Kādu iemeslu dēļ dažas HTTPS vietnes (ne visas!) man pārtrauca atvērties. Mēģinot atvērt šādu vietni savā pārlūkprogrammā, tiek parādīts logs ar kļūdu “Šī vietne nevar nodrošināt drošu savienojumu”. Vietnes netiek rādītas kā Google Chrome, gan Opera, gan Yandex pārlūkprogrammā. Bez HTTPS tiek atvērtas dažas vietnes, bet ne visas, tikai tās, kuru lapām var piekļūt, izmantojot HTTPS un HTTP protokolus. Pārlūkā Google Chrome kļūda, atverot HTTPS vietni, izskatās šādi:

Šī vietne var nenodrošināt drošu savienojumu.
Vietnē sitename.ru tiek izmantots neatbalstīts protokols.
ERR_SSL_VERSION_OR_CIPHER_MISMATCH.
Klientu un serveru atbalsts dažādas versijas SSL protokols un šifru komplekts. Visticamāk, serveris izmanto RC4 šifru, kas tiek uzskatīts par nedrošu."

Opera un Yandex pārlūkprogrammā kļūda izskatās aptuveni vienāda. Kā es varu atvērt šādas vietnes?

Atbilde

Kā jūs droši vien jau sapratāt, problēma ir saistīta ar problēmām ar SSL saziņu starp datoru un HTTPS vietni. Šādas kļūdas iemesli var būt diezgan dažādi. Šajā rakstā es mēģināju apkopot visas metodes, kā dažādās pārlūkprogrammās novērst kļūdu “Šī vietne nevar nodrošināt drošu savienojumu, ERR_SSL_PROTOCOL_ERROR”.

Uzreiz gribu atzīmēt, ka neskatoties uz to Google pārlūkprogrammas Chrome, Opera un Yandex Browser ražo dažādi uzņēmumi, patiesībā visu šo pārlūkprogrammu pamatā ir viens un tas pats dzinējs - Chrome un problēma ar kļūdām HTTPS vietņu atvēršanā tiek atrisināta vienādi.

Pirmkārt, jums jāpārliecinās, vai problēma nav pašā HTTPS vietnes pusē. Mēģiniet to atvērt no citām ierīcēm (tālruņa, planšetdatora, mājas/darba datora utt.). Pārbaudiet arī, vai tas tiek atvērts citās pārlūkprogrammās, piemēram, IE/Edge vai Mozilla Firefox. Programmā Firefox līdzīga kļūda tika apspriesta rakstā.

Notīrīt pārlūkprogrammas kešatmiņu un sīkfailus, SSL kešatmiņu

Pārlūka kešatmiņa un sīkfaili var būt izplatīts SSL sertifikātu kļūdu cēlonis. Mēs iesakām vispirms notīrīt pārlūkprogrammas kešatmiņu un notīrīt sīkfailus. Pārlūkā Chrome ir jānospiež īsinājumtaustiņš Ctrl + Shift + Delete, izvēlieties laika periodu ( Visu laiku) un noklikšķiniet uz pogas notīrīt datus ( Dzēst datus/ Notīrīt datus).

Lai notīrītu SSL kešatmiņu operētājsistēmā Windows:

1. Dodieties uz sadaļu Vadības panelis -> Pārlūka rekvizīti;
2. Noklikšķiniet uz cilnes Saturs;
3. Noklikšķiniet uz pogas Notīrīt SSL (Notīrīt SSL stāvokli);
4. Jāparādās ziņojumam “SSL kešatmiņa ir veiksmīgi notīrīta”;
5. Atliek tikai restartēt pārlūkprogrammu un pārbaudīt, vai kļūda ERR_SSL_PROTOCOL_ERROR paliek.

Atspējojiet trešās puses pārlūkprogrammas paplašinājumus

Mēs iesakām atspējot (atinstalēt) trešo pušu pārlūkprogrammas paplašinājumus, jo īpaši visus anonimizatorus, starpniekserverus, VPN, pretvīrusu paplašinājumus un citus līdzīgus papildinājumus, kas var traucēt trafika pāreju uz mērķa vietni. Pārlūkā Chrome iespējoto paplašinājumu sarakstu varat skatīt, dodoties uz Iestatījumi -> Papildu rīki -> Paplašinājumi, vai dodoties uz lapu chrome://extensions/. Atspējojiet visus aizdomīgos paplašinājumus.

Pārbaudiet pretvīrusu un ugunsmūra iestatījumus

Ja esat instalējis savā datorā pretvīrusu programma vai ugunsmūris(bieži vien tas ir iebūvēts pretvīrusu programmā), iespējams, viņi bloķē piekļuvi vietnei. Lai saprastu, vai pretvīrusi vai ugunsmūri ierobežo piekļuvi vietnei, mēģiniet uz laiku apturēt to darbību.
Daudziem mūsdienu antivīrusiem pēc noklusējuma ir modulis SST/TLS vietņu sertifikātu pārbaudei. Ja antivīruss konstatē, ka vietne izmanto nepietiekami aizsargātu (vai) sertifikātu vai novecojusi versija SSL protokols (tas pats), lietotāja piekļuve šādai vietnei var būt ierobežota. Mēģiniet atspējot HTTP/HTTPS trafika un SSL sertifikātu skenēšanu. Kā jūs saprotat, tas viss ir atkarīgs no tā, kādu antivīrusu esat instalējis. Piemēram:

Pārbaudiet datuma un laika iestatījumus

Nepareizs datums un laiks datorā var izraisīt arī kļūdas, veidojot drošu savienojumu ar HTTPS vietnēm. Galu galā, veicot autentifikāciju, sistēma pārbauda vietnes sertifikāta izveides periodu un derīguma termiņu un augstāko sertifikācijas iestādi.

Atjauniniet Windows saknes sertifikātus

Ja jūsu dators atrodas izolētā segmentā, ilgu laiku nav atjaunināts vai pakalpojums tajā ir pilnībā atspējots automātiskā atjaunināšana, jūsu datoram, iespējams, nav jaunu uzticamu saknes sertifikātu (TrustedRootCA). Mēs iesakām atjaunināt sistēmu: instalēt jaunākie atjauninājumi drošību, operētājsistēmas Windows 7 gadījumā noteikti instalējiet SP1 () un laika joslu atjauninājumus ().

Varat manuāli atjaunināt saknes sertifikāti saskaņā ar rakstu: (mēs arī iesakām to, tas novērsīs jūsu HTTPs trafika pārtveršanu un vairākas citas problēmas).

Atspējot QUIC protokola atbalstu

Pārbaudiet, vai pārlūkā Chrome ir iespējots protokolu atbalsts QUIC(Ātri UDP interneta savienojumi). QUIC protokols ļauj daudz ātrāk atvērt savienojumu un saskaņot visus TLS (HTTP) parametrus, veidojot savienojumu ar vietni. Tomēr dažos gadījumos tas var radīt problēmas ar SSL savienojumi. Mēģiniet atspējot QUIC:

1. Iet uz lapu: chrome://flags/#enable-quic;
2. Atrodiet opciju Eksperimentālais QUIC protokols;
3. Mainiet opciju Noklusējums uz Atspējots;
4. Restartējiet pārlūku Chrome.

Iespējot TLS un SSL protokolu atbalstu

Un pats pēdējais punkts - visticamāk, lai atrisinātu problēmu, jums būs jāiespējo tikai vecāku TLS un SSL protokolu versiju atbalsts. Vairumā gadījumu tas būs visefektīvākais, bet es ar nolūku to pārcēlu uz raksta beigām. Es paskaidrošu, kāpēc.

Vecās TLS un SSL protokolu versijas tiek atspējotas nevis izstrādātāju vienkāršās kaprīzes, bet gan klātbūtnes dēļ. lielos daudzumos ievainojamības, kas ļauj uzbrucējiem pārtvert jūsu datus HTTPS trafikā un pat tos modificēt. Nepārdomāta veco protokolu iespējošana ievērojami samazina jūsu drošību internetā, tāpēc jums vajadzētu izmantot šo metodi kā pēdējo līdzekli, ja nekas cits neizdodas.

Mūsdienu pārlūkprogrammas un operētājsistēmas jau sen ir atteikušās no atbalsta novecojušiem un neaizsargātiem SSL/TLS protokoliem (SSL 2.0, SSL 3.0 un TLS 1.1). TLS 1.2 un TLS 1.3 tagad tiek uzskatīti par standartiem

Ja vietnes pusē tiek izmantota zemāka SSL/TLS protokola versija, nekā to atbalsta klients/pārlūkprogramma, lietotājs redz kļūdu, izveidojot drošu savienojumu.

Lai iespējotu vecākas SSL/TLS protokolu versijas (tas atkal nav droši):

Ja visas iepriekš aprakstītās metodes nepalīdzēja atbrīvoties no kļūdas “Šī vietne nevar nodrošināt drošu savienojumu”, mēģiniet arī:

Vispārīga teorija: HTTP datu pārsūtīšanas protokola paplašinājums, kas atbalsta šo datu šifrēšanu – HTTPS – pats par sevi nav šifrēšanas protokols. Par šifrēšanu ir atbildīgi kriptogrāfijas protokoli – SSL vai TLS.

Tomēr ne visi jogurti ir vienlīdz noderīgi: SSL ir pilnībā novecojis, arī TLS versija 1.0 ir novecojusi, tāpēc šodien ieteicams izmantot tikai TLS versijas 1.1 vai 1.2. Starp citu, jaunākā HTTPS specifikācijas versija, kas pieņemta 2000. gadā, tiek saukta par HTTP, izmantojot TLS, tur gandrīz nav minēts SSL.

Bet tā ir tikai teorija, praksē TLS 1.2 joprojām tiek atbalstīts tikai ierobežotā skaitā vietņu, ar TLS 1.1 tas jau ir manāmi labāks, bet arī ne visur. TLS moderno versiju atbalsta problēma ir arī klienta pusē, vairāk par to vēlāk.

Tātad, lai datorā izmantotu tikai jaunākās pašreizējā kriptogrāfijas protokola versijas (Nāc, bērni, atgādiniet man, kā to sauc? Tieši tā, TLS! Un kāda versija? Tieši tā, ne zemāka par 1.1), jums ir nepieciešams veikt vairākus smieklīgus žestus. Kāpēc? Tieši tā, jo neviens mūsu vietā neiespējos TLS 1.1/1.2 mūsu datorā. Mums tie iespējos tikai Windows “autentitātes” pārbaudi un startēšanas laikā iebāzīs “atkritumu” kaudzi. Tomēr es novirzos.

Liriskā atkāpe: esmu patiesi pārliecināts (un šo pārliecību apstiprina prakse), ka 90% datoru lietotāju joprojām varēja izmantot Windows 3.11 (tāda OS bija 90. gadu sākumā) vai, ārkārtējos gadījumos, Windows 98 SE - “ rakstāmmašīna" un pārlūkprogramma neko citu neprasa, lai viņi nemelotu mums par jaunām, vēl vairāk uzlabotām saskarnēm un citiem "revolucionāro" jauno OS versiju zvaniņiem un svilpieniem.

Tā ir arī taisnība, ka modernās tehnoloģijas Novecojušām operētājsistēmām nevar saistīt ar drošību saistītas problēmas. Ne tāpēc, ka principā tas nav iespējams, bet gan tāpēc, ka viņu ražotājs to nedarīja, tāpat kā viņš neko nedarīja, lai tos varētu pieskrūvēt trešo pušu ražotājiem BY. Tāpēc visas ģimenes operētājsistēmas Windows versijas zem XP (un pat to pārskatāmā nākotnē), diemžēl, ir bezcerīgi novecojuši tīkla drošības ziņā.

Beigsim ar dziesmu tekstiem: visi šie argumenti tiks balstīti uz to, ka tiek izmantota Windows XP vai jaunāka versija (Vista, 7 vai 8). Un par to, ka mēs paši nemaz neesam ļaunie Pinokio, un tāpēc mēs operatīvi instalējam visus nepieciešamos atjauninājumus un “ielāpus” mūsu izmantotajai operētājsistēmai.

Tāpēc vispirms ir jāiespējo TLS 1.1 un TLS 1.2 atbalsts un jāatspējo SSL un TLS 1.0 OS līmenī, par ko ir atbildīgs Microsoft TLS/SSL drošības nodrošinātājs (schannel.dll). Ko tas mums dos? Lūk, kas: visas programmas, kurām nav sava TLS atbalsta moduļa, bet izmanto sistēmas, izmantos jaunākās TLS versijas.

Šī ir teorija, ka atbalsts tiek konfigurēts šādā veidā pašreizējās versijas TLS, ieskaitot Interneta pārlūkprogramma Explorer. Patiesībā pat viņš jaunākā versija operētājsistēmai Windows XP — astotais — neatbalsta TLS versijas, kas ir augstākas par 1.0. Operētājsistēmā Windows Vista tas atbalsta, bet operētājsistēmā Windows XP tas neatbalsta un turklāt ignorē TLS 1.0 lietošanas aizliegumu. Kā tā? Jautājums ir Microsoft, nevis man, mēs joprojām darīsim to, kas no mums tiek prasīts saskaņā ar ražotāja norādījumiem.

Un mēs rīkojamies šādi: mēs ejam uz reģistru pēc adreses
HKLM\SYSTEM\CurrentControlSet\Control\Se curityProviders\SCHANNEL\Protocols, atrodiet tur PCT 1.0, SSL 2.0, SSL 3.0 un TLS 1.0 sadaļas, katrā no tām - Client un Server apakšsadaļas un izveidojiet DisabledBy inDefa. tips - DWORD ), kuram piešķiram vērtību 1 (viens).

Tad tur atrodam TLS 1.1 un TLS 1.2 sadaļas un līdzīgi izveidojam tajās augstāk minēto atslēgu, bet piešķiram tai citu vērtību - 0 (nulle). Tur mēs arī atspējojam vājos šifrēšanas un jaukšanas algoritmus RC2, RC4, DES, MD4 un MD5, kā arī aizliedzam instalēšanu droši savienojumi bez šifrēšanas (jā, tas arī notiek... kāda neveselīgās fantāzijās), atstājot tikai salīdzinoši spēcīgus Triple DES un SHA.

Tā kā man, atklāti sakot, ir slinkums aprakstīt, kā, ko un kur mainīt, zemāk būs .reg faila saturs, kas veic attiecīgās izmaiņas reģistrā. Jums rūpīgi jāpārkopē viss šis saturs starpliktuvē, jāizveido jauns teksta fails, jāielīmē tur saturs, jāsaglabā šis fails ar paplašinājumu .reg un jāpalaiž, un pēc tam restartējiet.

Ja tas notika, ka pēc pārstartēšanas parādījās problēmas ar tīkla savienojums, tā pati darbība būs jāveic ar nākamo failu - tas izdzēš visas mūsu veiktās izmaiņas no reģistra, pēc tam (tā ir taisnība, bērni) tas atkal tiks restartēts. Ja reģistrs mūsu bojātajā reģistra sadaļā neatrod nekādas vērtības, OS sāknēšanas laikā tās atkārtoti izveidos ar noklusējuma vērtībām.

Pieredzējuši lietotāji var tā vietā, lai pilnībā atsauktu izmaiņas, bet gan iespējot un atspējot atsevišķus protokolus un algoritmus, rediģējot pirmos failus. Piezīme saimniecei: ja izmantojat korporatīvo tīklu, lai izveidotu savienojumu ar internetu lokālais tīkls, un it īpaši ar domēnu, tad problēmas ir iespējamas, un ieteicams meklēt veidus, kā tās atrisināt, izdzerot pudeli alus ar tīkla administratoru;)

Ņemiet vērā arī: Chrome pārlūkprogrammas, Firefox, Opera un Safari, t.i. visi, kas nav balstīti uz Internet Explorer dzinēju, izmanto savus SSL un TLS atbalsta moduļus, un tāpēc tie nav atkarīgi no mūsu apspriestajiem iestatījumiem. Bet tas nenozīmē, ka tos var atstāt novārtā (iestatījumu izpratnē). Bet par pašu pārlūkprogrammu iestatījumiem mēs runāsim nākamreiz.

Iespējot TLS 1.1 un 1.2, atspējot SSL un TLS 1.0:

"Iespējots"=dword:00000000

"DisabledByDefault"=dword:00000001
"Iespējots"=dword:00000000

"DisabledByDefault"=dword:00000001

"DisabledByDefault"=dword:00000001

"DisabledByDefault"=dword:00000001

"DisabledByDefault"=dword:00000001

"DisabledByDefault"=dword:00000001

"DisabledByDefault"=dword:00000001

"DisabledByDefault"=dword:00000000

"DisabledByDefault"=dword:00000000

"DisabledByDefault"=dword:00000000

"AllowInsecureRenegoClients"=dword:00000 000
"AllowInsecureRenegoServers"=dword:00000 000

"Iespējots"=dword:00000000

"Iespējots"=dword:00000000

"Iespējots"=dword:00000000

"Iespējots"=dword:00000000

"Iespējots"=dword:00000000

"Iespējots"=dword:00000000

"Iespējots"=dword:00000000

"Iespējots"=dword:00000000

"Iespējots"=dword:00000000

"Iespējots"=dword:00000000

Vai viss ir salauzts? Mēs dzēšam veiktās izmaiņas:

Windows reģistra redaktora versija 5.00

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentContr olSet\Control\SecurityProviders\SCHANNEL]

Google, Microsoft un Mozilla ir paziņojuši par RC4 šifrēšanas algoritma atbalsta pilnīgas pārtraukšanas laiku.

Pieaugot kiberuzbrukumu draudiem RC4, šis algoritms sāka strauji zaudēt savu uzticamību, un vadošie pārlūkprogrammu pārdevēji nolēma no tā pilnībā atteikties – janvāra beigās vai februāra sākumā.

Pēc Ričarda Bārnsa no Mozilla teiktā, RC4 atbalsts pārlūkprogrammā Firefox tiks noņemts līdz ar 44. versijas izlaišanu, kas paredzēta 26. janvārī. "RC4 atspējošana nozīmēs, ka Firefox vairs nevarēs izveidot savienojumu ar serveriem, kuriem nepieciešams RC4," tā izstrādātāju forumā paskaidroja uzņēmuma pārstāvis. "Mūsu rīcībā esošie dati liecina, ka šādu serveru ir maz, taču tie joprojām pastāv, lai gan Firefox lietotāji tiem reti piekļūst."

Google pārstāvis Ādams Lenglijs sacīja, ka atbilstošais Chrome laidiens plašākai sabiedrībai būs pieejams janvārī vai februārī. Viņš nenorādīja datumu, tikai teica, ka HTTPS serveri, kas izmanto tikai RC4, tiks atspējoti. "Kad pārlūks Chrome izveido HTTPS savienojumu, tai ir jādara viss iespējamais, lai nodrošinātu tā drošību," Lenglijs atzīmēja īpašā informatīvajā izdevumā par [aizsargāts ar e-pastu]. "Pašlaik RC4 izmantošana HTTPS savienojumos neatbilst šīm prasībām, tāpēc mēs plānojam atspējot RC4 atbalstu nākamajā Chrome laidienā."

Pašlaik gan Firefox stabilās, gan beta versijas var izmantot RC4 bez ierobežojumiem, taču patiesībā tās to izmanto tikai attiecīgi 0,08 un 0,05% savienojumu. Chrome šis rādītājs ir nedaudz lielāks - 0,13%. "Lai turpinātu darboties, attiecīgo serveru operatoriem, visticamāk, būs tikai nedaudz jāmaina konfigurācija, lai pārslēgtos uz drošāku šifru komplektu," sacīja Lenglijs.

Microsoft paziņoja par novecojušā algoritma atbalsta pārtraukšanu produktos Microsoft Edge un IE 11; atbalsts pēc noklusējuma tiks atspējots nākamā gada sākumā. "Microsoft Edge un Internet Explorer 11 izmanto RC4 tikai tad, kad tiek veikta jaunāka versija TLS protokols 1.2 vai 1.1 pirms TLS 1.0,” skaidroja Microsoft Edge vecākais projektu vadītājs Deivids Volps. - Atgriešanās uz TLS 1.0, izmantojot RC4, visbiežāk notiek kļūdas pēc, taču šāda situācija, lai arī nevainīga, nav atšķirama no uzbrukuma cilvēks vidū. Šī iemesla dēļ 2016. gada sākumā RC4 pēc noklusējuma tiks atspējots visiem Microsoft Edge un Internet Explorer lietotājiem operētājsistēmās Windows 7, Windows 8.1 un Windows 10.

Vairāk nekā desmit gadus pētnieki ir nožēlojuši RC4 nepilnības, norādot uz iespēju atlasīt nejaušas vērtības, ko izmanto, lai izveidotu šifrētus tekstus, izmantojot šo algoritmu. Ņemot vērā noteiktu laiku, skaitļošanas jaudu un piekļuvi noteiktam skaitam TLS pieprasījumu, atšifrēšana uzbrucējam nesagādās grūtības.

2013. gadā Daniela J. Bernsteina Ilinoisas Universitātē veiktais pētījums ļāva viņam izveidot praktisku uzbrukuma metodi pret zināmu RC4 ievainojamību, lai apdraudētu TLS sesiju. Šis bija viens no pirmajiem šāda veida eksperimentiem, kas tika publiskots.

Pagājušā gada jūlijā Beļģijas pētnieki uzbruka RC4, ļaujot tam pārtvert upura sīkfailu un atšifrēt to daudz īsākā laikā, nekā tika uzskatīts par iespējamu iepriekš.