Z nejakého dôvodu sa mi niektoré stránky HTTPS prestali otvárať (nie všetky!). Keď sa pokúsite otvoriť takúto stránku v prehliadači, zobrazí sa okno s chybou „Táto stránka nemôže poskytnúť zabezpečené pripojenie“. Stránky sa nezobrazujú Google Chrome a v prehliadači Opera a Yandex. Bez HTTPS sa otvárajú niektoré stránky, ale nie všetky, iba tie, ktorých stránky sú prístupné cez HTTPS aj HTTP. V prehliadači Google Chrome vyzerá chyba pri otváraní stránky HTTPS takto:

Táto stránka nemôže poskytnúť zabezpečené pripojenie.
Stránka sitename.ru používa nepodporovaný protokol.
ERR_SSL_VERSION_OR_CIPHER_MISMATCH.
Podpora klienta a servera rôzne verzie Protokol SSL a šifrovací balík. Server s najväčšou pravdepodobnosťou používa šifru RC4, ktorá sa považuje za nezabezpečenú."

V prehliadači Opera a Yandex vyzerá chyba približne rovnako. Ako môžem otvoriť takéto stránky?

Odpoveď

Ako ste už pravdepodobne zistili, problém súvisí s problémami s komunikáciou SSL medzi vašimi počítačmi a webom HTTPS. Príčiny tejto chyby môžu byť úplne odlišné. V tomto článku som sa pokúsil zhromaždiť všetky metódy na opravu chyby „Táto stránka nemôže poskytnúť zabezpečené pripojenie“ (Táto stránka nemôže poskytnúť zabezpečené pripojenie, ERR_SSL_PROTOCOL_ERROR) v rôznych prehliadačoch.

Chcem hneď podotknúť, že napriek tomu Prehliadače Google Vydané prehliadače Chrome, Opera a Yandex rôznych spoločností, v skutočnosti sú všetky tieto prehliadače založené na rovnakom engine - Chrome a problém s chybami pri otváraní HTTPS stránok v nich je vyriešený rovnakým spôsobom.

V prvom rade sa musíte uistiť, že problém nie je na strane samotnej HTTPS stránky. Skúste ho otvoriť z iných zariadení (telefón, tablet, domáci/pracovný počítač atď.). Skontrolujte tiež, či sa otvára v iných prehliadačoch, ako je IE/Edge alebo Mozilla Firefox. Vo Firefoxe sa podobná chyba rozoberala v článku.

Vymažte vyrovnávaciu pamäť prehliadača a súbory cookie, vyrovnávaciu pamäť SSL

Vyrovnávacia pamäť prehliadača a súbory cookie môžu byť spoločná príčina chyby s certifikátmi SSL. Odporúčame vám najprv vymazať vyrovnávaciu pamäť a súbory cookie vo vašom prehliadači. V prehliadači Chrome musíte stlačiť klávesovú skratku Ctrl + Shift + Delete, vyberte časové obdobie ( Vždy) a kliknite na tlačidlo vymazať údaje ( Vymazať údaje/vyčistiť dáta).

Vymazanie vyrovnávacej pamäte SSL v systéme Windows:

  1. Prejdite do sekcie Ovládací panel -> Vlastnosti prehliadača;
  2. Kliknite na kartu Obsah;
  3. Kliknite na tlačidlo Vymazať SSL (Vymazať stav SSL);
  4. Mala by sa zobraziť správa „Vyrovnávacia pamäť SSL bola úspešne vymazaná“;
  5. Zostáva reštartovať prehliadač a skontrolovať, či chyba ERR_SSL_PROTOCOL_ERROR pretrváva.

Zakázať rozšírenia prehliadača tretích strán

Odporúčame vypnúť (odstrániť) rozšírenia tretích strán prehliadač, najmä všetky druhy anonymizátorov, proxy, VPN, antivírusové rozšírenia a iné podobné Addony, ktoré môžu narúšať prechod prevádzky na cieľovú stránku. Zoznam povolených rozšírení v prehliadači Chrome si môžete pozrieť na adrese nastavenie -> Ďalšie nástroje -> Rozšírenia alebo prejdením na stránku chrome://extensions/. Zakázať všetky podozrivé rozšírenia.

Skontrolujte nastavenia antivírusu a brány firewall

Ak má váš počítač antivírusový program alebo POŽARNE DVERE(často je zabudovaný v antivíruse), je možné, že prístup na stránku je nimi zablokovaný. Ak chcete pochopiť, či antivírusy alebo brány firewall obmedzujú prístup na stránku, skúste dočasne pozastaviť ich prácu.
V mnohých moderných antivírusoch je predvolene modul na kontrolu certifikátov stránok SST / TLS. Ak antivírus zistí, že stránka používa nedostatočne zabezpečený (alebo) certifikát alebo zastaranú verziu protokolu SSL (rovnako), môže byť prístup používateľa na takúto stránku obmedzený. Skúste zakázať kontrolu návštevnosti HTTP/HTTPS a SSL certifikáty. Ako viete, všetko závisí od toho, ktorý antivírus máte nainštalovaný. Napríklad:


Skontrolujte nastavenia dátumu a času

Nesprávny dátum a čas (a ) v počítači môže tiež spôsobiť chybu pri vytváraní zabezpečeného pripojenia na stránky HTTPS. Pri vykonávaní autentifikácie totiž systém kontroluje dátum vytvorenia a expirácie certifikátu stránky a vyššej certifikačnej autority.

Aktualizujte koreňové certifikáty systému Windows

Ak je váš počítač v izolovanom segmente, nebol dlho aktualizovaný alebo je na ňom služba úplne zakázaná automatická aktualizácia, váš počítač nemusí mať nové dôveryhodné koreňové certifikáty (TrustedRootCA). Odporúčame vám aktualizovať systém: nainštalovať Najnovšie aktualizácie bezpečnosť, v prípade Windows 7 - nezabudnite nainštalovať SP1 () a aktualizácie časového pásma ().

Koreňové certifikáty môžete aktualizovať manuálne podľa článku: (odporúčame tiež, aby ste zabránili zachyteniu prenosu HTTPs a mnohým ďalším problémom).

Zakázať podporu protokolu QUIC

Skontrolujte, či má Chrome povolenú podporu protokolov QUIC(Rýchle internetové pripojenia UDP). Protokol QUIC vám umožňuje oveľa rýchlejšie otvoriť pripojenie a vyjednať všetky parametre TLS (HTTP) pri pripájaní k lokalite. V niektorých prípadoch však môže spôsobiť problémy SSL pripojenia. Skúste vypnúť QUIC:

  1. Chod na stranu: chrome://flags/#enable-quic;
  2. Nájdite možnosť Experimentálny protokol QUIC;
  3. Zmeňte hodnotu možnosti Predvolené na Zakázané;
  4. Reštartujte Chrome.

Povoliť podporu pre protokoly TLS a SSL

A najviac posledný odsek- s najväčšou pravdepodobnosťou na vyriešenie problému bude stačiť, aby ste povolili podporu pre staršie verzie protokolov TLS a SSL. Vo väčšine prípadov to bude najefektívnejšie, no schválne som to posunul na koniec článku. Vysvetlím prečo.

Staré verzie protokolov TLS a SSL sú deaktivované nie len z rozmaru vývojárov, ale z dôvodu prítomnosti veľkého počtu zraniteľností, ktoré umožňujú útočníkom zachytiť vaše údaje v prenose HTTPS a dokonca ich upraviť. Bezmyšlienkovité povoľovanie starých protokolov výrazne znižuje vašu bezpečnosť na internete, preto by ste sa k tejto metóde mali uchýliť až v krajnom prípade, ak všetko ostatné rozhodne nepomohlo.

Moderné prehliadače a operačné systémy už dávno prestali podporovať staršie a zraniteľné protokoly SSL/TLS (SSL 2.0, SSL 3.0 a TLS 1.1). TLS 1.2 a TLS 1.3 sa teraz považujú za štandard

Ak stránka používa nižšiu verziu protokolu SSL/TLS, než je podporovaná klientom/prehliadačom, používateľovi sa zobrazí chyba pri vytváraní zabezpečeného pripojenia.

Ak chcete povoliť staršie verzie protokolov SSL/TLS (opäť podotýkam, nie je to bezpečné):

Ak všetky vyššie uvedené metódy nepomohli zbaviť sa chyby „Táto stránka nemôže poskytnúť zabezpečené pripojenie“, skúste tiež:

Všeobecná teória: Rozšírenie protokolu HTTP na prenos údajov, ktoré podporuje šifrovanie týchto údajov – HTTPS – nie je samo o sebe šifrovacím protokolom. Za šifrovanie sú zodpovedné kryptografické protokoly – SSL alebo TLS.

Zároveň nie všetky jogurty sú rovnako užitočné: SSL je úplne zastarané, TLS verzia 1.0 tiež, takže dnes sa odporúča používať iba TLS verzie 1.1 alebo 1.2. Mimochodom, najnovšia verzia špecifikácie HTTPS prijatá v roku 2000 sa nazýva HTTP over TLS, o SSL sa tam takmer nehovorí.

Ale to je len teória, v praxi je TLS 1.2 stále podporované len na obmedzenom počte stránok, s TLS 1.1 je to už citeľne lepšie, ale tiež nie všade. Problém podpory moderných verzií TLS je prítomný aj „na strane klienta“, o tom neskôr.

Aby ste teda na svojom počítači používali iba najnovšie verzie aktuálneho kryptografického protokolu (No tak, deti, pripomeňte mi, ako sa volá? Správne, TLS! A ktorá verzia? Správne, nie nižšia ako 1.1), potrebujete urobiť množstvo smiešnych gest . prečo? Je to tak, pretože TLS 1.1/1.2 na našom počítači za nás nikto nepovolí. Pre nás bude zapnutá iba kontrola „pravosti“ systému Windows a do spustenia sa natlačí kopa „odpadu“. To však odbočím.

Lyrická odbočka: Som úprimne presvedčený (a toto presvedčenie je potvrdené praxou), že 90% používateľov počítačov stále mohlo používať Windows 3.11 (takýto OS existoval začiatkom 90. rokov), alebo v extrémnych prípadoch Windows 98 SE -“ písací stroj“ a prehliadač nevyžadujú nič iné, aby nám neklamali o nových, ešte vylepšených rozhraniach a iných maličkostiach „revolučných“ nových verzií OS.

To je tiež pravda moderné technológie, súvisiace s bezpečnosťou, nie je možné žiadnym spôsobom pripevniť k zastaraným operačným systémom. Nie preto, že by to z princípu nebolo možné, ale preto, že to ich výrobca neurobil, rovnako ako neurobili nič, čo by ich viazalo na výrobcov softvéru tretích strán. Preto všetky operačné systémy rodiny Verzie systému Windows pod XP (a aj ten už v dohľadnej dobe), žiaľ, sú z hľadiska bezpečnosti siete beznádejne zastarané.

Tu končíme s textom: všetky nasledujúce diskusie budú založené na skutočnosti, že sa používa Windows XP alebo novší (Vista, 7 alebo 8). A o tom, že my sami nie sme vôbec zlý Pinocchio, a preto na operačný systém, ktorý používame, včas inštalujeme všetky potrebné aktualizácie a „záplaty“.

Na začiatok by sme teda mali povoliť podporu pre TLS 1.1 a TLS 1.2 a zakázať SSL a TLS 1.0 na úrovni OS, za čo je zodpovedný poskytovateľ zabezpečenia Microsoft TLS / SSL (schannel.dll). Čo nám to dá? A tu je to: všetky programy, ktoré nemajú vlastný modul podpory TLS, ale používajú systémový, budú používať aktuálne verzie TLS.

To je teoreticky, podľa ktorého je podpora takto nakonfigurovaná aktuálne verzie TLS, a to aj v prehliadači internet Explorer. Vlastne aj jeho Najnovšia verzia pre Windows XP - ôsmy - nepodporuje TLS verzie vyššie ako 1.0. Pod Windows Vista- podporuje, ale pod Windows XP - nie a navyše ignoruje zákaz používania TLS 1.0. Ako to? Otázka je na Microsoft, nie na mňa, aj tak urobíme to, čo sa od nás vyžaduje podľa pokynov výrobcu.

A urobíme nasledovné: prejdite do registra na adrese
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols, nájdite tam sekcie PCT 1.0, SSL 2.0, SSL 3.0 a TLS 1.0, v každej z nich podsekcie Client a Server a vytvorte v nich kľúče DisabledByDefault (napíšte - DWORD ), ktorému priradíme hodnotu 1 (jedna).

Potom na rovnakom mieste nájdeme sekcie TLS 1.1 a TLS 1.2 a podobne v nich vytvoríme spomínaný kľúč, ale priradíme mu inú hodnotu - 0 (nulu). Na tom istom mieste zakážeme slabé šifrovacie a hashovacie algoritmy RC2, RC4, DES, MD4 a MD5 a tiež zakážeme nadväzovanie bezpečných spojení bez šifrovania (áno, aj to sa stáva...v niektorých nezdravých fantáziách), pričom zostane len relatívne silný Triple DES a SHA.

Keďže je úprimne lenivé, aby som opísal, ako, čo a kde zmeniť, nižšie bude obsah súboru .reg, ktorý vykoná príslušné zmeny v registri. Celý tento obsah musíte starostlivo skopírovať do schránky, vytvoriť nový textový súbor, vložte tam obsah, uložte tento súbor s príponou .reg a spustite ho, potom reštartujte.

Ak sa stalo, že po reštarte boli problémy s sieťové pripojenie, rovnaká operácia bude musieť byť vykonaná s ďalším súborom - odstráni všetky zmeny, ktoré sme vykonali z registra, po ktorom (správne, deti) znova reštartujte. Keď sa v registri nenašli žiadne hodnoty v časti databázy Registry, ktorú sme poškodili, operačný systém ich pri štarte znova vytvorí s predvolenými hodnotami.

Pokročilí používatelia sa môžu namiesto úplného vrátenia zmien poblázniť s povolením a zakázaním jednotlivých protokolov a algoritmov úpravou prvého zo súborov. Poznámka pre hostesku: ak používate podnik lokálnej sieti, a ešte viac s doménou, potom sú pravdepodobne problémy a odporúča sa hľadať spôsoby, ako ich vyriešiť pri popíjaní fľaše piva so správcom siete;)

Poznámka: Prehliadače Chrome, Firefox, Opera a Safari, t.j. všetky, ktoré nie sú založené na jadre Internet Explorer, používajú svoje vlastné moduly podpory SSL a TLS, a preto nezávisia od nastavení, o ktorých sme hovorili. To ale neznamená, že ich možno zanedbať (v zmysle nastavení). O nastavení samotných prehliadačov si ale povieme nabudúce.


Povoliť TLS 1.1 a 1.2, deaktivovať SSL a TLS 1.0:




"Povolené"=dword:00000000


"DisabledByDefault"=dword:00000001
"Povolené"=dword:00000000


"DisabledByDefault"=dword:00000001


"DisabledByDefault"=dword:00000001


"DisabledByDefault"=dword:00000001


"DisabledByDefault"=dword:00000001


"DisabledByDefault"=dword:00000001


"DisabledByDefault"=dword:00000001


"DisabledByDefault"=dword:00000000


"DisabledByDefault"=dword:00000000


"DisabledByDefault"=dword:00000000


"AllowInsecureRenegoClients"=dword:00000 000
"AllowInsecureRenegoServers"=dword:00000 000


"Povolené"=dword:00000000


"Povolené"=dword:00000000


"Povolené"=dword:00000000


"Povolené"=dword:00000000


"Povolené"=dword:00000000


"Povolené"=dword:00000000


"Povolené"=dword:00000000


"Povolené"=dword:00000000


"Povolené"=dword:00000000


"Povolené"=dword:00000000

Je všetko rozbité? Odstráňte vykonané zmeny:

Windows Editor databázy Registry Verzia 5.00

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl olSet\Control\SecurityProviders\SCHANNEL]

Google, Microsoft a Mozilla oznámili termíny úplného ukončenia podpory pre šifrovací algoritmus RC4.

S rastúcou hrozbou kybernetických útokov na RC4 začal tento algoritmus rýchlo strácať svoju spoľahlivosť a poprední predajcovia prehliadačov sa ho rozhodli úplne opustiť – koncom januára alebo začiatkom februára.

Podľa Richarda Barnesa z Mozilly bude podpora pre RC4 vo Firefoxe ukončená s vydaním verzie 44, ktorá je naplánovaná na 26. januára. „Zakázanie RC4 bude znamenať, že Firefox sa už nebude môcť pripojiť k serverom, ktoré vyžadujú použitie RC4,“ vysvetlil hovorca spoločnosti na svojom fóre pre vývojárov. "Údaje, ktoré máme, ukazujú, že takýchto serverov je málo, ale stále existujú, hoci používatelia Firefoxu k nim pristupujú len zriedka."

Adam Langley zo spoločnosti Google uviedol, že zodpovedajúce vydanie prehliadača Chrome bude k dispozícii širokej verejnosti v januári alebo februári. Dátum nešpecifikoval, povedal len, že HTTPS servery využívajúce výhradne RC4 budú deaktivované. „Keď Chrome vytvorí pripojenie HTTPS, musí urobiť všetko, čo je v jeho silách, aby ho udržal v bezpečí,“ poznamenal Langley vo vyhradenom zozname adries na [chránený e-mailom]- Na tento moment používanie RC4 v pripojeniach HTTPS nespĺňa tieto požiadavky, preto plánujeme odstrániť podporu pre RC4 v budúcom vydaní prehliadača Chrome.“

Aktuálne a stabilne verzie Firefoxu, a beta verzie môžu používať RC4 bez obmedzení, no v skutočnosti ho využívajú len na 0,08 a 0,05 % pripojení. Pre Chrome je toto číslo o niečo vyššie – 0,13 %. "Ak chcete pokračovať v práci, operátori príslušných serverov budú musieť s najväčšou pravdepodobnosťou iba mierne zmeniť konfiguráciu, aby prešli na silnejšiu šifrovaciu sadu," povedal Langley.

Microsoft oznámil koniec podpory pre zastaraný algoritmus v produktoch Microsoft Edge a IE 11; podpora bude predvolene zakázaná začiatkom budúceho roka. „Microsoft Edge a Internet Explorer 11 používajú RC4 iba pri prechode z TLS 1.2 alebo 1.1 na TLS 1.0,“ povedal David Walp, senior projektový manažér pre Microsoft Edge. - K návratu k TLS 1.0 pomocou RC4 dochádza najčastejšie omylom, no takáto situácia je pri všetkej nevinnosti na nerozoznanie od útoku typu man-in-the-middle. Z tohto dôvodu bude začiatkom roka 2016 RC4 predvolene zakázaný pre všetkých používateľov Microsoft Edge a Internet Explorer pod Windows 7, Windows 8.1 a Windows 10″.

Už viac ako desať rokov sa výskumníci sťažujú na nedokonalosti RC4 a poukazujú na možnosť výberu náhodných hodnôt používaných na vytváranie šifrových textov pomocou tohto algoritmu. Vzhľadom na určitý čas, výpočtový výkon a prístup k určitému počtu žiadostí TLS, dešifrovanie pre útočníka nebude ťažké.

V roku 2013 mu výskum Daniela J. Bernsteina na University of Illinois umožnil vytvoriť praktický spôsob, ako zaútočiť na známu zraniteľnosť v RC4 na kompromitovanie relácie TLS. Bol to jeden z prvých takýchto experimentov, ktoré boli zverejnené.

Vlani v júli zaútočili belgickí vedci na RC4, čo im umožnilo zachytiť cookie obete a dešifrovať ho v oveľa kratšom čase, než sa pôvodne považovalo za možné.