TSL protokoli bilan bog'liq muammolar - boshqa tomonga xavfsiz ulanish mumkin emas. Ssl va tls protokollari yoqilganligini tekshiring Eski tls protokoli uni qanday tuzatish kerak

SSL/TLS tizimi bir qator protokollar uchun infratuzilmani qo'llab-quvvatlashi mumkin.

SSL/TLS tizimlari quyidagi protokollarni qo'llab-quvvatlaydi:

Transport qatlami xavfsizligi versiyasi 1.2 (TLSv1.2)
Transport qatlami xavfsizligi versiyasi 1.1 (TLSv1.1)
Transport qatlami xavfsizligi versiyasi 1.0 (TLSv1.0)
- SSLv2-ni buzib bo'lmaydi, chunki TLSv1.2 tizimdan oldin QSSLPCL tizim qiymatida yoqilgan.

DIQQAT:

IBM beparvolik bilan IBM serverini faqat oxirgi xavfsizlik devori protokollari yoqilgan holda ishga tushirishni tavsiya qiladi. IBM ni zaif protokol natijalarini yoqish uchun sozlashning qo'shimcha imkoniyatlari uchun siz IBM i serveriga zaif protokollarni tanlashga ruxsat berishingiz mumkin. Bunday sozlash potentsial halokatga olib kelishi mumkin chekka zaxist IBM i serverini yangiladim. IBM ORALIK PROTOKOLLARNI TEKSHIRISH UCHUN JA'BUL BO'LISHI MUMKIN QIRQTA MA'LUMOT BO'YICHA BO'YICHA BO'LGAN MA'LUMOTLAR BO'YICHA MAS'uliyatni O'z zimmasiga EMAS.

Zaif protokollar (2016 yil aprel holatiga ko'ra):

Secure Sockets Layer versiyasi 3.0 (SSLv3)
Secure Sockets Layer versiyasi 2.0 (SSLv2)

Kiritilgan protokollar

QSSLPCL tizim qiymati parametri tizim oldiga kiritilgan maxsus protokollarni boshqaradi. Dasturlar seanslarni faqat QSSLPCL da sanab o'tilgan protokollar bilan himoya qilishi mumkin. Masalan, TLSv1.2 tizimining SSL/TLS versiyasini amalga oshirishni cheklash va protokollarning ko'proq eski versiyalarini yuklab olishga ruxsat bermaslik uchun *TLSV1.2 ni almashtirishga ruxsat berish uchun QSSLPCL buyrug'ini belgilash kerak. .

QSSLPCL *OPSYS maxsus qiymatiga ruxsat berilgan operatsion tizim o'zaro aloqada tizimga kiritilgan protokollarni o'zgartirish. QSSLPCL qiymati tizim yangilangandan so'ng operatsion tizimning yangi versiyasi chiqarilgunga qadar doimiy ravishda o'chiriladi. Agar QSSLPCL qiymati *OPSYS bo'lmasa, tizim yangi versiyaga o'tgandan keyin ham, ma'mur QSSLPCL ga protokollarning yangi versiyalarini qo'lda qo'shish uchun javobgardir.

IBM i chiqaraman	QSSLPCL *OPSYSni bekor qilish
men 6.1	TLSV1, SSLV3
men 7.1	TLSV1, SSLV3
men 7.2
men 7.3	TLSV1.2, TLSV1.1, *TLSV1

Protokollarni yopish uchun

Agar dastur sizga qanday protokollarni yoqish kerakligini aytmasa, SSL/TLS tizimi protokollari. Yangi TLSni qo'llab-quvvatlash uchun bunday pidhid vikoristovuetsya dastur kodini o'zgartirmadi. Dasturlar uchun, agar protokollar aniq ko'rsatilgan bo'lsa, ularni kiritish zarur bo'lsa, reklama uchun protokollarni o'rnatish mantiqiy emas.

Tizimdagi standart protokollar yangilangan QSSLPCL protokollari va reklama uchun ruxsat etilgan protokollar bilan mutatsiyaga uchragan. To'g'ri blokirovkalash protokollari ro'yxati SSLCONFIG System Toolkit (SST) dan kengaytirilgan tahlil qilish buyrug'i bilan taqdim etiladi.

Yaroqli reklama protokollari ro'yxatini va tizimning reklama protokollari ro'yxatini sozlash uchun --display opsiyasi bilan SSLCONFIG buyrug'idan foydalaning.

Administrator aksiyalar uchun protokollar sozlamalarini faqat shu holatda o'zgartirishi mumkin, chunki boshqa sozlamalar teng tugunlar bilan muvaffaqiyatli aloqa o'rnatishga imkon bermaydi. Eng muhimi, eski protokolni faqat sokin dasturlar uchun kiritish muhimroqdir, masalan, zarur vinolar. "Belgilangan dastur" mavjudligi uchun bildirishnoma Raqamli sertifikat menejeri (DCM) yordamiga bog'liq.

Oldinga: ko'proq qo'shing eski versiya Protokolni ko'tarilish ro'yxatiga keltiraman, shunda ko'tarilish ro'yxatida g'olib bo'lgan barcha dasturlar zahistu tizimini rizikuvat qiladi. Guruhga qarshi PTF kampaniyasi rag'batlantirish uchun protokollar ro'yxatidan protokolning oxiriga keltirilishi mumkin. Axborot olish uchun “Zaxistlar Axborotnomasi”ga obuna bo‘lish, agar uni qisqartirish imkoni bo‘lsa, bu turdagi o‘zgarishlarni kiritish uchun Zakhistlarga tahdid qiling. Agar ma'mur ruxsat etilgan protokolni aylantirsa, bu PTFni o'chirish usuli bo'lsa, tizim o'zgarishlarni eslab qoladi va tajovuzkor PTFni to'xtatgandan so'ng protokolni ko'rmaydi.

Tizimni ilgari surish protokollarini o'zgartirish uchun qiymatni o'zgartirish uchun SSLCONFIG buyrug'ining eligibleDefaultProtocols opsiyasidan foydalaning. -h opsiyasi bilan SSLCONFIG protokollar ro'yxatini qanday sozlashni tavsiflovchi tugatish panelini ko'rsatadi. Ro'yxatga faqat matn ustiga olib boradigan protokollar versiyasi qo'shilishi mumkin.

Darvoza himoyasi orqali Portalga kirishda bo'sh tomon

"CryptoPro" o'rnatilgan, 443-port ochiq, lekin siz xavfsizlik qulfi (HTTPS) orqali kirishga harakat qilganingizda, siz oq ekranni (bo'sh tomoni) ko'rasiz.

Bu muammo kompaniyangizning xavfsizlik choralari bilan bog'liq. Muammoni hal qilish uchun administratoringizga murojaat qilish tavsiya etiladi. Sharobni ruxsat etilgan saytlar ro'yxatiga, shuningdek, barcha sharoblarga qo'shish kerak.

Xavfsizlik himoyasi (HTTPS) ishlamay qoldi

Demo versiyasini yutganingiz bilan bir xil bo'lishi mumkin CryptoPRO CSP. Avval o'rnatilgan mahsulotlarni "Dasturlarni o'rnatish va o'chirish" orqali olib tashlash, kompyuterni qayta ishga tushirish va keyin cspclean.exe ni ishga tushirish tavsiya etiladi. Til yordam dasturining ishlashi tugagandan so'ng, kompyuterni qayta o'rnating.

Ketganimdan so'ng, o'rnatish ko'rsatmalariga rioya qilgan holda CryptoPRO CSP-ni qayta o'rnataman.

"MS Internet Explorer" brauzeri orqali bir soatlik ish uchun kechirim.

Kiritgandan so'ng, brauzer "Bu tomonni ko'rsatish mumkin emas" degan afvni ko'rsatadi.

Bu brauzer sozlamalarida bo'lgani kabi bo'lishi mumkin Internet Explorer yoqilgan TLS 1.0, TLS 1.1 va TLS 1.2 protokollari

Kerakli protokollarni o'zgartirish uchun "Parametrlarni o'zgartirish" tugmasini bosing ("Yon tomonni ko'rsatib bo'lmaydi" tomonida qayta ishga tushiring). Xavfsizlik parametrlari ro'yxatida quyidagi elementlarni tanlang: TLS 1.0, TLS 1.1 wiki, Wicoristy TLS 1.2.

O'zgarishlarni saqlagandan so'ng, qayta ishga tushiring Internet-brauzer tadqiqotchi.

Veb-saytning xavfsizlik sertifikatida kechirim

Agar siz Portalga parol bilan himoyalanish (HTTPS) orqali kirmoqchi bo'lsangiz, "Veb-sayt xavfsizligi sertifikatida kechirim" degan ogohlantirish olasiz.

Axborot portali veb-sayti bilan ishlashda kompyuteringiz xavfsizligiga tahdid solmang, shuning uchun "Ushbu veb-saytga kirishni davom eting (tavsiya etilmaydi)" ni oling. Uzoq kelajak ayblamasligi uchun xavfsizlik sertifikatlarini o'rnatishingizni tavsiya qilamiz. Biroq, berilgan protsedura neobov'yazkova va n_yak robotlarda ishlamaydi Axborot portali. Windows XP, Windows 10 (7, Vista, 8) uchun sertifikatlarni o'rnatish bo'yicha ko'rsatmalarda tarqatish uchun sertifikatlarni olish so'rovi aniq.

Har qanday suveren yoki xizmat portaliga (masalan, "EIS") borganingizda, koristuvach tezda "Boshqa tarafga xavfsiz ulamang. Ehtimol, saytda TLS protokoli uchun eskirgan yoki noto'g'ri xavfsizlik parametrlari mavjud. Bu muammo xarakterga ko'ra kengaytirilishi mumkin va uni turli toifadagi koristuvachlarda bir necha yil cho'zish orqali hal qilish mumkin. Keling, kechirimning mohiyatini va uni buzish variantlarini ko'rib chiqaylik.

Ko'rib turganingizdek, koristuvachlarni ulash xavfsizligi chegara resurslari Internet orqali ma'lumotlarni uzatishni himoya qilish uchun mas'ul bo'lgan SSL / TSL - kriptografik protokollardan foydalanishni ta'minlaydi. Hidi vikoristovuyut simmetrik va assimetrik shifrlash, kodning haqiqiyligini qo'llab-quvvatlash va boshqalar. maxsus inshootlar, bu sizga uchinchi shaxslar tomonidan seans shifrini o'tkazish orqali ulanishingizning maxfiyligini himoya qilish imkonini beradi.

Saytga ulanish vaqti tugashi bilan brauzer resursda SSL / TSL xavfsizlik protokoli uchun noto'g'ri parametrlarga ega ekanligini ko'rsatadi, keyin kodga ko'proq e'tibor beriladi va saytga kirish bloklanishi mumkin.

Ko'pincha TLS protokoli bilan bog'liq vaziyat IE brauzerida ayblanadi - rayonlashtirishning turli shakllari bilan bog'liq bo'lgan maxsus davlat portallari bilan ishlash uchun mashhur vosita. Bunday portallarning ishlashi Internet Explorer brauzerining til mavjudligiga ta'sir qiladi va bu muammo ayniqsa tez-tez ayblanadi.

"Ehtimol, saytda eskirgan yoki TLS protokoli uchun zarur bo'lmagan xavfsizlik parametrlari mavjud" kechirilishining sabablari quyidagilar bo'lishi mumkin:

Disfunktsiyani qanday tuzatish mumkin: noto'g'ri TLS xavfsizlik parametrlari

Muammoning echimini quyida tavsiflangan usullarda topish mumkin. Ale, ularni tavsiflashdan oldin, men shunchaki shaxsiy kompyuteringizni qayta o'rnatishingizni maslahat beraman - barcha ahamiyatsiz narsalar uchun Daniya usuli ko'pincha samarali bo'ladi.

Xo'sh, agar siz sharob qo'shmagan bo'lsangiz, quyidagilarni bajaring:

Visnovok

"Ehtimol, sayt eskirgan yoki TLS protokoli uchun zarur bo'lmagan xavfsizlik parametrlari" kechirilishining sababi ko'pincha kerakli Internet-portalga kirishni bloklaydigan mahalliy kompyuter antivirusidir. Muammoli vaziyat yuzaga kelganda, birinchi navbatda antivirusni yoqish tavsiya etiladi, shunda siz hech qanday muammolarni sezmasligingiz uchun ulanishni o'zgartirishingiz mumkin. Kechirim takrorlanishda davom etar ekan, men sizning shaxsiy kompyuteringizda TSL protokoli uchun noto'g'ri xavfsizlik parametrlari muammosini hal qilish uchun quyida tavsiflangan boshqa qadamlarni bajarishga o'tishni tavsiya qilaman.

SSL TLS protokoli

Faoliyati bevosita moliya bilan bog‘liq bo‘lgan byudjet tashkilotlari emas, balki byudjet tashkilotlarining koristuvachlari moliya tashkilotlari, masalan, Moliya vazirligi, G‘aznachilik bilan hamkorlikda ularning barcha operatsiyalari faqat shifrlangan holda amalga oshiriladi. SSL protokoli. Sizning robotingiz Internet Explorer brauzeridan foydalanib hidlanadi. Bir oz vipades, Mozilla Firefox.

Kompyuter yangiliklari, atrofga nazar tashlang, kompyuter bilan bog'liq muammolarning yuqori qismi, Kompyuter o'yinlari, haydovchilar va qo'shimchalar va boshqalar kompyuter dasturlari." title="(!LANG:(!LANG:dasturlar, drayverlar, kompyuter muammolari'ютером, іграми" target="_blank">!}!}

Kechirasiz SSL

Ushbu operatsiyalarni va umuman robotlarni bajarishda asosiy hurmat tizim himoyasiga beriladi: sertifikatlar, elektron imzolar. G'olib robotlar uchun dasturiy ta'minot xavfsizligi CryptoPro joriy versiya. Narxi qancha SSL va TLS protokollari bilan bog'liq muammolar, kabi kechiring SSL Vinil, ushbu protokolni qo'llab-quvvatlashning eng muhim kuni.

TLSni kechiring

TLSni kechiring boy vaziyatlarda, siz protokol amal qilish kuni aytish mumkin. Ale ... siz robiti mumkin nima hayron.

SSL va TLS protokollarini qo'llab-quvvatlash

Otzhe, Viktoriya bilan Microsoft Internet SSL protokoli bilan himoyalangan veb-saytni ko'rish uchun Explorer sarlavha qatorida ko'rsatiladi Change, ssl va tls protokollari yoqilgan. Nasamperlangan, zarur TLS 1.0 protokolini qo'llab-quvvatlashni yoqing Internet Explorer-da.

Kompyuter yangiliklari, atrofga nazar tashlang, kompyuter bilan bog'liq muammolar yechimi, kompyuter o'yinlari, drayverlar va qo'shimchalar va boshqa kompyuter dasturlari." title="(!LANG:(!LANG:dasturlar, drayverlar, kompyuter bilan bog'liq muammolar)'ютером, іграми" target="_blank">Компьютерная помощь, драйверы, программы, игры!}!}

Agar siz Internet Information Services 4.0 yoki boshqa versiyada ishlaydigan veb-saytni ko'rayotgan bo'lsangiz, Internetni sozlash TLS 1.0 ni qo'llab-quvvatlash uchun Explorer ma'lumotlaringizni himoya qilishga yordam beradi. Shubhasiz, aql uchun, bu protokolni qo'llab-quvvatlaydigan g'alaba qozonishga harakat qilayotgan uzoq veb-server nima.

Menyuda nima borligi uchun Xizmat jamoani tanlang Tashqariga qaragan hukmronlik.

Depozitda Dodatkovo chakana savdoda Bezpeka, fikringizni o'zgartiring, keyingi qadam qanday tanlanadi:

SSL 2.0 ni sozlash
SSL 3.0 ni sozlash
Wicoristy TLS 1.0

Tugmasini bosing Zastosuvati , undan keyin OK . Brauzeringizni qayta yuklang .

Agar TLS 1.0 yoqilgan bo'lsa, veb-saytni qaytadan sinab ko'ring.

Tizimli xavfsizlik siyosati

Xuddi avvalgidek, ayblash SSL va TLS dan kechirim Siz hali ham SSL-ni yuta olmaysiz, lekin veb-server hali ham TLS 1.0-ni qo'llab-quvvatlamaydi. Kimning aqli kerak tizim siyosatini yoqing FIPS yig'ish algoritmlari nimani anglatadi?

Sob tse robiti, Panellar Tanlang Ma'muriyat ni bosing va keyin piktogramma ustiga ikki marta bosing Mahalliy xavfsizlik siyosati.

Mahalliy xavfsizlik sozlamalarida vuzolni yoqing Mahalliy siyosat, va keyin tugmasini bosing Xavfsizlik parametrlari.

Oynaning o'ng qismida siyosatga Vídpovídno, ikki marta bosing Tizimli kriptografiya: shifrlash, xeshlash va imzolash uchun FIPS-xulosa algoritmlarini buzish, va keyin tugmasini bosing Vimkneno .

Hurmat! Marosimdagi o'zgarishlar mahalliy xavfsizlik siyosati qayta tiklanganidan keyin sodir bo'ladi. Tobto e'tibor beringі brauzerni qayta ishga tushiring .

CryptoPro TLS SSL

Onoviti CryptoPro

Dali, muammoni hal qilish variantlaridan biri sifatida, CryptoPro-ni yangilash, shuningdek, resursni yaxshilashdir. Da ushbu maxsus turga, tse robot h elektron to'lovlar. Shunday qilib, keling, ta'ziya markaziga o'tamiz avtomatik o'rnatish manba. Resurs sifatida Maydanchiki Elektron tijoratni tanlang.

Ish joyini avtomatik sozlash ishga tushirilgandan so'ng, faqat bir nechta protseduraning bajarilishini tekshiring, nimadan keyin brauzerni qayta tiklang. Shuningdek, resurs manzilini kiritish yoki tanlash kerak - kerakli narsani tanlang. Shunday qilib, o'rnatish tugagandan so'ng, kompyuterni qayta ishlash kerak bo'ladi.

SSL TLS sozlanmoqda

To'rni yotqizish

Boshqa variant bo'lishi mumkin TCP/IP orqali NetBIOS-ni yoqish- Raztashovaniya hokimiyat aloqalarida.

DLL ro'yxati

yugur buyruq qatori administrator nomiga va buyruqni kiriting regsvr32 cpcng. 64-bitli OT uchun siz syswow64-ga ega bo'lgan regsvr32-ni sozlashingiz kerak.