โปรโตคอลหรือชุดรหัส เช่น rc4

แอปเปิล ฉันคิดว่าไซต์ HTTPS บางไซต์หยุดเปิดแล้ว (ไม่ใช่ทั้งหมด!)เมื่อคุณพยายามเปิดไซต์ดังกล่าว โปรแกรมดูเว็บจะแสดงข้อความพร้อมคำเตือนว่า "ไซต์นี้ไม่สามารถเชื่อมต่ออย่างปลอดภัยได้"

เว็บไซต์จะไม่แสดงตามที่เป็นอยู่
กูเกิลโครม
ดังนั้นใน Opera และใน Yandex Browser
หากไม่มี HTTPS บางไซต์ก็สามารถเปิดได้ แต่ไม่ใช่ทั้งหมด เฉพาะไซต์ที่มีไซต์ที่ใช้ได้ทั้งภายใต้โปรโตคอล HTTPS และโปรโตคอล HTTP ใน Google Chrome ข้อความแสดงข้อผิดพลาดเมื่อไซต์ทำงานภายใต้ HTTPS จะมีลักษณะดังนี้:

ไซต์นี้ไม่สามารถเชื่อมต่อได้อย่างปลอดภัย

เว็บไซต์ sitename.ru มีโปรโตคอลที่ไม่รองรับ

ERR_SSL_VERSION_OR_CIPHER_MISMATCH

ไคลเอนต์และเซิร์ฟเวอร์รองรับโปรโตคอล SSL และชุดรหัสเวอร์ชันที่แตกต่างกัน สำหรับทุกสิ่ง เซิร์ฟเวอร์ใช้รหัส RC4 ซึ่งถือว่าเป็นอันตรายใน Opera และ Yandex Browser โปรแกรมจะมีลักษณะใกล้เคียงกัน

จะเปิดเว็บไซต์ดังกล่าวได้อย่างไร? วิดโพวิดดังที่คุณอาจทราบแล้วว่าปัญหาเกี่ยวข้องกับปัญหาการสื่อสาร SSL ระหว่างคอมพิวเตอร์ของคุณกับไซต์ HTTPS

เหตุผลของการอภัยโทษอาจแตกต่างกันไป

ในบทความนี้ ฉันได้ลองวิธีการทั้งหมดเพื่อแก้ไขข้อผิดพลาด “ไซต์นี้ไม่สามารถเชื่อมต่ออย่างปลอดภัย” ในเบราว์เซอร์ที่แตกต่างกัน ฉันอยากจะชี้ให้เห็นทันทีว่าพวกเขาไม่สนใจใครเบราว์เซอร์ของ Google Chrome, Opera และ Yandex Browser ผลิตโดยบริษัทที่แตกต่างกัน อันที่จริงเบราว์เซอร์ทั้งหมดใช้เอนจิ้นเดียวกัน - Chrome และยังคงมีปัญหาเกี่ยวกับการอนุญาตเมื่อเปิดไซต์ HTTPSก่อนอื่น เราต้องตรวจสอบก่อนว่าปัญหาไม่ได้อยู่ที่ไซต์ HTTPS ลองเปิดอุปกรณ์อื่นๆ ของคุณ (โทรศัพท์ แท็บเล็ต คอมพิวเตอร์ที่บ้าน/ที่ทำงาน ฯลฯ)ตรวจสอบสิ่งที่เปิดในเบราว์เซอร์อื่นด้วย เช่น IE/Edge หรือ

มอซซิลา ไฟร์ฟอกซ์

- ใน Firefox มีการพูดคุยถึงข้อตกลงที่คล้ายกันกับสถิติ ล้างแคชและคุกกี้ของเบราว์เซอร์ แคช SSL -> แคชและคุกกี้ของเบราว์เซอร์อาจเป็นสาเหตุทั่วไปของปัญหาเกี่ยวกับใบรับรอง SSL;
เราขอแนะนำให้ล้างแคชและคุกกี้ในเบราว์เซอร์ของคุณเป็นครั้งแรก Chrome ต้องใช้การกดปุ่ม;
Ctrl+Shift+ลบ ให้เลือกชั่วโมง ( (ตลอดทั้งชั่วโมง);
) จากนั้นกดปุ่มล้างข้อมูล (
จำเป็นต้องรีสตาร์ทเบราว์เซอร์และตรวจสอบว่าข้อผิดพลาดคือ ERR_SSL_PROTOCOL_ERROR หรือไม่

เปิดใช้งานส่วนขยายเบราว์เซอร์บุคคลที่สาม

ขอแนะนำให้เปิดใช้งาน (ถอนการติดตั้ง) ส่วนขยายเบราว์เซอร์บุคคลที่สาม โดยเฉพาะอย่างยิ่งผู้ไม่ระบุชื่อ พร็อกซี VPN ส่วนขยายการป้องกันไวรัส และส่วนเสริมอื่น ๆ ที่คล้ายกัน ซึ่งอาจรบกวนการรับส่งข้อมูลไปยังไซต์เป้าหมาย คุณสามารถดูรายการส่วนขยายที่อัปเดตใน Chrome ได้โดยไปที่ -> การตั้งค่า -> เครื่องมือเพิ่มเติมการขยายตัว หรือไปด้านข้างโครเมี่ยม: // ส่วนขยาย /

- ออกจากส่วนขยายที่น่าสงสัยทั้งหมด

เปลี่ยนการตั้งค่าโปรแกรมป้องกันไวรัสและไฟร์วอลล์ของคุณ มีอะไรติดตั้งอยู่ในคอมพิวเตอร์ของคุณโปรแกรมป้องกันไวรัส
หรือหน้าจอขอบ (มักใช้ในซอฟต์แวร์ป้องกันไวรัส) อาจบล็อกการเข้าถึงไซต์ได้

หากต้องการทำความเข้าใจวิธีจำกัดการเข้าถึงไซต์ป้องกันไวรัสหรือไฟร์วอลล์ ให้ลองหยุดการทำงานของไซต์ดังกล่าวเมื่อใดก็ได้

โปรแกรมป้องกันไวรัสปัจจุบันส่วนใหญ่มีโมดูลสำหรับตรวจสอบใบรับรองเว็บไซต์ SST/TLS

หากโปรแกรมป้องกันไวรัสตรวจพบว่าไซต์ vikoryst ไม่มีการขโมยใบรับรองหรือโปรโตคอล SSL เวอร์ชันที่ล้าสมัย (อันเดียวกัน) การเข้าถึงผู้ใช้ไปยังไซต์ดังกล่าวอาจถูกจำกัด

ลองสแกนการรับส่งข้อมูล HTTP/HTTPS และใบรับรอง SSL ตามที่คุณเข้าใจทุกอย่างขึ้นอยู่กับว่าคุณติดตั้งโปรแกรมป้องกันไวรัสตัวใดตัวอย่างเช่น: เปลี่ยนการตั้งค่าวันที่และเวลาวันที่และชั่วโมงที่ไม่ถูกต้องบนคอมพิวเตอร์ของคุณอาจทำให้เกิดปัญหาเมื่อมีการสร้างการเชื่อมต่อที่ปลอดภัยกับไซต์ HTTPS

แม้ในระหว่างการตรวจสอบสิทธิ์ ระบบจะตรวจสอบการสร้างเงื่อนไขและวันหมดอายุของใบรับรองไปยังไซต์และหน่วยงานออกใบรับรองอื่นๆ

กำลังอัปเดตใบรับรองรูทของ Windows

หากคอมพิวเตอร์ของคุณอยู่ในเซ็กเมนต์ที่แยกจากกัน ไม่ได้รับการอัปเดตเป็นเวลานานหรือเปิดใช้งานบริการใหม่ อัปเดตอัตโนมัติ(การเชื่อมต่ออินเทอร์เน็ต UDP ด่วน) โปรโตคอล QUIC ช่วยให้คุณเปิดการเชื่อมต่อได้ง่ายขึ้นและใช้พารามิเตอร์ TLS (HTTP) ทั้งหมดเมื่อเชื่อมต่อกับไซต์อย่างไรก็ตามในบางกรณีคุณอาจประสบปัญหากับ

การเชื่อมต่อ SSL - ลอง WimQUIC:;
ไปที่หน้า: chrome://flags/#enable-quic;
ค้นหาตัวเลือก โปรโตคอล QUIC ทดลอง;
เปลี่ยนค่าของตัวเลือกเริ่มต้น

พิการ

รีสตาร์ท Chrome

เพิ่มการรองรับโปรโตคอล TLS และ SSL

ประเด็นสุดท้ายคือ ในการแก้ไขปัญหา คุณจะต้องเปิดใช้งานการสนับสนุนสำหรับโปรโตคอล TLS และ SSL เวอร์ชันเก่าเท่านั้น

ตอนส่วนใหญ่จะกลายเป็นตอนที่มีประสิทธิภาพมากที่สุด แต่ฉันจะเลื่อนออกไปจนจบบทความอย่างแน่นอน

ให้ฉันอธิบายว่าทำไม

โปรโตคอล TLS และ SSL เวอร์ชันเก่าถูกเปิดใช้งานไม่เพียงเพราะความสมบูรณ์ของแอปพลิเคชัน แต่เนื่องจากการมีอยู่ของการรั่วไหลจำนวนมากที่ทำให้ผู้โจมตีสามารถถ่ายโอนข้อมูลของคุณไปยังการรับส่งข้อมูล HTTPS และเปลี่ยนเธรด ix

การเปิดใช้งานโปรโตคอลเก่าโดยไม่ไตร่ตรองจะลดความปลอดภัยของคุณบนอินเทอร์เน็ตลงได้จริง ซึ่งเป็นเหตุผลว่าทำไมคุณต้องไปที่ขั้นตอนสุดท้าย เนื่องจากอย่างอื่นไม่ได้ช่วยอะไรอย่างแน่นอน

เบราว์เซอร์และระบบปฏิบัติการในปัจจุบันได้รับการพัฒนามายาวนานเพื่อรองรับโปรโตคอล SSL/TLS ที่เก่ากว่าและอ่อนแอกว่า (SSL 2.0, SSL 3.0 และ TLS 1.1)

มาตรฐานคือ TLS 1.2 และ TLS 1.3

Adam Langley จาก Google ระบุว่า Chrome รุ่นล่าสุดจะพร้อมให้บริการแก่บุคคลทั่วไปทั่วโลก เขาไม่ได้ระบุวันที่เผยแพร่ นอกเหนือจากการบอกว่าเซิร์ฟเวอร์ HTTPS ที่ใช้ RC4 รวมถึง RC4 จะถูกปิดใช้งาน“เมื่อ Chrome สร้างการเชื่อมต่อ HTTPS คุณจะต้องทำทุกอย่างที่ทำได้เพื่อความปลอดภัยของคุณ” โดยมอบหมายให้ Langley เป็นผู้ให้บริการเฉพาะทางสำหรับ

[ป้องกันอีเมล] “ปัจจุบันการสนับสนุน RC4 สำหรับการเชื่อมต่อ HTTPS ไม่สามารถทำได้ ดังนั้นเราจึงวางแผนที่จะเปิดใช้งานการสนับสนุน RC4 ใน Chrome รุ่นใดรุ่นหนึ่งที่กำลังจะมาถึง”ปัจจุบันมีเสถียรภาพ

เวอร์ชันของไฟร์ฟอกซ์ และเวอร์ชันเบต้าสามารถติดตั้ง RC4 ได้โดยไม่ จำกัด อย่างไรก็ตามเนื่องจากกลิ่นจึงมีความน่าเชื่อถือเพียง 0.08 และ 0.05%สำหรับ Chrome ตัวเลขนี้แย่มาก - 0.13% “เพื่อที่จะทำงานต่อไปได้ ผู้ดำเนินการเซิร์ฟเวอร์สำรองที่จ่ายเงินทุกอย่างแล้ว จะต้องเปลี่ยนการกำหนดค่าเพื่อเปลี่ยนไปใช้ชุดการเข้ารหัสที่เชื่อถือได้มากที่สุด” แลงลีย์กล่าว Microsoft ประกาศเปิดตัวการสนับสนุนสำหรับอัลกอริทึมที่ล้าสมัยในผลิตภัณฑ์

ไมโครซอฟต์ เอดจ์

IE 11;

จะมีการเปิดใช้การสนับสนุนเพื่อเตรียมพร้อมสำหรับการเริ่มต้นของชะตากรรมที่จะมาถึง

ทฤษฎีดั้งเดิม: ส่วนขยายของโปรโตคอลการถ่ายโอนข้อมูล HTTP ซึ่งรองรับการเข้ารหัสข้อมูลนี้ - HTTPS - ซึ่งไม่อยู่ภายใต้โปรโตคอลการเข้ารหัส

การเข้ารหัสมีให้โดยโปรโตคอลการเข้ารหัส – SSL และ TLS

อย่างไรก็ตาม โยเกิร์ตไม่ได้ทั้งหมดเหมือนกัน: SSL ล้าสมัยไปแล้ว TLS เวอร์ชัน 1.0 ก็เหมือนกัน ดังนั้นในปัจจุบันขอแนะนำให้ใช้เฉพาะ TLS เวอร์ชัน 1.1 หรือ 1.2 เท่านั้น ก่อนหน้านั้น ข้อกำหนด HTTPS เวอร์ชันปัจจุบันถูกนำมาใช้ในปี 2000 ดังนั้นจึงเรียกว่า HTTP ผ่าน TLS คุณจะไม่รู้ด้วยซ้ำเกี่ยวกับ SSL ที่นั่นแม้ว่านี่จะเป็นทฤษฎีมากกว่า แต่ในทางปฏิบัติ TLS 1.2 ได้รับการสนับสนุนบนไซต์จำนวนหนึ่งเท่านั้น ในขณะที่ TLS 1.1 นั้นดีกว่ามาก แต่ก็ไม่ได้รองรับทุกที่เช่นกัน

ปัญหาของการสนับสนุน

รุ่นปัจจุบัน

TLS ย่อมาจาก “ฝั่งไคลเอ็นต์” ซึ่งจะอธิบายเพิ่มเติมในภายหลัง ดังนั้น เพื่อให้คอมพิวเตอร์ของคุณมีเฉพาะเวอร์ชันล่าสุดของโปรโตคอลการเข้ารหัสในปัจจุบัน (เด็ก ๆ เดาสิว่ามันเรียกว่าอะไร ถูกต้อง TLS! และเวอร์ชันอะไร ถูกต้อง ไม่ต่ำกว่า 1.1) คุณต้องสร้าง ระบบไร้สติจำนวนหนึ่ง iv ร่างกาย- ทำไม ถูกต้อง เพราะไม่มีใครติดตั้ง TLS 1.1/1.2 บนคอมพิวเตอร์ของเราให้เรา สำหรับเรา ให้ตรวจสอบเฉพาะ "ความสามารถในการให้บริการ" ของ Windows และเปิดแพ็คเกจ "Smittya" ใน Automaticsยังไงซะฉันก็เหนื่อยกับมันแล้ว

วิธีการโคลงสั้น ๆ: ฉันได้รับการยืนยันอย่างกว้างขวาง (และการสร้างใหม่นี้ได้รับการยืนยันจากการปฏิบัติ) ว่าคอมพิวเตอร์ 90% ยังคงสามารถใช้ Windows 3.11 ได้ (นี่คือระบบปฏิบัติการเมื่อต้นยุค 90) หรือในกรณีที่รุนแรง Windows 98 SE - “ การเขียน "เครื่องจักร" และเบราว์เซอร์ไม่แสดงสิ่งอื่นใดเพื่อที่พวกเขาจะได้ไม่โกหกเราเกี่ยวกับอินเทอร์เฟซใหม่ที่ดียิ่งขึ้นและสิ่งเล็กน้อยอื่น ๆ ของระบบปฏิบัติการเวอร์ชันใหม่ "ปฏิวัติ"

ดังนั้น ก่อนอื่น เราต้องเปิดใช้งานการรองรับ TLS 1.1 และ TLS 1.2 และเปิดใช้งาน SSL และ TLS 1.0 บนระบบปฏิบัติการนั้นเอง ซึ่งได้รับการสนับสนุนโดย Microsoft TLS/SSL Security Provider (schannel.dll)

คุณสามารถให้อะไรเราได้บ้าง? และสิ่งสำคัญคือ: โปรแกรมทั้งหมดที่ไม่ได้รันโมดูลรองรับ TLS แต่ใช้ระบบหนึ่ง ให้ใช้ TLS เวอร์ชันปัจจุบันนี่คือเหตุผลว่าทำไมจึงมีการปรับการสนับสนุนในลักษณะนี้ รุ่นปัจจุบัน TLS รวมถึง อินเทอร์เน็ตเบราว์เซอร์นักสำรวจ จริงๆ นะรุ่นเก่า

สำหรับ Windows XP - แปด - ไม่รองรับ TLS เวอร์ชันที่สูงกว่า 1.0
ปิ๊ด

วินโดวส์วิสต้า – รองรับ แต่สำหรับ Windows XP ไม่รองรับ ยิ่งกว่านั้น จะเพิกเฉยต่อการควบคุมการรับส่งข้อมูล TLS 1.0ยังไงล่ะ?

ขับเคลื่อนโดย Microsoft ไม่ใช่โดยฉัน เรายังคงดำเนินการในสิ่งที่เราคาดว่าจะปฏิบัติตามตามคำแนะนำของผู้ผลิตเอง มาดูกันดีกว่า: ไปที่ Register เพื่อรับที่อยู่กัน HKLM\SYSTEM\CurrentControlSet\Control\Se curityProviders\SCHANNEL\Protocols มีส่วน PCT 1.0, SSL 2.0, SSL 3.0 และ TLS 1.0 แต่ละส่วนมีส่วนไคลเอ็นต์และเซิร์ฟเวอร์ และเราสร้างคีย์ DisabledByDefault ในส่วนเหล่านั้น) อันใดอันหนึ่ง ได้รับการกำหนดมูลค่า 1 (หนึ่ง)

จากนั้นเราจะพบส่วน TLS 1.1 และ TLS 1.2 ที่นั่น และสร้างคีย์การคาดเดาในลักษณะที่คล้ายกัน จากนั้นป้อนค่าอื่น - 0 (ศูนย์)

นอกจากนี้เรายังเปิดใช้งานการเข้ารหัสที่อ่อนแอและอัลกอริธึมแฮช RC2, RC4, DES, MD4 และ MD5 รวมถึงการติดตั้งอย่างปลอดภัย การเชื่อมต่อที่ปลอดภัยคุณสามารถเปลี่ยนระหว่างการเปิดใช้งานและปิดใช้งานโปรโตคอลและอัลกอริธึมอื่นๆ ที่แก้ไขจากไฟล์ก่อนได้ ท่านสุภาพบุรุษ โปรดทราบ: หากคุณต้องการเชื่อมต่ออินเทอร์เน็ต คุณต้องใช้ระบบองค์กรมาตรการท้องถิ่น

และโดยเฉพาะอย่างยิ่งกับโดเมนปัญหาของโลกและเรื่องตลกเกี่ยวกับพวกเขาได้รับการแนะนำมากที่สุดขณะดื่มเบียร์กับผู้ดูแลระบบเครือข่าย;) โปรดทราบ:เบราว์เซอร์ Chrome

, Firefox, Opera และ Safari เป็นต้น

ทุกอย่างที่ไม่ได้ขึ้นอยู่กับกลไกของ Internet Explorer นั้นขึ้นอยู่กับโมดูลรองรับ SSL และ TLS และการตรวจสอบของเราไม่ครอบคลุมถึงสิ่งนี้

เอลไม่ได้หมายความว่าสามารถได้มา (ในความหมายคือ ปรับเปลี่ยน)
ทุกอย่างที่ไม่ได้ขึ้นอยู่กับกลไกของ Internet Explorer นั้นขึ้นอยู่กับโมดูลรองรับ SSL และ TLS และการตรวจสอบของเราไม่ครอบคลุมถึงสิ่งนี้

และเราจะพูดถึงการปรับเบราว์เซอร์ในครั้งต่อไป

เปิดใช้งาน TLS 1.1 และ 1.2 เปิดใช้งาน SSL และ TLS 1.0:

"เปิดใช้งาน"=dword:00000000
"DisabledByDefault"=dword:00000001

"DisabledByDefault"=dword:00000001

"DisabledByDefault"=dword:00000000

"AllowInsecureRenegoClients"=dword:00000 000

"AllowInsecureRenegoServers"=dword:00000 000