Проблеми з протоколом TSL – Неможливо безпечно підключитися до цієї сторінки. Переконайтеся, що протоколи ssl та tls включені Застарілий протокол tls як виправити

Системні SSL/TLS має інфраструктуру підтримки кількох протоколів.

Системні SSL/TLS підтримують такі протоколи:

Transport Layer Security версії 1.2 (TLSv1.2)
Transport Layer Security версії 1.1 (TLSv1.1)
Transport Layer Security версії 1.0 (TLSv1.0)
- SSLv2 не може використовуватися, якщо TLSv1.2 включено до системи у системному значенні QSSLPCL .

ОБЕРЕЖНО:

IBM наполегливо рекомендує запускати сервер IBM лише з відключеними наступними мережевими протоколами. За допомогою опцій налаштування IBM для включення результатів слабких протоколів можна дозволити серверу IBM i використання слабких протоколів. Таке налаштування потенційно може порушити мережевий захисті ризикувати сервер IBM i. КОМПАНІЯ IBM НЕ НЕСЕ ВІДПОВІДАЛЬНІСТЬ ЗА ЗБИТКИ АБО ЗБИТКИ, ВКЛЮЧАЮЧИ ВТРАТУ ДАНИХ, ЯКІ МОЖУТЬ ВИНИКНУТИ НАСЛІДКИ ВИКОРИСТАННЯ ВКАЗАНИХ МЕРЕЖЕВИХ ПРОТОКОЛОВ.

Слабкі протоколи (станом на квітень 2016 р.):

Secure Sockets Layer версії 3.0 (SSLv3)
Secure Sockets Layer версії 2.0 (SSLv2)

Включені протоколи

Параметр системного значення QSSLPCL визначає конкретні протоколи, включені до системи. Програми узгоджують захищені сеанси лише з протоколами, які перелічені в QSSLPCL . Наприклад, щоб обмежити реалізацію Системні SSL/TLS використанням тільки TLSv1.2 і не дозволяти застосування більш старих версій протоколів, необхідно задати команді QSSLPCL можливість містити тільки *TLSV1.2 .

Спеціальне значення QSSLPCL *OPSYS дозволяє операційній системізмінювати протоколи, включені в систему на межі випуску. Значення QSSLPCL залишається незмінним після оновлення системи до нового випуску операційної системи. Якщо значення QSSLPCL не є *OPSYS, тоді після переходу системи до нового випуску адміністратор повинен вручну додати новіші версії протоколів у QSSLPCL.

Випуск IBM i	визначення QSSLPCL *OPSYS
i 6.1	TLSV1, SSLV3
i 7.1	TLSV1, SSLV3
i 7.2
i 7.3	TLSV1.2, TLSV1.1, *TLSV1

За замовчуванням протоколи

Якщо програма не вказує, які протоколи потрібно увімкнути, Системні SSL/TLS використовує протоколи за промовчанням. Такий підхід використовується для того, щоб підтримка нових TLS не вимагала змін коду програми. Для програм, які явно вказують протоколи, які необхідно включити, налаштування протоколів за промовчанням не має сенсу.

Стандартні протоколи в системі перетинаються з увімкненими протоколами QSSLPCL і допустимими протоколами за промовчанням. Список допустимих протоколів за замовчуванням налаштовується за допомогою команди розширеного аналізу із Системного інструментарію (SST) SSLCONFIG .

Щоб визначити поточне значення списку допустимих протоколів за промовчанням та списку протоколів за промовчанням у системі, скористайтесь командою SSLCONFIG з опцією –display .

Адміністратор може змінити налаштування протоколів за промовчанням лише в тому випадку, якщо жодні інші параметри настройки не дозволяють застосунку успішно взаємодіяти з рівноправними вузлами. Більш старий протокол переважно включати лише для тих програм, яким він потрібний. За наявності "визначення програми" увімкнення відбувається за допомогою Диспетчера цифрових сертифікатів (DCM).

Попередження: Додати більше старої версіїпротоколу до списку за промовчанням призведе до того, що всі програми, що використовують список за замовчуванням, ризикуватиме систему захисту. Завантаження PTF захисту групи може призвести до видалення протоколу зі списку протоколів за промовчанням. Підпишіться на Бюлетень захисту, щоб отримувати повідомлення, коли дії щодо зниження загрози захисту включатиме цей тип змін. Якщо адміністратор поверне допустимий протокол, який був видалений PTF захисту, система запам'ятає цю зміну і не видалятиме цей протокол після застосування наступного PTF захисту.

Щоб змінити протоколи за промовчанням у системі, скористайтесь опцією eligibleDefaultProtocols команди SSLCONFIG , щоб змінити значення. SSLCONFIG з опцією -h покаже панель довідки, в якій описано, як встановити список протоколів. Лише версії протоколів, наведені у тексті довідки, можна додати до списку.

Порожня сторінка при вході в Портал через захищене з'єднання

"КриптоПро" встановлено, 443 порт відкритий, але при спробі зайти через захищене з'єднання (HTTPS) видається білий екран (порожня сторінка).

Ця проблема пов'язана з налаштуваннями безпеки мережі Вашої компанії. Для вирішення проблеми рекомендуємо звернутися до Вашого адміністратора. Необхідно, щоб він додав до списку дозволених сайтів, а також у всі винятки.

Захищене з'єднання (HTTPS) перестало працювати

Таке може статися, якщо Ви використовуєте демоверсію КриптоПРО CSP. Рекомендується спочатку видалити встановлені продукти через «Встановлення та видалення програм», перезавантажити комп'ютер, а потім запустити cspclean.exe . Після завершення роботи утиліти обов'язково повторно перезавантажте комп'ютер.

Після видалення, знову встановіть КриптоПРО CSP, скориставшись інструкцією з установки .

Помилки під час роботи через браузер «MS Internet Explorer»

Після входу браузер видає помилку "Неможливо відобразити цю сторінку"

Таке може статися, якщо у налаштуваннях браузера Internet Explorerвідключено протоколи TLS 1.0, TLS 1.1 та TLS 1.2

Щоб увімкнути необхідні протоколи, натисніть кнопку "Змінити параметри" (перебуває на сторінці "Неможливо відобразити сторінку"). У списку параметрів безпеки відзначте пункти: TLS 1.0, Використання TLS 1.1, Використати TLS 1.2.

Після збереження змін, перезапустіть браузер Internet Explorer.

Помилка в сертифікаті безпеки цього веб-сайту

При спробі зайти на Портал через захищене з'єднання (HTTPS) виникає попередження "Помилка в сертифікаті безпеки цього веб-сайту".

При роботі з сайтом Інформаційного Порталу ніщо не загрожує безпеці Вашого комп'ютера, тому оберіть «Продовжити відкриття цього веб-сайту (не рекомендується)». Щоб у подальшому це попередження не виникало, ми рекомендуємо Вам виконати встановлення сертифікатів безпеки. Однак дана процедура необов'язкова і ніяк не відбивається на роботі з Інформаційний Портал. Посилання для завантаження сертифікатів розташовані в інструкції зі встановлення сертифікатів для Windows XP, для Windows 10 (7, Vista, 8) відповідно.

При переході на будь-який державний або службовий портал (наприклад, «ЕІС») користувач може раптово зіткнутися з помилкою «Не вдається безпечно підключитися до цієї сторінки. Можливо, на сайті використовуються застарілі або ненадійні параметри безпеки протоколу TLS». Ця проблема має досить поширений характер, і фіксується протягом кількох років у різних категорій користувачів. Давайте розберемося з суттю цієї помилки, і варіантами її розв'язання.

Як відомо, безпека підключення користувачів до мережевим ресурсамзабезпечується рахунок використання SSL/TSL – криптографічних протоколів, відповідальних за захищену передачу даних у мережі Інтернет. Вони використовують симетричне та асиметричне шифрування, коди автентичності повідомлень та інші спеціальні можливості, що дозволяє зберігати конфіденційність вашого підключення, перешкоджаючи розшифровці сесії з боку третіх осіб.

Якщо під час підключення до будь-якого сайту браузер визначає, що на ресурсі використовуються некоректні параметри протоколу безпеки SSL/TSL, то користувач отримує вказане вище повідомлення, а доступ до сайту може бути заблокований.

Часто ситуація з протоколом TLS виникає на браузері IE – популярному інструменті роботи зі спеціальними державними порталами, пов'язаними з різними формами звітності. Робота з такими порталами вимагає обов'язкової наявності браузера Internet Explorer, і саме на ньому проблема виникає особливо часто.

Причини помилки "Можливо, на сайті використовуються застарілі або ненадійні параметри безпеки протоколу TLS" можуть бути такими:

Як виправити дисфункцію: Використовуються ненадійні параметри безпеки TLS

Вирішення проблеми може полягати у способах, описаних нижче. Але перед їх описом рекомендую просто перезавантажити ваш ПК - за всієї тривіальності даний спосібчасто виявляється досить ефективним.

Якщо ж він не допоміг, тоді виконайте таке:

Висновок

Причиною помилки «Можливо, на сайті використовуються застарілі або ненадійні параметри безпеки протоколу TLS» часто є локальний антивірус ПК, який з певних причин блокує доступ до потрібного інтернет-порталу. При виникненні проблемної ситуації рекомендується насамперед відключити ваш антивірус, щоб переконатися, що він не викликає цієї проблеми. Якщо помилка продовжує повторюватися, тоді рекомендую перейти до реалізації інших порад, описаних нижче, щоб дозволити вирішити проблему ненадійних параметрів безпеки протоколу TSL на вашому ПК.

Протокол SSL TLS

Користувачі бюджетних організацій, та й не тільки бюджетних, діяльність яких безпосередньо пов'язана з фінансами, у взаємодії з фінансовими організаціями, наприклад, Мінфіном, казначейством тощо, всі свої операції проводять виключно за захищеним протоколом SSL. У своїй роботі вони використовують браузер Internet Explorer. У деяких випадках, Mozilla Firefox.

Комп'ютерні новини, огляди, вирішення проблем з комп'ютером, комп'ютерними іграми, драйверами та пристроями та іншими комп'ютерними програмами." title="(!LANG:програми, драйвери, проблеми з комп'ютером, іграми" target="_blank">!}

Помилка SSL

Основну увагу при проведенні даних операцій та й роботі в цілому приділено системі захисту: сертифікати, електронні підписи. Для роботи використовується програмне забезпеченняКриптоПро актуальної версії. Що стосується проблеми з протоколами SSL та TLS, якщо помилка SSLвиникла, найімовірніше відсутня підтримка цього протоколу.

Помилка TLS

Помилка TLSу багатьох випадках може вказувати на відсутність підтримки протоколу. Але... подивимося, що можна зробити.

Підтримка протоколів SSL та TLS

Отже, при використанні Microsoft Internet Explorer, щоб відвідати веб-сайт із захищеним протоколом SSL, у рядку заголовка відображається Переконайтеся, що протоколи ssl та tls включені. Насамперед, необхідно увімкнути підтримку протоколу TLS 1.0в Internet Explorer.

Якщо ви відвідуєте веб-сайт, на якому працює Internet Information Services 4.0 або вище, налаштування Internet Explorer для підтримки TLS 1.0 допомагає захистити ваше з'єднання. Звичайно, за умови, що віддалений веб-сервер, який ви намагаєтеся використовувати, підтримує цей протокол.

Для цього в меню Сервісвиберіть команду Властивості оглядача.

На вкладці Додатковов розділі Безпека, переконайтеся, що вибрано наступні прапорці:

Використовувати SSL 2.0
Використовувати SSL 3.0
Використати TLS 1.0

Натисніть кнопку Застосувати , а потім ОК . Перезавантажте браузер .

Після включення TLS 1.0, спробуйте ще раз відвідати веб-сайт.

Системна політика безпеки

Якщо, як і раніше, виникають помилки з SSL та TLSЯкщо ви все ще не можете використовувати SSL, віддалений веб-сервер, ймовірно, не підтримує TLS 1.0. У цьому випадку необхідно відключити системну політикущо вимагає FIPS-сумісні алгоритми.

Щоб це зробити, Панелі керуванняВиберіть Адміністрація, а потім двічі клацніть піктограму Локальна політика безпеки.

У локальних параметрах безпеки розгорніть вузол Локальні політики, а потім натисніть кнопку Параметри безпеки.

Відповідно до політики у правій частині вікна, двічі клацніть Системна криптографія: використовувати FIPS-сумісні алгоритми для шифрування, хешування та підписування, а потім натисніть кнопку Вимкнено .

Увага! Зміна набуває чинності після того, як локальна безпекова політика повторно застосовується. Тобто увімкніть їїі перезапустіть браузер .

КриптоПро TLS SSL

Оновити КриптоПро

Далі, як одним із варіантів вирішення проблеми, є оновлення КриптоПро, а також налаштування ресурсу. У даному випадку, це робота з електронними платежами. Тому, переходимо на посвідчувальний центр для автоматичного налаштуванняресурсу. Як ресурс вибираємо Електронні торгові майданчики.

Після запуску автоматичного налаштування робочого місця залишиться тільки дочекатися завершення процедури, після чого перезавантажити браузер. Якщо необхідно ввести або вибрати адресу ресурсу – вибирайте потрібну. Також, після закінчення налаштування, можливо, потрібно перезавантажити комп'ютер.

Налаштування SSL TLS

Налаштування мережі

Ще одним варіантом може бути відключення NetBIOS через TCP/IP- Розташований у властивостях підключення.

Реєстрація DLL

Запустити командний рядоквід імені адміністратора та ввести команду regsvr32 cpcng. Для 64-розрядної ОС необхідно використовувати той regsvr32, який у syswow64.