Dėl tam tikrų priežasčių kai kurios HTTPS svetainės man nustojo atsidaryti (ne visos!). Kai bandote atidaryti tokią svetainę naršyklėje, pasirodo langas su klaida „Ši svetainė negali užtikrinti saugaus ryšio“. Svetainės nerodomos Google Chrome„Opera“ ir „Yandex“ naršyklėse. Be HTTPS atidaromos kai kurios svetainės, bet ne visos, tik tos, kurių puslapiai pasiekiami ir HTTPS protokolu, ir HTTP protokolu. Google Chrome atidarant HTTPS svetainę klaida atrodo taip:

Ši svetainė negali užtikrinti saugaus ryšio.
Svetainėje sitename.ru naudojamas nepalaikomas protokolas.
ERR_SSL_VERSION_OR_CIPHER_MISMATCH.
Kliento ir serverio palaikymas skirtingos versijos SSL protokolas ir šifrų rinkinys. Labiausiai tikėtina, kad serveris naudoja RC4 šifrą, kuris laikomas nesaugiu.

„Opera“ ir „Yandex“ naršyklėse klaida atrodo maždaug taip pat. Kaip galiu atidaryti tokias svetaines?

Atsakymas

Kaip tikriausiai jau supratote, problema susijusi su SSL ryšio tarp jūsų kompiuterių ir HTTPS svetainės problemomis. Šios klaidos priežastys gali būti gana skirtingos. Šiame straipsnyje bandžiau surinkti visus metodus, kaip ištaisyti klaidą „Ši svetainė negali užtikrinti saugaus ryšio“ (Ši svetainė negali užtikrinti saugaus ryšio, ERR_SSL_PROTOCOL_ERROR) įvairiose naršyklėse.

Noriu iš karto pažymėti, kad nepaisant to Google naršyklės Išleistos „Chrome“, „Opera“ ir „Yandex“ naršyklės skirtingos įmonės, tiesą sakant, visos šios naršyklės yra pagrįstos tuo pačiu varikliu - Chrome ir problema dėl klaidų atidarant HTTPS svetaines jose išspręsta taip pat.

Visų pirma, turite įsitikinti, kad problema nėra pačioje HTTPS svetainėje. Pabandykite jį atidaryti iš kitų įrenginių (telefono, planšetinio kompiuterio, namų / darbo kompiuterio ir kt.). Taip pat patikrinkite, ar jis atidaromas kitose naršyklėse, pvz., IE / Edge arba Mozilla Firefox. „Firefox“ panaši klaida buvo aptarta straipsnyje.

Išvalykite naršyklės talpyklą ir slapukus, SSL talpyklą

Gali būti naršyklės talpykla ir slapukai bendra priežastis klaidų naudojant SSL sertifikatus. Pirmiausia rekomenduojame išvalyti naršyklės talpyklą ir slapukus. „Chrome“ turite paspausti spartųjį klavišą Ctrl + Shift + Delete, pasirinkite laikotarpį ( Visą laiką) ir spustelėkite mygtuką išvalyti duomenis ( Ištrinti duomenis/Išvalyti duomenis).

Norėdami išvalyti SSL talpyklą sistemoje Windows:

  1. Eikite į skyrių Kontrolės skydelis -> Naršyklės ypatybės;
  2. Spustelėkite skirtuką Turinys;
  3. Spustelėkite mygtuką Išvalyti SSL (Išvalyti SSL būseną);
  4. Turėtų pasirodyti pranešimas „SSL talpykla sėkmingai išvalyta“;
  5. Belieka iš naujo paleisti naršyklę ir patikrinti, ar ERR_SSL_PROTOCOL_ERROR klaida išlieka.

Išjunkite trečiųjų šalių naršyklės plėtinius

Rekomenduojame išjungti (pašalinti) trečiųjų šalių plėtiniai naršyklė, ypač visų rūšių anonimizatoriai, tarpiniai serveriai, VPN, antivirusiniai plėtiniai ir kiti panašūs priedai, kurie gali trukdyti srautui perduoti į tikslinę svetainę. „Chrome“ įgalintų plėtinių sąrašą galite peržiūrėti apsilankę adresu Nustatymai -> Papildomi įrankiai -> Plėtiniai, arba apsilankę puslapyje chrome://extensions/. Išjunkite visus įtartinus plėtinius.

Patikrinkite antivirusinės programos ir ugniasienės nustatymus

Jei jūsų kompiuteryje yra antivirusinė programa arba ugniasienė(dažnai ji yra integruota į antivirusinę programą), gali būti, kad jie blokuoja prieigą prie svetainės. Norėdami suprasti, ar antivirusinės programos ar ugniasienės riboja prieigą prie svetainės, pabandykite laikinai sustabdyti jų darbą.
Daugelyje šiuolaikinių antivirusinių programų pagal numatytuosius nustatymus yra SST / TLS svetainės sertifikatų tikrinimo modulis. Jei antivirusinė programa nustato, kad svetainė naudoja nepakankamai saugų (ar) sertifikatą arba pasenusią SSL protokolo versiją (tą patį), vartotojo prieiga prie tokios svetainės gali būti apribota. Pabandykite išjungti HTTP/HTTPS srauto nuskaitymą ir SSL sertifikatai. Kaip suprantate, viskas priklauso nuo įdiegtos antivirusinės programos. Pavyzdžiui:


Patikrinkite datos ir laiko nustatymus

Neteisinga data ir laikas (ir ) kompiuteryje taip pat gali sukelti klaidą užmezgant saugų ryšį su HTTPS svetainėmis. Juk, atlikdama autentifikavimą, sistema patikrina svetainės ir aukštesnės sertifikavimo institucijos sertifikato sukūrimo datą ir galiojimo laiką.

Atnaujinkite „Windows“ šakninius sertifikatus

Jei jūsų kompiuteris yra izoliuotame segmente, ilgą laiką nebuvo atnaujintas arba paslauga jame visiškai išjungta automatinis atnaujinimas, jūsų kompiuteryje gali nebūti naujų patikimų šakninių sertifikatų (TrustedRootCA). Rekomenduojame atnaujinti sistemą: įdiegti Naujausi Atnaujinimai saugumas, Windows 7 atveju – būtinai įdiekite SP1 () ir laiko juostos naujinimus ().

Galite rankiniu būdu atnaujinti šakninius sertifikatus vadovaudamiesi straipsniu: (taip pat rekomenduojame, kad tai neleis perimti HTTPs srauto ir daugelio kitų problemų).

Išjungti QUIC protokolo palaikymą

Patikrinkite, ar „Chrome“ įjungtas protokolo palaikymas QUIC(Greitas UDP interneto ryšys). QUIC protokolas leidžia daug greičiau užmegzti ryšį ir derėtis dėl visų TLS (HTTP) parametrų jungiantis prie svetainės. Tačiau kai kuriais atvejais tai gali sukelti problemų SSL jungtys. Pabandykite išjungti QUIC:

  1. Eiti į puslapį: chrome://flags/#enable-quic;
  2. Raskite variantą Eksperimentinis QUIC protokolas;
  3. Pakeiskite numatytosios parinkties reikšmę į Išjungta;
  4. Iš naujo paleiskite „Chrome“.

Įgalinti TLS ir SSL protokolų palaikymą

Ir labiausiai paskutinė pastraipa- greičiausiai norint išspręsti problemą, pakaks įjungti senesnių TLS ir SSL protokolų versijų palaikymą. Daugeliu atvejų tai bus veiksmingiausia, bet aš sąmoningai perkėliau jį į straipsnio pabaigą. Paaiškinsiu kodėl.

Senosios TLS ir SSL protokolų versijos išjungiamos ne vien dėl kūrėjų užgaidos, o dėl daugybės pažeidžiamumų, leidžiančių užpuolikams perimti jūsų duomenis HTTPS sraute ir net juos modifikuoti. Neapgalvotas senų protokolų įjungimas gerokai sumažina jūsų saugumą internete, todėl šio metodo reikėtų griebtis kraštutiniu atveju, jei visa kita tikrai nepadėjo.

Šiuolaikinės naršyklės ir operacinės sistemos jau seniai atsisakė senų ir pažeidžiamų SSL/TLS protokolų (SSL 2.0, SSL 3.0 ir TLS 1.1) palaikymo. TLS 1.2 ir TLS 1.3 dabar laikomi standartiniais

Jei svetainė naudoja senesnę SSL/TLS protokolo versiją, nei palaiko klientas/naršyklė, vartotojas mato klaidą nustatydamas saugų ryšį.

Norėdami įjungti senesnes SSL/TLS protokolų versijas (dar kartą pažymiu – tai nesaugu):

Jei visi aukščiau pateikti metodai nepadėjo pašalinti klaidos „Ši svetainė negali užtikrinti saugaus ryšio“, taip pat pabandykite:

Bendroji teorija: HTTP duomenų perdavimo protokolo plėtinys, palaikantis šių duomenų šifravimą – HTTPS – nėra pats šifravimo protokolas. Už šifravimą atsakingi kriptografiniai protokolai – SSL arba TLS.

Tuo pačiu metu ne visi jogurtai yra vienodai naudingi: SSL yra visiškai pasenęs, TLS 1.0 versija taip pat, todėl šiandien rekomenduojama naudoti tik 1.1 arba 1.2 TLS versijas. Beje, naujausia HTTPS specifikacijos versija, priimta dar 2000 m., vadinasi HTTP per TLS, apie SSL ten beveik neužsimenama.

Bet tai tik teorija, praktiškai TLS 1.2 vis dar palaikomas tik ribotame skaičiuje svetainių, su TLS 1.1 jau pastebimai geresnis, bet ir ne visur. Šiuolaikinių TLS versijų palaikymo problema taip pat yra „kliento pusėje“, daugiau apie tai vėliau.

Taigi, norint savo kompiuteryje naudoti tik naujausias dabartinio kriptografinio protokolo versijas (Nagi, vaikai, primink, kaip jis vadinasi? Taip, TLS! O kuri versija? Teisingai, ne žemesnė nei 1.1), reikia padaryti daugybę juokingų gestų . Kodėl? Teisingai, nes TLS 1.1/1.2 mūsų kompiuteryje už mus niekas neįjungs. Mums bus įjungtas tik „Windows“ „autentiškumo“ tikrinimas ir į paleidimą bus įpilta krūva „šiukšlių“. Tačiau nukrypstu.

Lyrinis nukrypimas: Esu nuoširdžiai įsitikinęs (ir šį įsitikinimą patvirtina praktika), kad 90% kompiuterių vartotojų vis dar gali naudotis Windows 3.11 (90-ųjų pradžioje tokia OS buvo) arba, kraštutiniais atvejais, Windows 98 SE - “ rašymo mašina“ ir naršyklė nereikalauja nieko daugiau, kad jie mums nemeluotų apie naujas, dar labiau patobulintas sąsajas ir kitas „revoliucinių“ naujų OS versijų smulkmenas.

Taip pat tiesa, kad šiuolaikinės technologijos, susijęs su saugumu, jokiu būdu negali būti pritvirtintas prie pasenusių operacinių sistemų. Ne todėl, kad iš principo tai neįmanoma, o todėl, kad jų gamintojas to nepadarė, kaip ir jie nieko nedarė, kad susietų juos su trečiųjų šalių programinės įrangos gamintojais. Todėl visos šeimos operacinės sistemos Windows versijos mažesnės nei XP (ir net tas jau artimiausioje ateityje), deja, yra beviltiškai pasenusios tinklo saugumo požiūriu.

Čia baigiame su dainų tekstais: visi šie argumentai bus pagrįsti tuo, kad naudojama „Windows XP“ ar naujesnė versija (Vista, 7 arba 8). Ir dėl to, kad mes patys visai nesame blogi Pinokis, todėl laiku įdiegiame visus reikiamus atnaujinimus ir „pataisymus“ mūsų naudojamoje OS.

Taigi, pradedantiesiems, turėtume įjungti TLS 1.1 ir TLS 1.2 palaikymą ir išjungti SSL ir TLS 1.0 OS lygiu, už kurį atsako Microsoft TLS / SSL saugos teikėjas (schannel.dll). Ką tai mums duos? Ir štai ką: visos programos, kurios neturi savo TLS palaikymo modulio, bet naudoja sisteminį, naudos dabartines TLS versijas.

Tai teoriškai, pagal kurią palaikymas sukonfigūruotas tokiu būdu dabartinės versijos TLS, įskaitant naršyklėje Internet Explorer. Tiesą sakant, net jo Naujausia versija„Windows XP“ – aštuntasis – nepalaiko naujesnių nei 1.0 TLS versijų. Pagal Windows Vista- palaiko, bet "Windows XP" - ne ir, be to, nepaiso draudimo naudoti TLS 1.0. Kaip tai? Klausimas Microsoft, o ne man, vis tiek darysime tai, kas iš mūsų reikalaujama pagal gamintojo nurodymus.

Ir mes darome taip: eikite į registrą adresu
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols, suraskite ten PCT 1.0, SSL 2.0, SSL 3.0 ir TLS 1.0 skyrius, kiekviename iš jų Kliento ir Serverio poskyrius ir sukurkite DisabledByDefa. DWORD ), kuriam priskiriame reikšmę 1 (vienas).

Tada toje pačioje vietoje randame skyrius TLS 1.1 ir TLS 1.2 ir panašiai juose sukuriame minėtą raktą, tačiau jam suteikiame kitą reikšmę - 0 (nulis). Toje pačioje vietoje išjungiame silpnus šifravimo ir maišos algoritmus RC2, RC4, DES, MD4 ir MD5, taip pat draudžiame užmegzti saugius ryšius be šifravimo (taip, taip nutinka... kažkieno nesveikoje fantazijoje), paliekame tik santykinai stiprų Triple. DES ir SHA.

Kadangi atvirai pasakius, tingu aprašyti, kaip, ką ir kur keisti, toliau bus pateiktas .reg failo, kuris atlieka atitinkamus registro pakeitimus, turinys. Turite atidžiai nukopijuoti visą šį turinį į mainų sritį, sukurti naują tekstinis failas, įklijuokite ten turinį, išsaugokite šį failą su plėtiniu .reg ir paleiskite jį, tada paleiskite iš naujo.

Jei atsitiko, kad po perkrovimo kilo problemų su tinklo prisijungimas, tą pačią operaciją reikės atlikti ir su kitu failu – jis pašalina visus mūsų atliktus pakeitimus iš registro, po kurio (teisingai, vaikai) vėl paleidžiama iš naujo. Neradusi jokių sugadintų registro reikšmių registro skiltyje, OS paleidžiant jas iš naujo sukurs su numatytosiomis reikšmėmis.

Patyrę vartotojai, užuot visiškai atšaukę pakeitimus, gali kvailioti įgalindami ir išjungdami atskirus protokolus ir algoritmus, redaguodami pirmąjį failą. Pastaba šeimininkei: jei naudojatės korporacine vietinis tinklas, o juo labiau su domenu, tada problemos tikėtinos, o jų sprendimo būdų rekomenduojama ieškoti išgeriant alaus butelį su tinklo administratoriumi;)

Taip pat atkreipkite dėmesį: Chrome naršyklės, Firefox, Opera ir Safari, t.y. visi, kurie nėra pagrįsti „Internet Explorer“ varikliu, naudoja savo SSL ir TLS palaikymo modulius, todėl nepriklauso nuo mūsų aptartų nustatymų. Bet tai nereiškia, kad jų galima nepaisyti (nustatymų prasme). Bet apie pačių naršyklių nustatymus pakalbėsime kitą kartą.


Įgalinti TLS 1.1 ir 1.2, išjungti SSL ir TLS 1.0:




"Įjungta"=dword:00000000


"DisabledByDefault"=dword:00000001
"Įjungta"=dword:00000000


"DisabledByDefault"=dword:00000001


"DisabledByDefault"=dword:00000001


"DisabledByDefault"=dword:00000001


"DisabledByDefault"=dword:00000001


"DisabledByDefault"=dword:00000001


"DisabledByDefault"=dword:00000001


"DisabledByDefault"=dword:00000000


"DisabledByDefault"=dword:00000000


"DisabledByDefault"=dword:00000000


"AllowInsecureRenegoClients"=dword:00000 000
"AllowInsecureRenegoServers"=dword:00000 000


"Įjungta"=dword:00000000


"Įjungta"=dword:00000000


"Įjungta"=dword:00000000


"Įjungta"=dword:00000000


"Įjungta"=dword:00000000


"Įjungta"=dword:00000000


"Įjungta"=dword:00000000


"Įjungta"=dword:00000000


"Įjungta"=dword:00000000


"Įjungta"=dword:00000000

Ar viskas sugedo? Pašalinkite atliktus pakeitimus:

Windows Registro redaktorius 5.00 versija

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl olSet\Control\SecurityProviders\SCHANNEL]

„Google“, „Microsoft“ ir „Mozilla“ paskelbė galutinius galutinius terminus, per kuriuos turi būti nutrauktas RC4 šifravimo algoritmo palaikymas.

Didėjant kibernetinių atakų prieš RC4 grėsmei, šis algoritmas pradėjo sparčiai prarasti savo patikimumą, o pirmaujantys naršyklių pardavėjai nusprendė jo visiškai atsisakyti – sausio pabaigoje ar vasario pradžioje.

Pasak „Mozilla“ Richardo Barneso, „Firefox“ RC4 palaikymas bus nutrauktas, kai sausio 26 d. bus išleista 44 versija. „RC4 išjungimas reikš, kad „Firefox“ nebegalės prisijungti prie serverių, kuriuose reikia naudoti RC4“, – kūrėjų forume paaiškino bendrovės atstovas. „Mūsų turimi duomenys rodo, kad tokių serverių yra nedaug, bet jie vis dar egzistuoja, nors „Firefox“ naudotojai juos retai pasiekia“.

„Google“ atstovas Adamas Langley teigė, kad atitinkama „Chrome“ versija plačiajai visuomenei bus prieinama sausio arba vasario mėn. Jis nenurodė datos, tik pasakė, kad HTTPS serveriai, naudojantys tik RC4, bus išjungti. „Kai „Chrome“ užmezga HTTPS ryšį, ji turi daryti viską, kad jis būtų saugus“, – pažymėjo Langley specialiame adresų sąraše. [apsaugotas el. paštas]- Ant Šis momentas RC4 naudojimas HTTPS ryšiuose neatitinka šių reikalavimų, todėl būsimame „Chrome“ leidime planuojame pašalinti RC4 palaikymą.

Šiuo metu ir stabilus „Firefox“ versijos, o beta versijos gali naudoti RC4 be apribojimų, tačiau iš tikrųjų jos naudoja tik atitinkamai 0,08 ir 0,05 % jungčių. „Chrome“ šis skaičius yra šiek tiek didesnis – 0,13%. „Norėdami tęsti darbą, atitinkamų serverių operatoriai greičiausiai turės tik šiek tiek pakeisti konfigūraciją, kad pereitų prie stipresnio šifravimo rinkinio“, - sakė Langley.

„Microsoft“ paskelbė nutraukianti pasenusio algoritmo palaikymą produktuose Microsoft Edge ir IE 11; palaikymas pagal numatytuosius nustatymus bus išjungtas kitų metų pradžioje. „Microsoft Edge“ ir „Internet Explorer 11“ naudoja tik RC4, kai iš TLS 1.2 arba 1.1 pereina į TLS 1.0“, – sakė Davidas Walpas, vyresnysis „Microsoft Edge“ projektų vadovas. - Grįžimas prie TLS 1.0 naudojant RC4 dažniausiai įvyksta per klaidą, tačiau tokia situacija, nepaisant jos nekaltumo, niekuo nesiskiria nuo atakos „žmogus viduryje“. Dėl šios priežasties 2016 m. pradžioje RC4 pagal numatytuosius nustatymus bus išjungtas visiems „Microsoft Edge“ ir „Internet Explorer“ naudotojams „Windows 7“, „Windows 8.1“ ir „Windows 10“ operacinėse sistemose.

Jau daugiau nei dešimtmetį mokslininkai skundžiasi RC4 trūkumais, nurodydami galimybę pasirinkti atsitiktines reikšmes, naudojamas kuriant šifruotus tekstus naudojant šį algoritmą. Suteikus tam tikrą laiką, skaičiavimo galia ir prieiga prie tam tikro skaičiaus TLS užklausų, užpuolikui nebus sunku iššifruoti.

2013 m. Danielio J. Bernsteino Ilinojaus universitete atliktas tyrimas leido jam sukurti praktinį būdą, kaip atakuoti žinomą RC4 pažeidžiamumą, kad būtų pažeista TLS sesija. Tai buvo vienas pirmųjų tokių eksperimentų, paviešintų.

Praėjusių metų liepą Belgijos mokslininkai užpuolė RC4, leisdami perimti aukos slapuką ir jį iššifruoti per daug trumpesnį laiką, nei manyta anksčiau.