Dom › Telefon › Omogući podršku za šifre koje nisu rc4. O ovom ažuriranju

Omogući podršku za šifre koje nisu rc4. O ovom ažuriranju

Opća teorija: Proširenje HTTP protokola za prijenos podataka koje podržava šifriranje ovih podataka - HTTPS - samo po sebi nije protokol za šifriranje. Za šifriranje su odgovorni kriptografski protokoli – SSL ili TLS.

No, nisu svi jogurti jednako korisni: SSL je potpuno zastario, zastarjela je i TLS verzija 1.0, pa se danas preporuča koristiti samo TLS verzije 1.1 ili 1.2. Inače, posljednja verzija HTTPS specifikacije, usvojena još 2000. godine, zove se HTTP preko TLS-a, tamo se gotovo i ne spominje SSL.

Ali to je samo teorija, u praksi je TLS 1.2 još uvijek podržan samo na ograničenom broju stranica, s TLS 1.1 je već osjetno bolji, ali također ne svugdje. Problem podrške modernim verzijama TLS-a prisutan je i na strani klijenta, o čemu kasnije.

Dakle, da biste na svom računalu koristili samo najnovije verzije trenutnog kriptografskog protokola (Hajde, djeco, podsjetite me kako se zove? Tako je, TLS! A koja verzija? Tako je, ne niža od 1.1), trebate učiniti nekoliko smiješnih gesta . Zašto? Tako je, jer nitko umjesto nas neće omogućiti TLS 1.1/1.2 na našem računalu. Nama će omogućiti samo provjeru “autentičnosti” Windowsa i natrpati hrpu “smeća” u startup. Međutim, skrenuo sam.

Lirska digresija: Iskreno sam uvjeren (a to uvjerenje potvrđuje praksa) da bi 90% korisnika računala još uvijek moglo koristiti Windows 3.11 (postojao je takav OS početkom 90-ih), ili, u ekstremnim slučajevima, Windows 98 SE - “ pisaći stroj" i preglednik ne zahtijevaju ništa drugo, da nam ne lažu o novim, još poboljšanim sučeljima i ostalim sitnicama "revolucionarno novih" verzija OS-a.

Također je istina da se moderne sigurnosne tehnologije ne mogu uvrnuti u zastarjele operativne sustave. Ne zato što je to načelno nemoguće, već zato što to njihov proizvođač nije napravio, kao što nisu učinili ništa da bi ih instalirali treći proizvođači softvera. Stoga su svi operacijski sustavi iz obitelji Windows nižih verzija od XP-a (pa čak i oni u doglednoj budućnosti), nažalost, beznadno zastarjeli u pogledu mrežne sigurnosti.

Završimo s tekstom ovdje: svi sljedeći argumenti temeljit će se na činjenici da se koristi Windows XP ili noviji (Vista, 7 ili 8). I na tome da mi sami nismo nimalo zli Pinokii, te stoga promptno instaliramo sve potrebne nadogradnje i “zakrpe” na operativni sustav koji koristimo.

Dakle, prvo treba omogućiti podršku za TLS 1.1 i TLS 1.2 i onemogućiti SSL i TLS 1.0 na razini OS-a, za što je odgovoran Microsoft TLS/SSL Security Provider (schannel.dll). Što će nam to dati? Evo što: svi programi koji nemaju vlastiti modul za podršku TLS-a, već koriste sistemski, koristit će najnovije verzije TLS-a.

To je teorija prema kojoj je na ovaj način konfigurirana podrška za trenutne verzije TLS-a, uključujući i preglednik Internet Explorer. Zapravo, čak ni njegova najnovija verzija za Windows XP - osma - ne podržava TLS verzije više od 1.0. Pod Windows Vista podržava, ali pod Windows XP ne i, štoviše, ignorira zabranu korištenja TLS 1.0. Kako to? Pitanje je za Microsoft, ne za mene, mi ćemo i dalje raditi ono što se od nas traži prema uputama proizvođača.

A mi radimo sljedeće: odlazimo u matičnu knjigu na adresu
HKLM\SYSTEM\CurrentControlSet\Control\Se curityProviders\SCHANNEL\Protocols, tamo pronađite odjeljke PCT 1.0, SSL 2.0, SSL 3.0 i TLS 1.0, u svakom od njih - pododjeljke Klijent i Poslužitelj, te u njima kreirajte ključeve DisabledByDefault ( tip - DWORD ), kojem dodijelimo vrijednost 1 (jedan).

Zatim tamo nalazimo odjeljke TLS 1.1 i TLS 1.2 i na sličan način u njima kreiramo gore navedeni ključ, ali mu dodijelimo drugu vrijednost - 0 (nula). Tu također onemogućujemo slabe algoritme enkripcije i raspršivanja RC2, RC4, DES, MD4 i MD5 te također zabranjujemo uspostavljanje sigurnih veza bez enkripcije (da, to se događa... u nečijim nezdravim fantazijama), ostavljajući samo relativno jake Triple DES i SHA.

Budući da sam iskreno lijen opisivati kako, što i gdje promijeniti, u nastavku će biti sadržaj .reg datoteke koja čini odgovarajuće promjene u registru. Morate pažljivo kopirati sav ovaj sadržaj u međuspremnik, stvoriti novu tekstualnu datoteku, zalijepiti sadržaj tamo, spremiti ovu datoteku s ekstenzijom .reg i pokrenuti je, a zatim ponovno pokrenuti sustav.

Ako se dogodi da nakon ponovnog pokretanja postoje problemi s mrežnom vezom, istu operaciju treba napraviti sa sljedećom datotekom - brišu se sve promjene koje smo napravili iz registra, nakon čega se (tako je, djeco) ponovno ponovno pokreće. Ako registar uopće ne pronađe nikakve vrijednosti u odjeljku registra koji smo oštetili, OS će ih ponovno stvoriti pri pokretanju sa zadanim vrijednostima.

Napredni korisnici mogu, umjesto potpunog vraćanja promjena, igrati se s omogućavanjem i onemogućavanjem pojedinačnih protokola i algoritama uređivanjem prve datoteke. Napomena domaćici: ako se za povezivanje s internetom koristi korporativna lokalna mreža, a još više s domenom, tada su problemi vjerojatni, a preporuča se tražiti načine za njihovo rješavanje dok pijete bocu piva s mrežni administrator;)

Također imajte na umu: preglednici Chrome, Firefox, Opera i Safari, tj. svi koji se ne temelje na motoru Internet Explorera koriste vlastite module podrške za SSL i TLS i stoga ne ovise o postavkama o kojima smo razgovarali. Ali to ne znači da se mogu zanemariti (u smislu postavki). Ali sljedeći put ćemo govoriti o postavkama samih preglednika.

Omogućite TLS 1.1 i 1.2, onemogućite SSL i TLS 1.0:

"Omogućeno"=dword:00000000

"DisabledByDefault"=dword:00000001
"Omogućeno"=dword:00000000

"DisabledByDefault"=dword:00000001

"DisabledByDefault"=dword:00000000

"AllowInsecureRenegoClients"=dword:00000 000
"AllowInsecureRenegoServers"=dword:00000 000

"Omogućeno"=dword:00000000

Je li sve pokvareno? Brišemo izvršene promjene:

Windows Registry Editor verzija 5.00

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentContr olSet\Control\SecurityProviders\SCHANNEL]

Google, Microsoft i Mozilla objavili su vrijeme potpunog završetka podrške za RC4 algoritam enkripcije.

S rastućom prijetnjom kibernetičkih napada na RC4, ovaj algoritam je počeo ubrzano gubiti na pouzdanosti, a vodeći dobavljači preglednika odlučili su ga u potpunosti napustiti – krajem siječnja ili početkom veljače.

Prema Richardu Barnesu iz Mozille, podrška za RC4 u Firefoxu bit će uklonjena s izdavanjem verzije 44, zakazanom za 26. siječnja. "Isključivanje RC4 značit će da se Firefox više neće moći povezati s poslužiteljima koji zahtijevaju RC4", objasnio je glasnogovornik tvrtke na forumu za programere. "Podaci koje imamo pokazuju da je malo takvih poslužitelja, ali oni još uvijek postoje, iako im korisnici Firefoxa rijetko pristupaju."

Googleov Adam Langley rekao je da će odgovarajuće izdanje Chromea biti dostupno široj javnosti u siječnju ili veljači. Nije precizirao datum, samo je rekao da će HTTPS poslužitelji koji koriste isključivo RC4 biti onemogućeni. "Kada Chrome uspostavi HTTPS vezu, mora učiniti sve što je moguće kako bi osigurao svoju sigurnost", primijetio je Langley u posebnom biltenu o [e-mail zaštićen]. "Trenutačno korištenje RC4 u HTTPS vezama ne ispunjava ove zahtjeve, pa planiramo onemogućiti podršku za RC4 u budućem izdanju Chromea."

Trenutno i stabilna i beta verzija Firefoxa mogu koristiti RC4 bez ograničenja, ali zapravo ga koriste samo za 0,08 odnosno 0,05% veza. Za Chrome je ta brojka nešto viša - 0,13%. "Da bi nastavili s radom, operateri dotičnih poslužitelja vjerojatno će morati samo malo promijeniti konfiguraciju kako bi se prebacili na sigurniji paket šifri", rekao je Langley.

Microsoft je najavio kraj podrške za naslijeđeni algoritam u proizvodima Microsoft Edge i IE 11; podrška će biti onemogućena prema zadanim postavkama početkom sljedeće godine. “Microsoft Edge i Internet Explorer 11 koriste RC4 samo pri prelasku s TLS 1.2 ili 1.1 na TLS 1.0,” objasnio je David Walp, viši voditelj projekta za Microsoft Edge. - Vraćanje na TLS 1.0 pomoću RC4 najčešće se događa greškom, ali takva situacija, iako je nedužna, ne može se razlikovati od napada čovjeka u sredini. Iz tog razloga početkom 2016. godine RC4 će prema zadanim postavkama biti onemogućen za sve korisnike Microsoft Edgea i Internet Explorera pod Windows 7, Windows 8.1 i Windows 10.

Više od desetljeća istraživači su žalili zbog nesavršenosti RC4, ukazujući na mogućnost odabira nasumičnih vrijednosti koje se koriste za stvaranje šifriranih tekstova pomoću ovog algoritma. S obzirom na određeno vrijeme, računalnu snagu i pristup određenom broju TLS zahtjeva, dešifriranje neće biti teško za napadača.

Godine 2013., istraživanje koje je proveo Daniel J. Bernstein na Sveučilištu Illinois omogućilo mu je kreiranje praktičnog napada na poznatu ranjivost u RC4 kako bi se kompromitirala TLS sesija. Ovo je bio jedan od prvih takvih eksperimenata koji je javno objavljen.

Prošlog srpnja belgijski istraživači napali su RC4, dopuštajući mu da presretne kolačić žrtve i dešifrira ga u puno kraćem vremenu nego što se prije mislilo da je moguće.

Iz nekog razloga, neke HTTPS stranice (ne sve!) prestale su mi se otvarati. Kada pokušate otvoriti takvu stranicu u svom pregledniku, pojavljuje se prozor s pogreškom "Ova stranica ne može pružiti sigurnu vezu". Web stranice se ne prikazuju u preglednicima Google Chrome, Opera i Yandex. Bez HTTPS-a otvaraju se neke stranice, ali ne sve, samo one čije su stranice dostupne i preko HTTPS i HTTP protokola. U pregledniku Google Chrome pogreška pri otvaranju HTTPS stranice izgleda ovako:

Ova stranica možda ne pruža sigurnu vezu.
Stranica sitename.ru koristi nepodržani protokol.
ERR_SSL_VERSION_OR_CIPHER_MISMATCH.
Klijent i poslužitelj podržavaju različite verzije SSL protokola i skupa šifri. Poslužitelj najvjerojatnije koristi RC4 šifru koja se smatra nesigurnom."

U pregledniku Opera i Yandex pogreška izgleda približno isto. Kako mogu otvoriti takve stranice?

Odgovor

Kao što ste vjerojatno već shvatili, problem je povezan s problemima SSL komunikacije između vašeg računala i HTTPS stranice. Razlozi za takvu pogrešku mogu biti sasvim različiti. U ovom sam članku pokušao prikupiti sve metode za ispravljanje pogreške "Ova stranica ne može pružiti sigurnu vezu, ERR_SSL_PROTOCOL_ERROR" u različitim preglednicima.

Želio bih odmah napomenuti da unatoč činjenici da preglednike Google Chrome, Opera i Yandex Browser proizvode različite tvrtke, zapravo su svi ovi preglednici temeljeni na istom motoru - Chrome i problem s pogreškama pri otvaranju HTTPS stranica je riješen na isti način.

Prije svega, morate biti sigurni da problem nije na strani same HTTPS stranice. Pokušajte ga otvoriti s drugih uređaja (telefon, tablet, kućno/poslovno računalo itd.). Također provjerite otvara li se u drugim preglednicima, kao što su IE/Edge ili Mozilla Firefox. U Firefoxu je slična pogreška razmatrana u članku.

Očisti predmemoriju preglednika i kolačiće, SSL predmemoriju

Predmemorija preglednika i kolačići mogu biti čest uzrok pogrešaka sa SSL certifikatima. Preporučujemo da prvo izbrišete predmemoriju i kolačiće preglednika. U Chromeu trebate pritisnuti tipkovni prečac Ctrl + Shift + Delete, odaberite vremensko razdoblje ( Cijelo vrijeme) i kliknite gumb za brisanje podataka ( Brisanje podataka/ Obriši podatke).

Za brisanje SSL predmemorije u sustavu Windows:

Idi na odjeljak Upravljačka ploča -> Svojstva preglednika;
Pritisnite karticu Sadržaj;
Kliknite na gumb Obriši SSL (Obriši stanje SSL-a);
Trebala bi se pojaviti poruka "SSL predmemorija uspješno izbrisana";
Sve što preostaje je ponovno pokrenuti preglednik i provjeriti ostaje li greška ERR_SSL_PROTOCOL_ERROR.

Onemogućite proširenja preglednika trećih strana

Preporučujemo da onemogućite (deinstalirate) ekstenzije preglednika trećih strana, posebno sve anonimizatore, proxyje, VPN-ove, antivirusne ekstenzije i druge slične dodatke koji mogu ometati prolaz prometa do ciljne stranice. Popis omogućenih proširenja u Chromeu možete vidjeti tako da odete na postavke -> Dodatni alati -> Ekstenzije, ili odlaskom na stranicu chrome://extensions/. Onemogućite sva sumnjiva proširenja.

Provjerite postavke antivirusnog programa i vatrozida

Ako na računalu imate instaliran antivirusni program ili vatrozid (često je ugrađen u antivirus), moguće je da oni blokiraju pristup stranici. Da biste razumjeli ograničavaju li antivirusi ili vatrozidi pristup web mjestu, pokušajte nakratko pauzirati njihov rad.
Mnogi moderni antivirusni programi prema zadanim postavkama imaju modul za provjeru SST/TLS certifikata web stranice. Ako antivirus otkrije da stranica koristi nedovoljno siguran (ili) certifikat ili zastarjelu verziju SSL protokola (isto), korisnički pristup takvoj stranici može biti ograničen. Pokušajte onemogućiti skeniranje HTTP/HTTPS prometa i SSL certifikata. Kao što razumijete, sve ovisi o tome koji ste antivirus instalirali. Na primjer:

Provjerite postavke datuma i vremena

Netočni datum i vrijeme na vašem računalu također mogu uzrokovati pogreške prilikom uspostavljanja sigurne veze s HTTPS stranicama. Uostalom, prilikom provođenja autentifikacije sustav provjerava razdoblje kreiranja i datum isteka certifikata stranice i višeg certifikacijskog tijela.

Ažurirajte Windows korijenske certifikate

Ako je vaše računalo u izoliranom segmentu, nije ažurirano dugo vremena ili mu je usluga automatskog ažuriranja potpuno onemogućena, vaše računalo možda nema nove pouzdane korijenske certifikate (TrustedRootCA). Preporučujemo ažuriranje sustava: instalirajte najnovija sigurnosna ažuriranja; u slučaju Windows 7, obavezno instalirajte SP1 () i ažuriranja vremenske zone ().

Možete ručno ažurirati korijenske certifikate prema članku: (ovo također preporučujemo, ovo će spriječiti presretanje vašeg HTTPs prometa i niz drugih problema).

Onemogući podršku za QUIC protokol

Provjerite je li podrška za protokol omogućena u Chromeu QUIC(Brze UDP internetske veze). Protokol QUIC omogućuje vam puno brže otvaranje veze i dogovaranje svih TLS (HTTP) parametara prilikom povezivanja na web mjesto. Međutim, u nekim slučajevima može uzrokovati probleme sa SSL vezama. Pokušajte onemogućiti QUIC:

Idi na stranicu: chrome://flags/#enable-quic;
Pronađite opciju Eksperimentalni QUIC protokol;
Promijenite opciju Zadano u Onemogućeno;
Ponovno pokrenite Chrome.

Omogućite podršku za TLS i SSL protokole

I posljednja točka - da biste riješili problem, najvjerojatnije ćete morati samo omogućiti podršku za starije verzije TLS i SSL protokola. U većini slučajeva bit će najučinkovitiji, no ja sam ga namjerno premjestio na kraj članka. Objasnit ću zašto.

Stare verzije TLS i SSL protokola nisu onemogućene zbog jednostavnog hira programera, već zbog prisutnosti velikog broja ranjivosti koje napadačima omogućuju presretanje vaših podataka u HTTPS prometu i čak ih modificiraju. Nepromišljeno omogućavanje starih protokola značajno smanjuje vašu sigurnost na Internetu, stoga biste trebali pribjeći ovoj metodi kao posljednjem rješenju ako ništa drugo ne uspije.

Moderni preglednici i operativni sustavi odavno su napustili podršku za zastarjele i ranjive SSL/TLS protokole (SSL 2.0, SSL 3.0 i TLS 1.1). TLS 1.2 i TLS 1.3 sada se smatraju standardnima

Ako strana stranice koristi nižu verziju SSL/TLS protokola od one koju podržava klijent/preglednik, korisnik vidi pogrešku pri uspostavljanju sigurne veze.

Da biste omogućili starije verzije SSL/TLS protokola (opet, ovo nije sigurno):