Настройка протоколов tls на windows server

Как включить или отключить TLS 1.0

1. Через свойства интернета

• Нажмите сочетание клавиш Win+R и введите inetcpl.cpl, чтобы быстро открыть свойства интернета.
• Перейдите во вкладку «Дополнительно».
• В списке найдите протокол TLS 1.0, TLS 1.1 или TLS 1.2.
• Поставьте галочку, чтобы включить и уберите, чтобы отключить.

2. Через реестр

Нажимаем Win+R и вводим regedit, чтобы открыть редактор реестра. В реестре переходим по следующему пути:

• Нажимаем правой кнопкой мыши по «Protocol» и Создать > Раздел.
• Называем новый раздел TLS 1.0 и жмем по нему правой кнопкой мыши.
• Создаем еще один раздел и именем Client.

Выделяем одним нажатием созданный раздел Client и справа на пустом поле жмем правой кнопкой мыши Создать > Параметр DWORD (32 бита). Назовите новый параметр Enabled. Щелкните по нему два раза, чтобы открыть свойства и задайте значение 1, чтобы включить и 0, чтобы отключить.

TLS 1 0, TLS 1 1, TLS 1 2 — Как включить и отключить протоколы

Источник

How can I enable TLS on Windows Server?

1. Enable TLS 1.2 on Windows Server by modifying the registry

1. If you are running Windows Server 2008, check this Microsoft’s article regarding the necessary update in order to enable TLS 1.2. Once you’ve installed updates, move to the steps below.
2. Open Registry Editor by pressing Windows key + R and entering regedit.
3. Since we are dealing with registry, we strongly suggest backing up the current registry state. Incorrect changes to the registry might have detrimental effects on your system.
4. Once we’ve dealt with that, follow this path:
5. Right-click on the empty space in the right pane and choose New and then Key.
6. Name the new key TLS 1.2 and click to expand it.
7. Navigate to TLS 1.2, click on the empty space in the right pane and add two new keys. Name the first one Client and the second one Server. It should look like this.
8. Now, select the Client key, right-click in the right pane and select New and then DWORD (32-bit) Value.
9. Name the DWORD DisabledByDefault, and double-click it.
10. Ensure that the Base is Hexadecimal and the value is (zero).
11. Create a new DWORD and name it Enabled and double-click it.
12. Ensure that the Base is, again, Hexadecimal and the Value is set to 1.
13. Repeat this for the Server key with the exactly the same DWORDS and values.
14. Close the Registry Editor and reboot your server.
15. If you want to revert back to the initial settings, just restore the Registry state from the backup.

Expert tip:

SPONSORED

Some PC issues are hard to tackle, especially when it comes to corrupted repositories or missing Windows files. If you are having troubles fixing an error, your system may be partially broken. We recommend installing Restoro, a tool that will scan your machine and identify what the fault is.Click here to download and start repairing.

To avoid any unplanned issues, it might be a good idea to use reliable backup software for Windows Server.

2. Enable TLS 1.2 with Powershell on Windows Server

1. Press Windows key + X and select Windows PowerShell (Admin) from the menu.
2. When PowerShell opens, run the following commands:

So, by applying these commands you trigger Windows Server to enable TLS 1.2 using PowerShell.

3. Disable TLS 1.0 and TLS 1.1

1. Open Registry Editor. To do that, press Windows key + R and enter regedit.
2. Navigate to
3. Select Protocols and in the right pane, right-click the empty space. Now choose New and select DWORD (32-bit) Value.
4. Create a new key as already explained, and name it TLS 1.1. You can create the one named TLS 1.0 as well.
5. Navigate to the TLS 1.1 key and create a new key called Client. You can also create a Server key if you want
6. Navigate to the key you created, and make a new DWORD named Enabled.
7. Dobule-click the Enabled DWORD. Set its value to and confirm changes.

How to enable TLS 1.3 on Windows Server?

1. Make sure you’re using Windows Sever 2022.
2. Press Windows key + S and enter command prompt. Select Run as adminsitrator.
3. Run the following command:

Is TLS 1.2 enabled on Windows Server 2016?

The good news is that starting with Windows Server 2016, TLS 1.2 is supported by default for WSUS.

In other words, there is no need to enable TLS 1.2 on Windows Server 2016 or Windows Server 2019.

Therefore, you only need to update TLS 1.2 on Windows Server 2012 and Windows Server 2012 R2 WSUS servers.

That’s how to enable or disable TLS on Windows Server. With those steps, TLS 1.2 is enabled and TLS 1.0 disabled with ease.

All of these solutions require you to modify your registry, so be sure to create a backup beforehand. Also, we advise you to check our guide on how to restore Windows registry without a backup for more information.

What method do you use to enable TLS 1.2 on Windows Server? Let us know in the comments section below.

Was this page helpful?

12

MyWOT
Trustpilot

Thank you!

Not enough details

Hard to understand

Other

x

Contact an Expert

There are 6 comments

Серверный сертификат

Для подписи сертификата для сервера нам нужно выполнить следующие действия:

1) Сгенерировать ключ
2) Сгенерировать запрос на подпись
3) Отправить CSR-файл в авторизационный центр или подписать самостоятельно

В серверный сертификат может включаться цепочка сертификатов, которыми подписан сертификат сервера, но ее можно также хранить в отдельном файле. В принципе, выглядит всё примерно так же, как и при генерации корневого сертификата

$ openssl genrsa -out server.key 2048
Generating RSA private key, 2048 bit long modulus
...................................................................................+++
..........................+++
e is 65537 (0x10001)

$ openssl req -new -key server.key -out server.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) :RU
State or Province Name (full name) :N/A
Locality Name (eg, city) []:Saint-Petersburg
Organization Name (eg, company) :My Company
Organizational Unit Name (eg, section) []:IT Service
Common Name (e.g. server FQDN or YOUR name) []:www.mycompany.com
Email Address []:[email protected]

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

$ openssl x509 -req -in server.csr -CA root.pem -CAkey root.key -CAcreateserial -out server.pem -days 365
Signature ok
subject=/C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN=www.mycompany.com/[email protected]
Getting CA Private Key

$ openssl x509 -noout -issuer -subject -enddate -in server.pem
issuer= /C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN=My Company Root Certificate/[email protected]
subject= /C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN=www.mycompany.com/[email protected]
notAfter=Jan 25 12:22:32 2016 GMT

Таким образом сертификат сервера подписан и мы будем знать, какой организацией выдан этот сертификат. После подписи готовый сертификат можно использовать по назначению, например, установить на веб-сервер.

Развлекушечки (факультатив)

Давай все же добьем тему и узнаем, какие данные летают между исследуемой программой и ее back-end’ом при запуске. Как не трудно заметить со снимка окна Follow SSL Stream, клиент (JOSM) запрашивает у сервера josm.openstreetmap.de некое изображение по адресу . Тот незамедлительно его возвращает (HTTP-заголовок Content-Type: image/png). Тело ответа является двоичным представлением этого изображения.

Чтобы посмотреть его само, сохрани диалог в какой-нибудь файл с расширением *.PNG (кнопка Save As), затем открой текстовым редактором (только не стандартным Блокнотом, лучше Notepad++) и удали из него все, что стоит перед строкой «.PNG» и после строки «0». Сохрани и теперь открой уже как изображение. Если к моменту прочтения тобою этих строк авторы JOSM ничего не изменили, ты увидишь это:

Иконка тулбара — вот что за зашифрованный трафик ходил между сервером и клиентом при старте приложения

Правильно, это та же самая иконка, которая красуется на кнопке «Скачать картографические данные с сервера OSM» внутри программы JOSM:

Она самая! Только зачем?

В чем смысл такого поведения – в проверке ли доступности сервера или в более изощренной бизнес-логике – нам, видимо, не понять, да и незачем. Быть может, несколько обидно провернуть такую работу, чтобы в конце получить какую-то бесполезную картинку. Но согласись, наивно было рассчитывать найти вместо нее логины и пароли руководства Пентагона. Главное – ты освоил принцип. Дальше – дело техники.

Вопросы и ответы

Зачем использовать TLS 1.2 с диспетчером конфигурации?

TLS 1.2 является более безопасным по сравнению с предыдущими криптографическими протоколами, такими как SSL 2.0, SSL 3.0, TLS 1.0 и TLS 1.1. По сути, TLS 1.2 обеспечивает более безопасную передачу данных по сети.

Где диспетчер конфигурации использует протоколы шифрования, такие как TLS 1.2?

В основном существует пять областей, в которых в диспетчере конфигурации используются протоколы шифрования, такие как TLS 1.2:

• Клиентская связь с ролями сервера сайта на основе IIS при настройке роли для использования HTTPS. Примеры этих ролей включают точки распространения, точки обновления программного обеспечения и точки управления.
• Управление точкой, SMS Executive и SMS-провайдером связи с SQL. Диспетчер конфигурации всегда шифрует SQL Server связи.
• Сервер сайта для сообщений WSUS, если WSUS настроен на использование HTTPS.
• Консоль Configuration Manager SQL Server Reporting Services (SSRS), если SSRS настроена на использование HTTPS.
• Любые подключения к интернет-службам. В качестве примеров можно привести шлюз управления облаком (CMG), синхронизацию точечной точки подключения к службе и синхронизацию метаданных обновления из Microsoft Update.

Что определяет, какой протокол шифрования используется?

HTTPS всегда будет вести переговоры о самой высокой версии протокола, поддерживаемой как клиентом, так и сервером в зашифрованном разговоре. При создании подключения клиент отправляет сообщение на сервер с самым доступным протоколом. Если сервер поддерживает ту же версию, он отправляет сообщение с помощью этой версии. Эта согласованная версия используется для подключения.

Если сервер не поддерживает версию, представленную клиентом, в сообщении сервера будет указана самая высокая версия. Дополнительные сведения о протоколе рукопожатия TLS см. в дополнительных сведениях о создании безопасного сеанса с помощью TLS.

Способы включения TLS 1.2 в разных Windows

Процесс включения TLS 1.2 может отличаться для различных версий Windows. Давайте обсудим, как можно включить TLS 1.2 в Windows 11, 10, 7 и других версиях.

1. Для Windows 11

Чтобы включить TLS 1.2 в Windows 11, выполните следующие действия.

1. Откройте меню «Пуск», найдите «Параметры Интернета» и откройте его.
2. Перейдите на вкладку «Дополнительно» и найдите пункт TLS. Установите флажок напротив TLS 1.2.
3. Нажмите кнопку Применить, а затем нажмите кнопку OK, чтобы сохранить изменения.
4. Теперь перезапустите браузер, и TLS 1.2 будет включен. 

2. Для Windows 10

Чтобы включить версию TLS 1.2 в Windows 10, выполните следующие действия.

1. Запустите Google Chrome на вашем компьютере.
2. Нажмите на три точки в правом верхнем углу и выберите пункт Настройки.
3. Здесь нажмите на опцию Дополнительно. Затем прокрутите вниз и выберите опцию Система.

4. Затем выберите опцию Открыть настройки прокси-сервера вашего компьютера и нажмите на опции Интернет.

5. На вкладке Дополнительно выберите опцию Безопасность. 
6. Теперь установите флажок Использовать TLS 1.2.
7. Нажмите кнопку Применить, а затем кнопку OK.
8. После этого перезапустите браузер Google Chrome, и проблема будет устранена.

3. Для Windows 7

Ниже описаны шаги по включению TLS 1.2 на Windows 7. Прежде чем приступить к выполнению этих действий, сделайте резервную копию реестра.

1. Нажмите клавишу Windows, найдите «Редактор реестра» и откройте его.
2. Перейдите по следующему адресу-.
3. На левой боковой панели щелкните правой кнопкой мыши на Protocols, нажмите на New и выберите опцию Key.
4. Переименуйте созданный ключ в TLS 1.2.
5. Теперь щелкните правой кнопкой мыши на TLS 1.2, нажмите на New, а затем на Key.
6. Переименуйте созданный ключ в Client.
7. Щелкните правой кнопкой мыши на Client, выберите New, а затем DWORD (32-bit) Value.
8. Измените имя нового значения DWORD на Disablebydefault.
9. После этого закройте редактор реестра и перезагрузите компьютер.

4. Windows Server 2019

Чтобы включить TLS 1.2 на Windows server 2019, выполните следующие действия.

1. Нажмите комбинацию клавиш Windows + R, введите Regedit и нажмите Enter.
2. Перейдите по следующему адресу -.
3. Затем щелкните правой кнопкой мыши на правой панели, выберите опцию New и нажмите на Key.
4. Переименуйте новый ключ в TLS 1.2
5. Щелкните правой кнопкой мыши на TLS 1.2, затем на New, а затем выберите Key. Назовите ключ Client
6. Затем щелкните правой кнопкой мыши на Client, выберите опцию New и щелкните на DWORD(32-bit) Value.
7. Задайте DisableByDefault в качестве имени DWORD. 
8. Дважды щелкните на созданном DWORD, чтобы отредактировать его.
9. Здесь установите основание как Hexadecimal и измените Value Data на 0.
10. Снова щелкните правой кнопкой мыши на Client, выберите New, а затем DWORD (32-bit) Value. Задайте его имя как enabled.
11. Дважды щелкните на нем, чтобы отредактировать его. Там убедитесь, что основание установлено как шестнадцатеричное, присвойте Value Data значение 1 и нажмите OK.
12. Сделайте то же самое для ключа сервера.
13. Наконец, закройте редактор реестра и перезагрузите компьютер.

5. Windows Server 2016

Для включения TLS 1.2 на Windows server 2016 выполните следующие действия.

1. Сначала откройте редактор реестра на вашем компьютере.
2. Перейдите по следующему адресу-.
3. Там щелкните правой кнопкой мыши на правой панели. В открывшемся меню нажмите на опцию New (Новый), а затем нажмите на Key (Ключ).
4. Переименуйте этот новый ключ в TLS 1.2.
5. Затем снова щелкните правой кнопкой мыши на пустой правой панели и, на этот раз, создайте два новых ключа. Назовите один из них Client, а другой — Server.
6. Щелкните правой кнопкой мыши на ключе Client, нажмите New и выберите опцию DWORD(32-bit) value.
7. Переименуйте значение DWORD в DisabledByDefault.
8. Double-dir. Там убедитесь, что основание установлено в шестнадцатеричное значение, а значение равно нулю. 
9. После этого создайте еще один файл DWORD и переименуйте его в Enabled.
10. Убедитесь, что основание шестнадцатеричное, а значение равно 1.
11. Для Server Key повторите описанные выше шаги и присвойте те же значения.
12. Теперь перезагрузите компьютер, и TLS 1.2 должен быть включен. 

Заключение 

Это были все способы включения TLS 1.2 на всех версиях windows, таких как Windows 11, 10, 7, Server 2019, Server 2016 и т.д. Более того, мы также рассказали, как можно проверить, какая версия TLS поддерживается на вашем ПК. 

WinRM Encryption

По умолчанию WinRM не будет работать при запуске по незашифрованному каналу.Протокол WinRM считает канал зашифрованным при использовании TLS через HTTP (HTTPS)или при использовании шифрования на уровне сообщений.Рекомендуется использовать WinRM с TLS,так как он работает со всеми опциями аутентификации,но требует создания и использования сертификата на WinRM-приемнике.

создает самозаверяющий сертификат и создает слушатель с этим сертификатом. В доменной среде ADCS также может создать сертификат для хоста, который выдается самим доменом.

Если использование HTTPS не является опцией, тогда HTTP может использоваться, когда опцией аутентификации является , или . Эти протоколы будут шифровать полезную нагрузку WinRM с помощью собственного метода шифрования перед отправкой на сервер. Шифрование на уровне сообщений не используется при работе по протоколу HTTPS, поскольку вместо него используется более безопасный протокол TLS. Если требуется как транспорт, так и шифрование сообщений, задайте в параметрах хоста.

Note

Для шифрования сообщений через HTTP требуется pywinrm> = 0.3.0.

Последним средством является отключение требования шифрования на хосте Windows.Это должно использоваться только в целях разработки и отладки,так как все,что отправляется из Ansible,может быть просмотрено,с ним можно манипулировать,а также удаленный сеанс может быть полностью перенят кем угодно в одной и той же сети.Чтобы отключить требование шифрования:

Set-Item -Path WSMan:\localhost\Service\AllowUnencrypted -Value $true

Note

Не отключайте проверку шифрования,если она не является абсолютно необходимой.Это может позволить перехватить конфиденциальную информацию,такую как учетные данные и файлы,другими людьми в сети.

Troubleshooting

В этом нетривиальном процессе есть 1000 и 1 момент, в который что-то может пойти не так.

Основной источник проблем (по опыту автора) – это сам Wireshark. Он весьма чувствителен к содержимому NSS-файлов, поэтому первое, с чего стоит начать разбор проблем, это проверить, нет ли отклонений от формата NSS (в том числе лишних или недостающих пробелов). Правда, при этом Wireshark же является и бесценным источником данных для выяснения причин ошибок – он может вести лог обработки NSS-файла и в нем буквально говорить, что идет не так.

Чтобы включить этот лог, укажи все в том же окне настроек SSL путь к файлу, в который он должен выводиться:

Указываем путь в логу ошибок парсинга NSS

В этот лог могут попасть записи не только о работе с SSL, и Wireshark весьма подробен в логировании, поэтому указывать этот файл лучше непосредственно перед попыткой дешифрации трафика. Другие особенности работы с логами Wireshark ты можешь почерпнуть из работы Sally Vandeven’а (на английском, приложение B).

Также не забывай, что для исключения человеческого фактора работу по анализу логов приложения и составлению NSS-файла можно вообще поручить утилите NSS Java Maker.

Исправляем ошибку

В случае, если причина появления проблемы действительно скрывается на стороне сайта, исправить ошибку своими силами не получится. Во всех остальных ситуациях со сбоем можно справиться, приложив некоторые усилия.

Настраиваем антивирус

Для начала рекомендуется убедиться в том, что доступ заблокирован не антивирусом. Проверить настройки антивирусного ПО можно по следующей инструкции:

1. Avast – переходим в настройки, находим блок «Активная защита», снимаем галочку с пункта «Сканировать веб-трафик», активируем вариант «Включить сканирование HTTPS».
2. Kaspersky – находим кнопку «Не проверять защищённое соединение» в разделе «Сканирование»; при его отсутствии переходим в «Дополнительные настройки» и используем вариант «Установить сертификат».
3. Любой другой антивирус – находим пункт, указывающий на сканирование Интернет-соединения, и пробуем отключить его.

Обновляем «КриптоПро»

Пользователи утилиты «КриптоПро» очень часто жалуются на то, что при попытке перехода на какой-либо сайт браузер выводит уведомление о ненадёжности протокола TLS. Обычно ошибку вызывает именно устаревший выпуск «КриптоПро». Единственное решение – обновить программу для новейшей версии. Загрузить обновлённое приложение можно по этой ссылке.

Меняем настройки браузера

Попробуйте открыть сайт через другой браузер – как бы банально это не прозвучало, но зачастую проблема решается сразу. Если один обозреватель открывает запрашиваемый ресурс без проблем, а второй выдаёт ошибку, нужно:

1. Для Internet Explorer – перейти в «Сервис», нажать на «Свойства», кликнуть по «Дополнительно», открыть «Безопасность», переместить переключатель с «SSL» на «TLS».
2. Для Opera – перейти в «Инструменты», открыть «Общие настройки», в блоке «Расширенные» найти строку «Протоколы безопасности», деактивировать графу «Anonymous DH/SHA-256».
3. Для Mozilla Firefox – та же последовательность, что и для IE.

В Google Chrome и других обозревателях нужной нам настройки нет – придётся либо сменить любимый браузер, либо искать причину в другом.

Используем дополнительные варианты

Предлагаем ещё несколько способов, не нуждающихся в подробном описании:

1. Полностью отключить защиту антивируса на определённое время.
2. Выполнить очистку файлов «cookie» и удалить данные веб-сайтов в используемом браузере.
3. Отключить VPN-приложения.
4. Провести глубокую проверку файловой системы антивирусом.

Мы предложили наиболее простые и эффективные методы – вероятнее всего, один из них поможет получить доступ к запрашиваемому ресурсу.

«Прослушка» информации о сертификате при помощи openssl

Для проверки взаимодействия сервера с клиентскими сертификатами можно проверить, устанавливается ли соединение с использованием TLS/SSL.

На стороне сервера запускаем прослушку порта при помощи openssl:

openssl s_server -accept 443 -cert server.pem -key server.key -state

На стороне клиента обращаемся к серверу, например, culr’ом:

curl -k https://127.0.0.1:443

В консоли со стороны сервера можно наблюдать процесс обмена информацией между сервером и клиентом.

Можно также использовать опции -verify и -Verify . Опция с маленькой буквы запрашивает у клиента сертификат, но он не обязан его предоставлять. С большой буквы — если сертификат не предоставлен, возникнет ошибка. Запустим прослушку со стороны сервера таким образом:

openssl s_server -accept 443 -cert server.pem -key server.key -state -Verify 3

Со стороны сервера ошибка выглядит так:

140203927217808:error:140890C7:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:peer did not return a certificate:s3_srvr.c:3287:

Со стороны клиента так:

curl: (35) error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure

Добавим с клиентской стороны сертификат и доменное имя (можно для проверки вписать в файл /etc/hosts имя хоста для адреса 127.0.0.1):

curl https://www.mycompany.com:443 --cacert root.pem --cert client.pem --key client.key

Теперь соединение пройдет успешно и можно устанавливать серверный сертификат на веб-сервер, клиентский отдать клиенту, и работать с ними.

Подробнее о протоколе TLS

В энциклопедии говорится, что TLS — это особый протокол защиты, который задействован при транспортировке данных по сети. У него был предшественник — SSL. Оба относятся к криптографическим протоколам. При передаче данных используется асимметричное шифрование. Для конфиденциальности используется симметричное шифрование. А для подтверждения целостности одного сообщения задействуются специальные коды.

TLS применяется сегодня практически во всех приложениях, связанных с передачей данных: интернет-браузер, мессенджер (VoIP), электронная почта. Первая версия протокола (SSL) была разработана компанией Netscape Communication. На данным момент более новой версией и её развитием занимается инженерный совет Интернета (IETF).

TLS 1.2 Поддержка

Поскольку WinRM работает по протоколу HTTP,использование HTTPS означает,что протокол TLS используется для шифрования сообщений WinRM.TLS автоматически пытается согласовать лучший протокол и набор шифров,доступный как клиенту,так и серверу.Если совпадение не может быть найдено,то Ansible выдаст ошибку с сообщением,похожим на него:

HTTPSConnectionPool(host='server', port=5986): Max retries exceeded with url: /wsman (Caused by SSLError(SSLError(1, ' unsupported protocol (_ssl.c:1056)')))

Обычно это происходит,когда хост Windows не настроен на поддержку TLS v1.2,но это также может означать,что на контроллере Ansible установлена старая версия OpenSSL.

Windows 8 и Windows Server 2012 поставляются с установленным и включенным по умолчанию TLS v1.2,но старые узлы,такие как Server 2008 R2 и Windows 7,нужно включать вручную.

Note

Есть ошибка с заплаткой TLS 1.2 для сервера 2008,которая остановит Ansible от подключения к хосту Windows.Это означает,что сервер 2008 нельзя настроить на использование TLS 1.2.Server 2008 R2 и Windows 7 не затронуты этой проблемой и могут использовать TLS 1.2.

Чтобы проверить,какой протокол поддерживает хост Windows,можно выполнить следующую команду на контроллере Ansible:

openssl s_client -connect <hostname>:5986

Вывод будет содержать информацию о сеансе TLS, а в строке будет отображаться согласованная версия:

New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1
    Cipher    : ECDHE-RSA-AES256-SHA
    Session-ID: 962A00001C95D2A601BE1CCFA7831B85A7EEE897AECDBF3D9ECD4A3BE4F6AC9B
    Session-ID-ctx:
    Master-Key: ....
    Start Time: 1552976474
    Timeout   : 7200 (sec)
    Verify return code: 21 (unable to verify the first certificate)
---

New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: AE16000050DA9FD44D03BB8839B64449805D9E43DBD670346D3D9E05D1AEEA84
    Session-ID-ctx:
    Master-Key: ....
    Start Time: 1552976538
    Timeout   : 7200 (sec)
    Verify return code: 21 (unable to verify the first certificate)

Если хост возвращает , его следует настроить так, чтобы TLS v1.2 был включен . Вы можете сделать это, запустив следующий скрипт PowerShell:

Function Enable-TLS12 {
    param(
        
        $Component = "Server"
    )

    $protocols_path = 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols'
    New-Item -Path "$protocols_path\TLS 1.2\$Component" -Force
    New-ItemProperty -Path "$protocols_path\TLS 1.2\$Component" -Name Enabled -Value 1 -Type DWORD -Force
    New-ItemProperty -Path "$protocols_path\TLS 1.2\$Component" -Name DisabledByDefault -Value 0 -Type DWORD -Force
}

Enable-TLS12 -Component Server


Enable-TLS12 -Component Client

Restart-Computer

Для включения TLS v1.2 можно использовать следующие Допустимые задачи:

- name: enable TLSv1.2 support
  win_regedit:
    path: HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\{{ item.type }}
    name: '` item`.`property `'
    data: '` item`.`value `'
    type: dword
    state: present
  register: enable_tls12
  loop:
  - type: Server
    property: Enabled
    value: 1
  - type: Server
    property: DisabledByDefault
    value: 
  - type: Client
    property: Enabled
    value: 1
  - type: Client
    property: DisabledByDefault
    value: 

- name: reboot if TLS config was applied
  win_reboot:
  when: enable_tls12 is changed

Существуют и другие способы настройки протоколов TLS, а также наборов шифров, предлагаемых хостом Windows. Одним из инструментов, который может предоставить вам графический интерфейс для управления этими настройками, является IIS Crypto от Nartac Software.

Обслуживание соединения со стороны сервера

В основном сервер прослушивает входящие сообщения и обрабатывает их по мере поступления запросов. Операции сервера включают в себя:

• создание сокета для начала прослушивания 80-го (или другого) порта,
• получение запроса и анализ сообщения,
• обработку ответа,
• установку заголовка ответа,
• отправку ответа клиенту,

прерывание соединение, если возникло сообщение: Connection: close.

Естественно, это далеко не полный перечень операций. Для создания наиболее индивидуальных ответов веб-сайты и программы должны “понимать”, кто посылает запросы. За это отвечают процессы идентификации и аутентификации.

Принцип работы TLS

Процесс работы TLS можно разбить на несколько этапов:

• TLS Handshake
• TLS False Start
• TLS Chain of trust

TLS Handshake
— согласует параметры соединения между клиентом и сервером (способ шифрования, версию протокола), а также проверяет сертификаты. Данная процедура использует большое количество вычислительных ресурсов, поэтому, чтобы каждый раз не устанавливать новое соединение и не проверять сертификаты повторно, была разработана процедура TLS False Start.

TLS False Start
— процедура возобновления сессии. Если ранее открывалась сессия между клиентом и сервером, данный этап позволяет пропустить процедуру Handshake, используя данные, которые были сконфигурированы ранее. Однако в целях безопасности каждая сессия имеет свой срок жизни и, если он истек, она будет повторно открыта с помощью процедуры TLS Handshake.

TLS Chain of trust
— обязательная процедура TLS-соединения. Она обеспечивает аутентификацию между клиентом и сервером. Она строится на «цепочке доверия», которая основана на сертификатах подлинности, выдаваемых Сертификационными центрами. Центр сертификации проверяет подлинность сертификата и, если он скомпрометирован, данные отзываются. Благодаря данной процедуре и происходит проверка подлинности передаваемых данных.

Таким образом, при передаче данных сначала вызывается процедура TLS Handshake или TLS False Start, которая согласовывает параметры, а затем TLS Chain of trust, которая обеспечивает аутентификацию (проверку авторства передаваемой информации).

Подробнее с принципами работы TLS вы можете ознакомиться в официальной документации Datatracker .

Особенности и назначение протокола TLS

В протоколе TLS используются следующие алгоритмы:

• RC4, Triple DES, SEED, IDEA и др. для симметричного шифрования.
• RSA, DSA, Diffie-Hellman и ECDSA для проверки подлинности ключей.
• MD5, SHA и SHA-256/384 для хэш-функций.

Приложения осуществляют обмен записями, которые хранят в себе данные. Записи могут быть сжаты, дополнены, зашифрованы или же идентифицированы. При этом в каждой записи указываются данные о длине пакета и используемой версии TLS.

В общем случае применение криптографии в протоколах SSL/TLS значительно снижает производительность приложений, зато обеспечивает надежную защиту передачи данных. Протоколы не требуют практически никаких настроек с клиентской стороны, считаются самыми распространенными протоколами защиты в сети интернет.

При переходе на какой-либо государственный или служебный портал (например, «ЕИС») пользователь может внезапно столкнуться с ошибкой «Не удается безопасно подключиться к этой странице. Возможно, на сайте используются устаревшие или ненадежные параметры безопасности протокола TLS». Данная проблема имеет довольно распространённый характер, и фиксируется на протяжении нескольких лет у различных категорий пользователей. Давайте разберёмся с сутью данной ошибки, и вариантами её решения.

Как известно, безопасность подключения пользователей к сетевым ресурсам обеспечивается за счёт использования SSL/TSL – криптографических протоколов, ответственных за защищённую передачу данных в сети Интернет. Они используют симметричное и ассиметричное шифрование, коды аутентичности сообщений и другие специальные возможности, позволяющие сохранять конфиденциальность вашего подключения, препятствуя расшифровке сессии со стороны третьих лиц.

Если при подключении к какому-либо сайту браузер определяет, что на ресурсе используются некорректные параметры протокола безопасности SSL/TSL, то пользователь получает указанное выше сообщение, а доступ к сайту может быть заблокирован.

Довольно часто ситуация с протоколом TLS возникает на браузере IE – популярном инструменте работы со специальными государственными порталами, связанными с различными формами отчётности. Работа с такими порталами требует обязательного наличия браузера Internet Explorer, и именно на нём рассматриваемая проблема возникает особенно часто.

Причины ошибки «Возможно, на сайте используются устаревшие или ненадежные параметры безопасности протокола TLS» могут быть следующими: