ეს გვერდი იყენებს არასწორ tls პარამეტრებს. დარწმუნდით, რომ ssl და tls პროტოკოლები ჩართულია

ყველა ჩვენი არგუმენტი ეფუძნება იმ ფაქტს, რომ ოპერაციული სისტემა არის Windows XP ან უფრო ახალი (Vista, 7 ან 8), რომელზედაც დაინსტალირებულია ყველა შესაბამისი განახლება და პატჩი. ახლა არის კიდევ ერთი პირობა: დღეს ჩვენ ვსაუბრობთ ბრაუზერების უახლეს ვერსიებზე და არა „სფერულ ოგნელებზე ვაკუუმში“.

ასე რომ, ჩვენ ვაკონფიგურირებთ ბრაუზერებს, რათა გამოიყენონ TLS პროტოკოლის უახლესი ვერსიები და საერთოდ არ გამოვიყენოთ მისი მოძველებული ვერსიები და SSL. ყოველ შემთხვევაში, რამდენადაც ეს შესაძლებელია თეორიულად.

და თეორია გვეუბნება, რომ მიუხედავად იმისა, რომ Internet Explorer მხარს უჭერს TLS 1.1 და 1.2 უკვე მე-8 ვერსიიდან, Windows XP-ისა და Vista-ს პირობებში ჩვენ არ ვაიძულებთ მას ამის გაკეთებას. დააწკაპუნეთ: Tools/Internet Options/Advanced და „უსაფრთხოების“ განყოფილებაში ვხვდებით: SSL 2.0, SSL 3.0, TLS 1.0... სხვა რამე იპოვეთ? გილოცავთ, გექნებათ TLS 1.1/1.2! თუ ვერ იპოვეს, თქვენ გაქვთ Windows XP ან Vista და რედმონდში თვლიან, რომ ჩამორჩენილები ხართ.

ასე რომ, მოხსენით ყველა SSL ყუთი, შეამოწმეთ ყველა ხელმისაწვდომი TLS ყუთი. თუ მხოლოდ TLS 1.0 არის ხელმისაწვდომი, მაშინ ასეც იყოს, თუ უფრო მიმდინარე ვერსიებია ხელმისაწვდომი, უმჯობესია აირჩიოთ მხოლოდ ისინი და მოხსნათ TLS 1.0 (და არ გაგიკვირდეთ, რომ ზოგიერთი საიტი არ იხსნება HTTPS-ზე). შემდეგ დააჭირეთ ღილაკებს "Apply" და "OK".

Opera-ით უფრო ადვილია - ის გვაძლევს ნამდვილ ბანკეტს სხვადასხვა პროტოკოლის ვერსიით: ინსტრუმენტები/ზოგადი პარამეტრები/დამატებითი/უსაფრთხოება/უსაფრთხოების პროტოკოლი. რას ვხედავთ? მთელი ნაკრები, საიდანაც ჩვენ ვტოვებთ საკონტროლო ველებს მხოლოდ TLS 1.1 და TLS 1.2-სთვის, რის შემდეგაც ვაჭერთ ღილაკს „დეტალები“ ​​და იქ მოვხსნით ყველა ხაზს, გარდა „256 ბიტიანი AES“-ით დაწყებული - ისინი მდებარეობენ დასასრული. სიის დასაწყისში არის ხაზი "256 ბიტიანი AES ( ანონიმური DH/SHA-256), ასევე მოხსენით მონიშვნა. დააწკაპუნეთ "OK" და გაიხარეთ უსაფრთხოებით.

ამასთან, ოპერას აქვს ერთი უცნაური თვისება: თუ ჩართულია TLS 1.0, მაშინ თუ საჭიროა უსაფრთხო კავშირის დამყარება, ის დაუყოვნებლივ იყენებს პროტოკოლის ამ ვერსიას, მიუხედავად იმისა, რომ საიტი მხარს უჭერს უფრო მიმდინარეებს. მაგალითად, რატომ შეწუხება - ყველაფერი კარგადაა, ყველაფერი დაცულია. როდესაც ჩართულია მხოლოდ TLS 1.1 და 1.2, ჯერ უფრო გაფართოებული ვერსიის მცდელობა მოხდება და მხოლოდ იმ შემთხვევაში, თუ ის არ არის მხარდაჭერილი საიტის მიერ, ბრაუზერი გადადის 1.1 ვერსიაზე.

მაგრამ სფერული Ognelis Firefox საერთოდ არ მოგვწონს: ინსტრუმენტები/პარამეტრები/Advanced/Encryption: ყველაფერი რაც შეგვიძლია გავაკეთოთ არის SSL-ის გამორთვა, TLS ხელმისაწვდომია მხოლოდ 1.0 ვერსიაში, არაფერია გასაკეთებელი - ჩვენ მას ვტოვებთ გამშვები პუნქტით.

თუმცა, ყველაზე უარესი შედარებით ისწავლება: Chrome და Safari საერთოდ არ შეიცავს პარამეტრებს, თუ რომელი დაშიფვრის პროტოკოლი გამოიყენოს. რამდენადაც ჩვენთვის ცნობილია, Safari არ უჭერს მხარს 1.0-ზე უფრო აქტუალურ TLS ვერსიებს Windows OS-ის ვერსიებში და რადგანაც ამ OS-ისთვის ახალი ვერსიების გამოშვება შეწყდა, ის აღარ იქნება.

Chrome, რამდენადაც ჩვენ ვიცით, მხარს უჭერს TLS 1.1-ს, მაგრამ, როგორც Safari-ს შემთხვევაში, SSL-ის გამოყენებაზე უარს ვერ ვიტყვით. Chrome-ში TLS 1.0-ის გამორთვის საშუალება არ არსებობს. მაგრამ TLS 1.1-ის რეალურ გამოყენებასთან დაკავშირებით დიდი კითხვა ჩნდება: ის ჯერ ჩართული იყო, შემდეგ გამორთული იყო ოპერაციული პრობლემების გამო და, რამდენადაც შეიძლება ვიმსჯელოთ, ჯერ კიდევ არ არის ჩართული. ანუ, როგორც ჩანს, არის მხარდაჭერა, მაგრამ როგორც ჩანს, ის გამორთულია და მომხმარებელს არ აქვს საშუალება, რომ ისევ ჩართოს იგი. იგივე ამბავია Firefox-თან დაკავშირებით - მას რეალურად აქვს TLS 1.1-ის მხარდაჭერა, მაგრამ ის ჯერ არ არის ხელმისაწვდომი მომხმარებლისთვის.

შეჯამება ზემოაღნიშნული მრავალწერტილიდან. რა არის ზოგადი საფრთხეები დაშიფვრის პროტოკოლების მოძველებული ვერსიების გამოყენებისას? ის ფაქტი, რომ სხვა ვინმე მოხვდება თქვენს უსაფრთხო კავშირში საიტთან და მიიღებს წვდომას ყველა ინფორმაციაზე "იქ" და "იქ". პრაქტიკული თვალსაზრისით, ის მიიღებს სრულ წვდომას თავის ელფოსტაზე, კლიენტ-ბანკის სისტემაში არსებულ ანგარიშზე და ა.შ.

ნაკლებად სავარაუდოა, რომ თქვენ შემთხვევით გაარღვიოთ სხვისი უსაფრთხო კავშირი, ჩვენ მხოლოდ მავნე ქმედებებზე ვსაუბრობთ. თუ ასეთი ქმედებების ალბათობა დაბალია, ან უსაფრთხო კავშირის საშუალებით გადაცემული ინფორმაცია არ არის განსაკუთრებით ღირებული, მაშინ არ უნდა იდარდოთ და გამოიყენოთ ბრაუზერები, რომლებიც მხარს უჭერენ მხოლოდ TLS 1.0-ს.

წინააღმდეგ შემთხვევაში, არჩევანი არ არის: მხოლოდ Opera და მხოლოდ TLS 1.2 (TLS 1.1 არის მხოლოდ გაუმჯობესება TLS 1.0-ზე, ნაწილობრივ მემკვიდრეობით მის უსაფრთხოების პრობლემებს). თუმცა, ჩვენს საყვარელ საიტებს შეიძლება არ ჰქონდეს TLS 1.2 მხარდაჭერა :(

ნებისმიერ სამთავრობო ან სერვისულ პორტალზე (მაგალითად, EIS) გადასვლისას მომხმარებელს შეიძლება მოულოდნელად წააწყდეს შეცდომა „ამ გვერდზე უსაფრთხოდ დაკავშირება შეუძლებელია. საიტი შესაძლოა იყენებს მოძველებულ ან სუსტ TLS უსაფრთხოების პარამეტრებს." ეს პრობლემა საკმაოდ გავრცელებულია და უკვე რამდენიმე წელია შეინიშნება მომხმარებელთა სხვადასხვა კატეგორიებში. მოდით შევხედოთ ამ შეცდომის არსს და მისი გადაჭრის ვარიანტებს.

მოგეხსენებათ, ქსელურ რესურსებთან მომხმარებლის კავშირების უსაფრთხოება უზრუნველყოფილია SSL/TSL – კრიპტოგრაფიული პროტოკოლების გამოყენებით, რომლებიც პასუხისმგებელნი არიან ინტერნეტში მონაცემთა უსაფრთხო გადაცემაზე. ისინი იყენებენ სიმეტრიულ და ასიმეტრიულ დაშიფვრას, შეტყობინებების ავთენტიფიკაციის კოდებს და სხვა სპეციალურ ფუნქციებს, რაც საშუალებას გაძლევთ შეინარჩუნოთ თქვენი კავშირის კონფიდენციალურობა და თავიდან აიცილოთ მესამე მხარეები თქვენი სესიის გაშიფვრაში.

თუ საიტთან დაკავშირებისას ბრაუზერი აღმოაჩენს, რომ რესურსი იყენებს არასწორ SSL/TSL უსაფრთხოების პროტოკოლის პარამეტრებს, მომხმარებელი მიიღებს ზემოხსენებულ შეტყობინებას და საიტზე წვდომა შეიძლება დაიბლოკოს.

ხშირად, სიტუაცია TLS პროტოკოლთან დაკავშირებით წარმოიქმნება IE ბრაუზერში, პოპულარული ინსტრუმენტი სპეციალურ სამთავრობო პორტალებთან მუშაობისთვის, რომლებიც დაკავშირებულია მოხსენების სხვადასხვა ფორმებთან. ასეთ პორტალებთან მუშაობა მოითხოვს Internet Explorer ბრაუზერის არსებობას და სწორედ მასზე ჩნდება საკითხი განსაკუთრებით ხშირად.

შეცდომის მიზეზები „საიტი შესაძლოა იყენებს მოძველებულ ან დაუცველ TLS უსაფრთხოების პარამეტრებს“ შეიძლება იყოს შემდეგი:


როგორ გამოვასწოროთ დისფუნქცია: გამოიყენება სუსტი TLS უსაფრთხოების პარამეტრები

პრობლემის გადაწყვეტა შეიძლება იყოს ქვემოთ აღწერილი მეთოდები. მაგრამ სანამ მათ აღწერთ, გირჩევთ, უბრალოდ გადატვირთოთ თქვენი კომპიუტერი - თუმცა ტრივიალურია, ეს მეთოდი ხშირად საკმაოდ ეფექტური აღმოჩნდება.

თუ ეს არ დაეხმარება, მაშინ გააკეთეთ შემდეგი:

დასკვნა

შეცდომის მიზეზი "საიტმა შეიძლება გამოიყენოს TLS პროტოკოლის მოძველებული ან არასანდო უსაფრთხოების პარამეტრები" საკმაოდ ხშირად არის ადგილობრივი კომპიუტერის ანტივირუსი, რომელიც გარკვეული მიზეზების გამო ბლოკავს წვდომას სასურველ ინტერნეტ პორტალზე. პრობლემური სიტუაციის წარმოქმნის შემთხვევაში, რეკომენდირებულია პირველ რიგში გამორთოთ ანტივირუსი, რათა დარწმუნდეთ, რომ ის არ იწვევს პრობლემას. თუ შეცდომა კვლავ განმეორდება, მაშინ გირჩევთ გადახვიდეთ ქვემოთ აღწერილი სხვა რჩევების განხორციელებაზე, რათა გადაჭრას არასანდო TSL პროტოკოლის უსაფრთხოების პარამეტრები თქვენს კომპიუტერზე.

ეს შეცდომის კოდი ჩვეულებრივ ჩნდება ეკრანზე, როდესაც მიდიხართ სერვისის ან მთავრობის ვებსაიტზე. ნათელი მაგალითია ოფიციალური EIS პორტალი. შესაძლებელია, რომ მარცხი გამოწვეული იყო მოძველებული ან დაუცველი TSL პროტოკოლის პარამეტრებით. ეს ძალიან გავრცელებული პრობლემაა. მომხმარებლები მას დიდი ხნის განმავლობაში ხვდებიან. ახლა მოდით გაერკვნენ, რამ გამოიწვია ეს შეცდომა და როგორ გამოვასწოროთ იგი.

ვებსაიტთან კავშირის უსაფრთხოება უზრუნველყოფილია სპეციალური დაშიფვრის პროტოკოლების – SSL და TSL გამოყენებით. ისინი უზრუნველყოფენ ინფორმაციის გადაცემის უსაფრთხოებას. პროტოკოლები აგებულია სიმეტრიული და ასიმეტრიული დაშიფვრის ხელსაწყოების გამოყენებაზე. ასევე გამოიყენება შეტყობინებების ავთენტიფიკაციის კოდები და სხვა ვარიანტები. ერთობლივად, ეს ზომები შესაძლებელს ხდის კავშირის ანონიმურობის შენარჩუნებას, ამიტომ მესამე მხარეებს მოკლებული აქვთ სესიის გაშიფვრის შესაძლებლობას.

როდესაც ბრაუზერში გამოჩნდება შეცდომა TSL პროტოკოლთან დაკავშირებული პრობლემების შესახებ, ეს ნიშნავს, რომ ვებსაიტი იყენებს არასწორ პარამეტრებს. ამიტომ, კავშირი ნამდვილად არ არის უსაფრთხო. პორტალზე წვდომა ავტომატურად იბლოკება.

ყველაზე ხშირად, მომხმარებლები, რომლებიც მუშაობენ Internet Explorer ბრაუზერის საშუალებით, ხვდებიან ამ შეცდომას. ამ წარუმატებლობის რამდენიმე მიზეზი არსებობს, კერძოდ:

  • ანტივირუსი ბლოკავს კავშირს ვებსაიტთან;
  • CryptoPro კომუნალური პროგრამის ვერსია მოძველებულია;
  • პორტალთან დაკავშირება ხორციელდება VPN-ის საშუალებით;
  • Internet Explorer ბრაუზერის არასწორი პარამეტრები;
  • "SecureBoot" ფუნქცია გააქტიურებულია BIOS-ში;
  • კომპიუტერში არის ინფიცირებული ფაილები და ვირუსები.

ჩვენ გავარკვიეთ შეცდომის მიზეზები. დროა გავაანალიზოთ პრობლემის გადაჭრის შესაძლო გზები.

ინსტრუქციები პრობლემების მოგვარებისთვის

თუ შეცდომა არ გაქრა, მაშინ დროა სცადოთ ალტერნატიული მეთოდები:

პრაქტიკა გვიჩვენებს, რომ თითოეულ ჩამოთვლილ რჩევას შეუძლია პრობლემის აღმოფხვრა. ასე რომ, უბრალოდ მიჰყევით ინსტრუქციას.

დასკვნა

ექსპერტები ამტკიცებენ, რომ პროგრამული უზრუნველყოფის მარცხი ჩნდება მომხმარებლის კომპიუტერზე დაინსტალირებული ანტივირუსის გამო. რატომღაც პროგრამა ბლოკავს წვდომას ვებსაიტზე. ამიტომ, ჯერ უბრალოდ გამორთეთ ანტივირუსი და შეცვალეთ სერტიფიკატის გადამოწმების პარამეტრები. სავარაუდოა, რომ ეს პრობლემას მოაგვარებს. თუ შეცდომა შენარჩუნებულია, მაშინ სცადეთ ზემოთ შემოთავაზებული თითოეული რჩევა. შედეგად, TSL პროტოკოლის უსაფრთხოების პრობლემა აბსოლუტურად მოგვარდება.

SSL TLS პროტოკოლი

საბიუჯეტო ორგანიზაციების და არა მხოლოდ საბიუჯეტო ორგანიზაციების მომხმარებლები, რომელთა საქმიანობა პირდაპირ კავშირშია ფინანსებთან, ფინანსურ ორგანიზაციებთან ურთიერთობისას, მაგალითად, ფინანსთა სამინისტრო, ხაზინა და ა.შ., ახორციელებენ ყველა ოპერაციას ექსკლუზიურად უსაფრთხო SSL პროტოკოლის გამოყენებით. ძირითადად, თავიანთ საქმიანობაში ისინი იყენებენ Internet Explorer ბრაუზერს. ზოგიერთ შემთხვევაში Mozilla Firefox.

კომპიუტერული სიახლეები, მიმოხილვები, კომპიუტერთან დაკავშირებული პრობლემების გადაწყვეტა, კომპიუტერული თამაშები, დრაივერები და მოწყობილობები და სხვა კომპიუტერული პროგრამები." title="programs, drivers, პრობლემები კომპიუტერთან, თამაშები" target="_blank">!}

SSL შეცდომა

ამ ოპერაციების განხორციელებისას და ზოგადად მუშაობისას მთავარი ყურადღება ექცევა უსაფრთხოების სისტემას: სერტიფიკატებს, ელექტრონულ ხელმოწერებს. მუშაობისთვის გამოიყენება CryptoPro პროგრამული უზრუნველყოფის მიმდინარე ვერსია. რაც შეეხება პრობლემები SSL და TLS პროტოკოლებთან, თუ SSL შეცდომაგამოჩნდა, სავარაუდოდ, ამ პროტოკოლის მხარდაჭერა არ არის.

TLS შეცდომა

TLS შეცდომახშირ შემთხვევაში ეს ასევე შეიძლება მიუთითებდეს პროტოკოლის მხარდაჭერის ნაკლებობაზე. მაგრამ... ვნახოთ, რა შეიძლება გაკეთდეს ამ შემთხვევაში.

SSL და TLS პროტოკოლის მხარდაჭერა

ასე რომ, როდესაც იყენებთ Microsoft Internet Explorer-ს SSL-ით დაცულ ვებსაიტზე მოსანახულებლად, გამოჩნდება სათაურის ზოლი დარწმუნდით, რომ ssl და tls პროტოკოლები ჩართულია. უპირველეს ყოვლისა, აუცილებელია ჩართეთ TLS 1.0 პროტოკოლის მხარდაჭერა Internet Explorer-ში.

კომპიუტერული სიახლეები, მიმოხილვები, კომპიუტერთან დაკავშირებული პრობლემების გადაწყვეტა, კომპიუტერული თამაშები, დრაივერები და მოწყობილობები და სხვა კომპიუტერული პროგრამები." title="programs, drivers, პრობლემები კომპიუტერთან, თამაშები" target="_blank">Компьютерная помощь, драйверы, программы, игры!}

თუ თქვენ სტუმრობთ ვებსაიტს, რომელიც მუშაობს Internet Information Services 4.0 ან უფრო მაღალ ვერსიაზე, Internet Explorer-ის კონფიგურაცია TLS 1.0-ის მხარდასაჭერად დაგეხმარებათ თქვენი კავშირის დაცვაში. რა თქმა უნდა, იმ პირობით, რომ დისტანციური ვებ სერვერი, რომლის გამოყენებასაც ცდილობთ, მხარს უჭერს ამ პროტოკოლს.

ამის გაკეთება მენიუში სერვისიგუნდის შერჩევა ინტერნეტის პარამეტრები.

ჩანართზე დამატებითთავში Უსაფრთხოება, დარწმუნდით, რომ არჩეულია შემდეგი მოსანიშნი ველები:

გამოიყენეთ SSL 2.0
გამოიყენეთ SSL 3.0
გამოიყენეთ TLS 1.0

დააჭირეთ ღილაკს მიმართეთ , და მერე კარგი . გადატვირთეთ თქვენი ბრაუზერი .

TLS 1.0-ის ჩართვის შემდეგ, სცადეთ ხელახლა ეწვიოთ ვებსაიტს.

სისტემის უსაფრთხოების პოლიტიკა

თუ ისინი მაინც მოხდება შეცდომები SSL და TLSთუ მაინც ვერ იყენებთ SSL-ს, დისტანციური ვებ სერვერი სავარაუდოდ არ უჭერს მხარს TLS 1.0. ამ შემთხვევაში აუცილებელია სისტემის პოლიტიკის გამორთვა, რომელიც მოითხოვს FIPS-თან შესაბამის ალგორითმებს.

კომპიუტერული სიახლეები, მიმოხილვები, კომპიუტერთან დაკავშირებული პრობლემების გადაწყვეტა, კომპიუტერული თამაშები, დრაივერები და მოწყობილობები და სხვა კომპიუტერული პროგრამები." title="programs, drivers, პრობლემები კომპიუტერთან, თამაშები" target="_blank">Компьютерная помощь, драйверы, программы, игры!}

ამისათვის, in მართვის პანელებიაირჩიეთ ადმინისტრაციადა შემდეგ ორჯერ დააწკაპუნეთ ადგილობრივი უსაფრთხოების პოლიტიკა.

ადგილობრივი უსაფრთხოების პარამეტრებში გააფართოვეთ ადგილობრივი პოლიტიკადა შემდეგ დააჭირეთ ღილაკს Უსაფრთხოების პარამეტრები.

ფანჯრის მარჯვენა მხარეს პოლიტიკის მიხედვით, დააწკაპუნეთ ორჯერ სისტემური კრიპტოგრაფია: გამოიყენეთ FIPS- შესაბამისი ალგორითმები დაშიფვრის, ჰეშირებისა და ხელმოწერისთვისდა შემდეგ დააჭირეთ ღილაკს გამორთულია .

ყურადღება! ცვლილება ძალაში შედის ადგილობრივი უსაფრთხოების პოლიტიკის ხელახალი გამოყენების შემდეგ. ანუ ჩართეთ იგიდა გადატვირთეთ თქვენი ბრაუზერი .

CryptoPro TLS SSL

განაახლეთ CryptoPro

შემდეგი, პრობლემის გადაჭრის ერთ-ერთი ვარიანტია CryptoPro-ს განახლება, ასევე რესურსის დაყენება. ამ შემთხვევაში, ეს არის მუშაობა ელექტრონულ გადახდებთან. ამიტომ, ჩვენ მივდივართ სერტიფიცირების ცენტრში, რათა ავტომატურად დავაკონფიგურიროთ რესურსი. რესურსად ვირჩევთ ელექტრონულ სავაჭრო პლატფორმებს.

სამუშაო ადგილის ავტომატური დაყენების დაწყების შემდეგ, რჩება მხოლოდ დაელოდეთ პროცედურის დასრულებას, მაშინ ბრაუზერის გადატვირთვა. თუ თქვენ გჭირდებათ რესურსის მისამართის შეყვანა ან არჩევა, აირჩიეთ ის, რაც გჭირდებათ. შესაძლოა დაგჭირდეთ კომპიუტერის გადატვირთვა, როდესაც დაყენება დასრულდება.

კომპიუტერული სიახლეები, მიმოხილვები, კომპიუტერთან დაკავშირებული პრობლემების გადაწყვეტა, კომპიუტერული თამაშები, დრაივერები და მოწყობილობები და სხვა კომპიუტერული პროგრამები." title="programs, drivers, პრობლემები კომპიუტერთან, თამაშები" target="_blank">Компьютерная помощь, драйверы, программы, игры!}

SSL TLS-ის დაყენება

ქსელის კონფიგურაცია

სხვა ვარიანტი შეიძლება იყოს NetBIOS-ის გამორთვა TCP/IP-ზე- მდებარეობს კავშირის თვისებებში.

DLL რეგისტრაცია

გაუშვით Command Prompt როგორც ადმინისტრატორი და შეიყვანეთ ბრძანება regsvr32 cpcng. 64-ბიტიანი ოპერაციული სისტემისთვის, თქვენ უნდა გამოიყენოთ იგივე regsvr32, რომელიც არის syswow64-ში.

სისტემას SSL/TLS აქვს მრავალპროტოკოლის მხარდაჭერის ინფრასტრუქტურა.

სისტემა SSL/TLS მხარს უჭერს შემდეგ პროტოკოლებს:

  • სატრანსპორტო ფენის უსაფრთხოების ვერსია 1.2 (TLSv1.2)
  • სატრანსპორტო ფენის უსაფრთხოების ვერსია 1.1 (TLSv1.1)
  • სატრანსპორტო ფენის უსაფრთხოების ვერსია 1.0 (TLSv1.0)
    • SSLv2 არ შეიძლება გამოყენებულ იქნას, თუ სისტემაზე ჩართულია TLSv1.2 QSSLPCL სისტემის მნიშვნელობით.

ფრთხილად:

IBM დაჟინებით გირჩევთ, რომ გაუშვათ IBM სერვერი მხოლოდ შემდეგი ქსელის პროტოკოლების გამორთვით. IBM კონფიგურაციის ვარიანტების გამოყენებით სუსტი პროტოკოლის შედეგების გასააქტიურებლად, შეგიძლიათ ჩართოთ IBM i სერვერის სუსტი პროტოკოლების გამოყენება. ამ პარამეტრმა შეიძლება პოტენციურად შეაფერხოს ქსელის უსაფრთხოება და IBM i სერვერი რისკის ქვეშ დააყენოს. IBM არ არის პასუხისმგებელი რაიმე დაზიანებაზე ან დაკარგვაზე, მათ შორის მონაცემთა დაკარგვაზე, რომელიც შეიძლება წარმოიშვას ქსელის ასეთი პროტოკოლების გამოყენების შედეგად.

სუსტი პროტოკოლები (2016 წლის აპრილის მდგომარეობით):

  • Secure Sockets Layer ვერსია 3.0 (SSLv3)
  • Secure Sockets Layer ვერსია 2.0 (SSLv2)

მოყვება პროტოკოლები

სისტემის მნიშვნელობის პარამეტრი QSSLPCL განსაზღვრავს კონკრეტულ პროტოკოლებს, რომლებიც ჩართულია სისტემაში. აპლიკაციები უსაფრთხო სესიებზე მოლაპარაკებებს აწარმოებენ მხოლოდ იმ პროტოკოლებით, რომლებიც ჩამოთვლილია QSSLPCL-ში. მაგალითად, სისტემის SSL/TLS იმპლემენტაციის შეზღუდვისთვის, რომ გამოიყენოს მხოლოდ TLSv1.2 და არ დაუშვას პროტოკოლის ძველი ვერსიების გამოყენება, თქვენ უნდა დააყენოთ QSSLPCL ბრძანება მხოლოდ *TLSV1.2-ზე.

სპეციალური მნიშვნელობა QSSLPCL *OPSYS საშუალებას აძლევს ოპერაციულ სისტემას შეცვალოს სისტემაში ჩართული პროტოკოლები გამოშვების საზღვრებში. თუ QSSLPCL-ის მნიშვნელობა არ არის *OPSYS, მაშინ მას შემდეგ, რაც სისტემა გადადის ახალ ვერსიაზე, ადმინისტრატორმა ხელით უნდა დაამატოს პროტოკოლის ახალი ვერსიები QSSLPCL-ს.

IBM მე გამოვა განმარტება QSSLPCL *OPSYS
მე 6.1 *TLSV1, *SSLV3
მე 7.1 *TLSV1, *SSLV3
მე 7.2
მე 7.3 *TLSV1.2, *TLSV1.1, *TLSV1

ნაგულისხმევი პროტოკოლები

თუ აპლიკაცია არ აკონკრეტებს რომელი პროტოკოლები უნდა ჩართოს, System SSL/TLS იყენებს ნაგულისხმევ პროტოკოლებს. ეს მიდგომა გამოიყენება იმის უზრუნველსაყოფად, რომ ახალი TLS-ის მხარდაჭერა არ საჭიროებს აპლიკაციის კოდში ცვლილებებს. აპლიკაციებისთვის, რომლებიც ცალსახად აკონკრეტებენ ჩართვის პროტოკოლებს, ნაგულისხმევი პროტოკოლების დაყენებას აზრი არ აქვს.

სისტემის ნაგულისხმევი პროტოკოლები ემთხვევა QSSLPCL-ის ჩართულ პროტოკოლებს და მოქმედ ნაგულისხმევ პროტოკოლებს. დაშვებული პროტოკოლების ნაგულისხმევი სია კონფიგურირებულია სისტემის ხელსაწყოთა ყუთის (SST) გაფართოებული ანალიზის ბრძანების SSLCONFIG გამოყენებით.

სისტემაზე ნაგულისხმევი დაშვებული პროტოკოლების სიის და ნაგულისხმევი პროტოკოლების სიის მიმდინარე მნიშვნელობის დასადგენად, გამოიყენეთ SSLCONFIG ბრძანება –display ოფციით.

ადმინისტრატორს შეუძლია შეცვალოს ნაგულისხმევი პროტოკოლის პარამეტრები მხოლოდ იმ შემთხვევაში, თუ სხვა პარამეტრები არ აძლევს საშუალებას აპლიკაციას წარმატებით დაუკავშირდეს თანატოლებთან. სასურველია ძველი პროტოკოლის ჩართვა მხოლოდ იმ აპლიკაციებისთვის, რომლებიც ამას მოითხოვს. თუ არსებობს „აპლიკაციის განმარტება“, ჩართვა ხდება ციფრული სერთიფიკატების მენეჯერის (DCM) მეშვეობით.

გაფრთხილება: ნაგულისხმევ სიაში პროტოკოლის ძველი ვერსიის დამატება გამოიწვევს უსაფრთხოების კომპრომისს ყველა აპლიკაციას, რომელიც იყენებს ნაგულისხმევ სიას. ჯგუფური უსაფრთხოების PTF-ის ჩატვირთვამ შეიძლება გამოიწვიოს პროტოკოლის ამოღება ნაგულისხმევი პროტოკოლების სიიდან. გამოიწერეთ უსაფრთხოების ბიულეტენი, რათა მიიღოთ შეტყობინება, როდესაც უსაფრთხოების შემარბილებელი ქმედებები მოიცავს ამ ტიპის ცვლილებას. თუ ადმინისტრატორი დააბრუნებს მოქმედ პროტოკოლს, რომელიც წაშლილია უსაფრთხოების PTF-ის მიერ, სისტემა დაიმახსოვრებს ცვლილებას და აღარ წაშლის ამ პროტოკოლს შემდეგი უსაფრთხოების PTF გამოყენების შემდეგ.

სისტემაში ნაგულისხმევი პროტოკოლების შესაცვლელად გამოიყენეთ SSLCONFIG ბრძანების eligibleDefaultProtocols ვარიანტი მნიშვნელობის შესაცვლელად. SSLCONFIG -h ოფციით გამოჩნდება დახმარების პანელი, რომელიც აღწერს პროტოკოლების სიის დაყენებას. სიას შეიძლება დაემატოს მხოლოდ პროტოკოლის ვერსიები, რომლებიც მოცემულია დახმარების ტექსტში.



 

შეიძლება სასარგებლო იყოს წაკითხვა: