрограммных уведомлений, содержащих подробные инструкции по обеспечению совместимости с TLS 1.2.

Контроллер страницы Visualforce.

При наличии опыта разработки Visualforce и Apex проверьте значение ApexPages.currentPage().getHeaders().get("CipherSuite"), если не является нулевым, для подстроки " TLSv1 " (включая начальные и конечные пробелы). При его наличии используется TLS 1.1, а страница Visualforce может отображать уведомление о необходимости обновления веб-обозревателя или его параметров.

Как определить пользователей организации, выполняющих подключения TLS 1.1?

Данная статья Knowledge описывает три способа определения пользователей, подверженных данному изменению (включая журнал входов, отчеты и Workbench):

ПРИМЕЧАНИЕ. Отчет по журналу входов для всех пользователей организации может просматриваться и выполняться только пользователями с полномочием "Управление пользователями" . При отсутствии полномочия "Управление пользователями" обратитесь к администратору, имеющему необходимые полномочия на выполнение отчета "Журнал входов" для всех пользователей.

Как выполнить тестирование перед выключением TLS 1.1?

Новый параметр консоли критических обновлений "Требовать протокол TLS 1.2 для подключений HTTPS" будет доступен в ближайшие недели.

Что делать при использовании перехватывающего HTTPS прокси-сервера в сети?

Некоторые сети перехватывают исходящий трафик HTTPS путем использования прокси-сервера, создающего собственные сертификаты, поэтому обмен данными с системой Salesforce и другими конечными точками, который не шифруется, может тщательно контролироваться. Данные прокси-серверы создают собственные подключения TLS к системе Salesforce. Сети, использующие данный тип прокси-сервера, должны гарантировать поддержку TLS 1.2 и выбор TLS 1.2 при подключении к системе Salesforce. Отклонения от стандартного режима работы могут возникать при условии, что прокси-сервер не поддерживает TLS 1.2 или выбирает TLS 1.1 вместо TLS 1.2 при подключении к удаленным конечным точкам.

Запретите перехватывающему HTTPS прокси-серверу перехватывать подключения HTTPS к субдоменам *.salesforce.com и *.force.com системы Salesforce. Данный алгоритм является предпочтительным, так как обеспечивает сквозную конфиденциальность между веб-обозревателями конечных пользователей и системой Salesforce.
Если перехват HTTPS требуется политикой компании, либо не может быть удален или исключен по иным обстоятельствам, воспользуйтесь новой версией прокси-сервера, поддерживающей TLS 1.2 или, как минимум, TLS 1.1.
Если перехватывающий HTTPS прокси-сервер не поддерживает TLS 1.2, но выбирает TLS 1.1 путем его использования в исходных сообщениях ClientHello, разрешите конфигурации прокси-сервера выбирать TLS 1.2 вместо TLS 1.1 при подключении к субдоменам *.salesforce.com и *.force.com системы Salesforce.

Новый параметр консоли критических обновлений "Требовать протокол TLS 1.2 для подключений HTTPS в сообществах и на сайтах Salesforce" будет доступен в ближайшие недели.

Прежде чем тестировать данное обновление в производственной организации, клиентам будет рекомендоваться его тестирование в безопасной среде для подтверждения сквозной совместимости.

Чтобы подготовиться к включению TLS 1.2, рекомендуем заранее проверить последствия выключения TLS 1.1 для пользователей организации посредством нового параметра консоли критических обновлений: "Требовать протокол TLS 1.2 или более поздней версии для подключений HTTPS".

Поддержка клиентом агента Email-to-Case протокола TLS 1.2 и более новых версий возможна только после обновления Java.
Обновите среду Java до версии 8, как указано в таблице ниже, чтобы обеспечить работоспособность Email-to-Case.

ПОСЛЕДСТВИЯ ДЛЯ ПРИЛОЖЕНИЙ APPEXCHANGE

Определите совместимость приложений AppExchange с процессом выключения TLS 1.1 компанией Salesforce путем налаживания непосредственного контакта с поставщиком и/или партнером.

Системные SSL/TLS обладает инфраструктурой поддержки нескольких протоколов.

Системные SSL/TLS поддерживает следующие протоколы:

Transport Layer Security версии 1.2 (TLSv1.2)
Transport Layer Security версии 1.1 (TLSv1.1)
Transport Layer Security версии 1.0 (TLSv1.0)
- SSLv2 не может использоваться, если TLSv1.2 включен в системе в системном значении QSSLPCL .

ОСТОРОЖНО:

IBM настоятельно рекомендует запускать сервер IBM только с отключенными следующими сетевыми протоколами. С помощью опций настройки IBM для включения результатов слабых протоколов, можно разрешить серверу IBM i использование слабых протоколов. Такая настройка потенциально может нарушить сетевую защиту и подвергнуть риску сервер IBM i. КОМПАНИЯ IBM НЕ НЕСЕТ ОТВЕТСТВЕННОСТЬ ЗА УЩЕРБ ИЛИ УБЫТКИ, ВКЛЮЧАЯ ПОТЕРЮ ДАННЫХ, КОТОРЫЕ МОГУТ ВОЗНИКНУТЬ ВСЛЕДСТВИЕ ИСПОЛЬЗОВАНИЯ УКАЗАННЫХ СЕТЕВЫХ ПРОТОКОЛОВ.

Слабые протоколы (по состоянию на апрель 2016 г.):

Secure Sockets Layer версии 3.0 (SSLv3)
Secure Sockets Layer версии 2.0 (SSLv2)

Включенные протоколы

Параметр системного значения QSSLPCL определяет конкретные протоколы, включенные в системе. Приложения согласуют защищенные сеансы только с теми протоколами, которые перечислены в QSSLPCL . Например, для того чтобы ограничить реализацию Системные SSL/TLS использованием только TLSv1.2 и не разрешать применение более старых версий протоколов, необходимо задать для команды QSSLPCL возможность содержать только *TLSV1.2 .

Специальное значение QSSLPCL *OPSYS позволяет операционной системе изменять протоколы, включенные в системе на границе выпуска.Значение QSSLPCL остается прежним после обновления системы до нового выпуска операционной системы. Если значением QSSLPCL не является *OPSYS , тогда после перехода системы к новому выпуску администратор должен вручную добавить более новые версии протоколов в QSSLPCL .

Выпуск IBM i	определение QSSLPCL *OPSYS
i 6.1	TLSV1 , SSLV3
i 7.1	TLSV1 , SSLV3
i 7.2
i 7.3	TLSV1.2 , TLSV1.1 , *TLSV1

Протоколы по умолчанию

Если приложение не указывает, какие протоколы нужно включить, Системные SSL/TLS использует протоколы по умолчанию. Такой подход используется для того, чтобы поддержка новых TLS не требовала изменений кода приложения. Для приложений, явно указывающих протоколы, которые необходимо включить, настройка протоколов по умолчанию не имеет смысла.

Протоколы по умолчанию в системе пересекаются с включенными протоколами из QSSLPCL и допустимыми протоколами по умолчанию. Список допустимых протоколов по умолчанию настраивается с помощью команды расширенного анализа из Системного инструментария (SST) SSLCONFIG .

Для того чтобы определить текущее значение списка допустимых протоколов по умолчанию и списка протоколов по умолчанию в системе, воспользуйтесь командой SSLCONFIG с опцией –display .

Администратор может изменить настройки протоколов по умолчанию только в том случае, если никакие другие параметры настройки не позволяют приложению успешно взаимодействовать с равноправными узлами. Более старый протокол предпочтительно включать только для тех приложений, которым он требуется. При наличии "определения приложения" включение происходит с помощью Диспетчера цифровых сертификатов (DCM).

Предупреждение: Добавление более старой версии протокола к списку по умолчанию приведет к тому, что все приложения, использующие список по умолчанию, будут подвергать риску систему защиты. Загрузка PTF защиты группы может повлечь удаление протокола из списка протоколов по умолчанию. Подпишитесь на Бюллетень по защите, чтобы получать уведомления, когда действия по снижению угрозы защите будет включать этот тип изменений. Если администратор вернет допустимый протокол, который был удален PTF защиты, система запомнит это изменение и не будет снова удалять этот протокол после применения следующего PTF защиты.

Для того чтобы изменить протоколы по умолчанию в системе, воспользуйтесь опцией eligibleDefaultProtocols команды SSLCONFIG , чтобы изменить значение. SSLCONFIG с опцией -h покажет панель справки, в которой описано, как задать список протоколов. Только версии протоколов, приведенные в тексте справки, могут быть добавлены в список.

На сегодняшний день множество людей и организаций пользуются услугами интернет-банкинга. Банки периодически проводят аудиты безопасности своих систем, выпускают инструкции и рекомендации по безопасной работе с интернет-банком, но при этом пользователи не всегда знают – хорошо ли защищено соединение с интернет-банком, которым они привыкли пользоваться.

В этой статье мы оценим защищенность подключений к онлайн-сервисам ТОП-50 российских банков (по активам) .

Безопасность подключения пользователей к интернет-банкам обеспечивается использованием протоколов SSL/TLS. На текущий момент известны «громкие» уязвимости SSL/TLS, которым даже были даны имена и/или логотипы (Beast, Poodle, Heartbleed, Freak, Logjam). Известные уязвимости SSL/TLS в том числе позволяют расшифровывать сессии, перехватывать и подменять данные, передаваемые между пользователем и сервером, что в силу очевидных причин упускается из внимания большинством пользователей.

Зачастую проблема заключается в использовании устаревших и слабых при текущем уровне вычислительных мощностей криптоалгоритмов, а где-то наличием неустраненных уязвимостей используемого ПО. Все это ставит под угрозу безопасность платежей, совершаемых пользователями в интернет-банках.

Уровень защищенности SSL/TLS российских банков

Для оценки уровня защищенности конфигурации SSL/TLS на серверах можно использовать бесплатный инструмент «SSL Server Test» от Qualys SSL Labs. С помощью данного инструмента независимый исследователь Трой Хант сделал свод по соответствующему уровню защищенности австралийских банков .

В комментариях к статье Троя можно увидеть ссылки на аналогичные таблицы для разных стран: Литва , Дания , Голландия , Голландия-2 , Чехия , Великобритания .

Мной была подготовлена аналогичная таблица (от 22.05.15) для ТОП-50 банков РФ.
В целом ситуация далека от идеала. Среди банков первой десятки четыре оценки «F» и по сравнению с другими странами это плохой показатель.

За исключением Logjam, с момента обнаружения указанных уязвимостей и проблем протоколов/криптоалгоритмов прошло довольно много времени, что как минимум свидетельствует об отсутствии со стороны многих банков периодического контроля защищенности своих веб-ресурсов, либо проведения соответствующих компенсирующих мероприятий.

Каждому веб-ресурсу присвоена оценка «SSL Server Test» со шкалой от A до F . Плюс и зеленый цвет означают отсутствие соответствующей уязвимости/проблемы. Минус и красный цвет свидетельствуют об обратном. Некоторые веб-ресурсы проверить не удалось по причинам, указанным в таблице.

Основные выводы

Некоторые банки по-прежнему используют небезопасные параметры обмена ключами Diffie-Hellman с длиной ключа 512 и 768 бит, что автоматически снизило их общую оценку до «F» (такой случай встречается и в первой десятке). Уязвимые ресурсы отмечены минусами в столбце «DH».
Часть банков уязвима к FREAK-атакам , что снизило их общую оценку до «F». С помощью данной уязвимости злоумышленники могут форсировать использование клиентским браузером слабой криптографии из «экспортного» набора шифров RSA. Уязвимые к атаке ресурсы отмечены минусами в столбце «Freak».
Немалая часть веб-ресурсов имеет уязвимость POODLE , что снизило их общую оценку до «F». С помощью данной уязвимости злоумышленники могут получить доступ к зашифрованной информации, передаваемой между клиентом и сервером. В основном, это уязвимости небезопасного протокола SSL3 и они могут быть устранены путем отключения протокола SSL3 на веб-серверах. В двух случаях уязвимым к POODLE протоколом является TLS и для устранения уязвимости требуется установка патча. Уязвимые к атаке ресурсы отмечены минусами в столбце «POODLE».
Несколько банков по-прежнему используют небезопасный протокол SSL2, что снизило их общую оценку до «F». Протокол SSL2 использует небезопасную криптографическую хеш-функцию MD5 и слабые шифры. Возможны MITM-атаки из-за отсутствия SSL-подтверждения. Кроме того, SSL2 также использует флаг TCP FIN для закрытия сеанса, который можно подделать, из-за чего пользователь не будет знать, завершена ли передача данных. Ресурсы с поддержкой протокола SSL2 отмечены минусами в столбце «SSL2».
Значительная часть веб-ресурсов имеет уязвимость Logjam , которая была обнаружена совсем недавно. Наличие уязвимости снизило общую оценку до «B». Как и уязвимость FREAK, Logjam позволяет злоумышленнику форсировать использование клиентским браузером слабой криптографии DH с 512-битными ключами. Уязвимые к атаке ресурсы отмечены минусами в столбце «Logjam».
Значительная часть банков по-прежнему используют устаревший и небезопасный протокол SSL3, что снизило их общую оценку до «B». Ресурсы с поддержкой протокола SSL3 отмечены минусами в столбце «SSL3».
Некоторые веб-ресурсы не поддерживают последнюю и наиболее безопасную версию протокола TLS 1.2, что снизило их общую оценку до «B». Ресурсы, не поддерживающие протокол TLS 1.2, отмечены минусами в столбце «TLS1.2».
Большинство банков по-прежнему используют шифры RC4, что снизило их общую оценку до «B». Уязвимость RC4 связана с недостаточной случайностью потока битов, которым скремблируется сообщение, что позволяет расшифровать перехваченные данные. Ресурсы с поддержкой шифра RC4 отмечены минусами в столбце «RC4».
Подавляющее большинство банков по-прежнему используют алгоритм хеширования SHA-1, который считается слабым и небезопасным. Уже сейчас веб-браузеры присваивают различные статусы соединениям с SHA-1 («безопасно, но с ошибкам», «небезопасно», «недоверенное»). Игнорируя происходящий в текущий момент отказ от SHA-1, банки приучают своих пользователей не обращать внимания на подобные статусы и сообщения браузера. Использование SHA-1 практически не влияло на общую оценку и отмечено минусами в столбце «SHA-1».
В подавляющем числе банков не реализована или реализована частично настройка безопасности протоколов согласования ключа - Forward Secrecy . При использовании Forward Secrecy сессионные ключи не будут скомпрометированы при компрометации закрытого ключа. Ресурсы, не использующие Forward Secrecy для большинства современных браузеров, отмечены минусами в столбце «FS».
Стоит отметить, что уязвимость Heartbleed к счастью не обнаружена ни на одном из протестированных веб-ресурсов.

Приведенные оценки со временем теряют свою актуальность, что может потребовать их перепроверки с помощью «SSL Server Test». К примеру, за время написания статьи оценка веб-сервера «Телебанк» ВТБ24 изменилась с «F» на «A-», а на сайте интернет-банка Росбанк устранена уязвимость Poodle. В результатах проверок «SSL Server Test» приведены рекомендации по устранению выявленных проблем, которые можно обобщить в требования к настройке SSL/TLS на веб-серверах:

Отключить поддержку небезопасных протоколов SSL2, SSL3.
Включить поддержку наиболее совершенного протокола TLS 1.2.
Отказаться от использования сертификатов SHA-1.
Отказаться от использования шифра RC4.
Настроить Forward Secrecy и убедиться, что функция работает для большинства современных браузеров.
Устранить уязвимость Poodle путем отключения протокола SSL3, или путем установки патча при уязвимости протокола TLS.
Устранить уязвимость Freak путем отключения поддержки экспорта наборов шифров.
Устранить уязвимость Logjam путем отключения поддержки экспорта наборов шифров и генерации уникальной 2048-битной группы Diffie-Hellman.

Пользователям же рекомендуется осторожно отключить в настройках браузера SSL 2.0 и SSL 3.0 и включить поддержку TLS 1.0, TLS 1.1 и TLS 1.2 (осторожно, потому что встречались банки, поддерживающие со стороны сервера только SSL 3.0). И, конечно же, при подключении пользователям стоит внимательнее смотреть на сертификат сервера и его статус в браузере.