Transport layer security браузер который поддерживает
Перейти к содержимому

Transport layer security браузер который поддерживает

  • автор:

Как включить TLS 1.3 в Windows

В сегодняшней статье я покажу, как включить TLS 1.3 в Windows и в браузерах Firefox, Chrome и Edge.

TLS или Transport Layer Security — это протокол безопасности, который разработан для обеспечения конфиденциальности и безопасности передаваемых данных в сети Интернет. Протокол даёт возможность клиент-серверным приложениям осуществлять связь в сети таким образом, что нельзя производить прослушивание пакетов и осуществить несанкционированный доступ.

На сегодняшний день существуют 4 версии протокола:

На 2020 год протоколы версий 1.0 и 1.1. признаны устаревшими.

Большой проблемой TLS 1.2 является то, что он часто неправильно настроен, что делает защищенное соединение уязвимыми для атак. TLS 1.3 удаляет устаревшие и небезопасные функции из TLS 1.2, в том числе:

В целом новая версия протокола 1.3 стала намного защищеннее и работает намного быстрее. Рекомендуется использовать именно ее.

Как включить TLS 1.3 в Windows

Имейте в виду, что эта функция все еще внедряется и может появиться в вашем браузере немного позже.

Microsoft Edge

  1. Введите inetcpl.cpl в командной строке сочетание клавиш «Win + R» и нажмите клавишу Enter. Включение TLS 1.3 в Windows
  2. Откроется окно свойств Интернета. Перейдите в раздел «Дополнительно»
  3. В разделе безопасности установите флажок TLS 1.3. Включение TLS 1.3 Windows
  4. Перезапустите браузер

Edge Chromium

Эта версия Edge построена на Chromium Engine, который не использует стек Windows TLS. Вам нужно будет настроить их самостоятельно, используя флаг в edge://flags.

Включение TLS 1.3 в Edge Chromium

  1. В адресной строке Edge введите edge : //flags и нажмите Enter.
  2. Найдите TLS 1.3 и включите настройки.
  3. После включения настроек необходимо перезапустить браузер, чтобы новая версия протокола вступил в силу.

Помните, что он все еще находится на экспериментальной стадии, так как сначала он развертывается с Windows 10 Insider, а затем он будет в более широком формате. Поэтому, если вы не хотите его использовать, вы можете использовать другие браузеры, которые поддерживают версию 1.3.

Chrome

Поскольку Chrome и Edge используют движок Chromium, вы можете включить или изменить настройку таким же образом с помощью флагов Chrome.

Включение TLS 1.3 в Chrome

  1. Введите chrome : //flags на новой вкладке Edge и нажмите Enter.
  2. Найдите TLS 1.3 и включите настройки.
  3. Перезапустите браузер.

Вы заметите, что настройки по умолчанию включены для Chrome. Нечто подобное со временем произойдет со всеми браузерами.

Firefox

Включить TLS 1.3 Firefox

  1. Запустите Firefox и введите в адресной строке about : config , а затем нажмите клавишу Enter.
  2. В строке поиска введите security . tls . version . max и нажмите плюс. Убедитесь что значение в положении «True».
  3. Перезапустите браузер Firefox.

Если вы хотите отключить, верните прежнее.

Как проверить включен ли TLS 1.3

Для проверки TLS 1.3 зайдите на сайт Cloudflare и нажмите кнопку «Run test».

Проверка TLS 1.3 на сайте Cloudflare

На этом все. Надеюсь вы смогли включить TLS 1.3 в Windows и в браузерах.

Как подружить «современный» TLS и «устаревшие» браузеры?

Тему подсказало обсуждение предыдущего поста, в котором прозвучал голос заботливого администратора веб-сервера: TLS 1.2 и AEAD – выбор здорового человека, но кто пожалеет пользователей «устаревших» браузеров? Давайте это обсудим – мнимую несовместимость «современного» TLS и «устаревших» браузеров.

Гипотеза звучит следующим образом: если на веб-сервере оставить поддержку только устойчивых версий протокола защиты транспортного уровня TLS (1.2 и 1.3) и шифронаборов (AEAD), пользователи «устаревших» браузеров зайти на сайт не смогут.

Совершим необязательный экскурс в историю… В 2005 году (т.е. 16 лет тому назад), американское Агентство национальной безопасности анонсировало корпус стандартов, руководств, рекомендаций и прочих поддерживающих документов по использованию криптографических алгоритмов – NSA Suite B Cryptography.

В 2009 году IETF опубликовал RFC5430 Suite B Profile for Transport Layer Security, где установил, какие протоколы и шифронаборы должны использоваться для HTTPS-соединения, чтобы соответствовать требованиям АНБ. Уже тогда для соответствия этим требованиям веб-сервер и веб-браузер должны были поддерживать TLS версии 1.2 и шифронаборы TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 и TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384.

То есть, как минимум последние 11 лет разработчики знали, каким требованиям должна соответствовать их продукция, чтобы иметь возможность претендовать на американский госзаказ. Поэтому следующий факт вы, вероятно, воспримете без удивления: все реально используемые сегодня браузеры поддерживают упомянутый шифронабор в варианте с 128-битным шифроключом, а многие (но не все) – и с 256-битным.

На этом можно было бы закончить статью, порекомендовав всем администраторам веб-серверов оставить поддержку только TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 и не забивать себе голову мифами о несовместимости TLS 1.2 с «устаревшими» браузерами, если бы не нюанс: в TLS версии младше 1.3 алгоритм цифровой подписи в шифронаборе должен совпадать с алгоритмом в TLS-сертификате, а веб-серверов с сертификатом, подписанным по алгоритму ECDSA, в доменной зоне .RU менее 6%, оставшиеся используют для подписи RSA.

Кто виноват – вопрос отдельного исследования, нас же интересует что делать? Давайте для начала вспомним, что к устойчивым шифронаборам сегодня относятся не только рекомендуемая АНБ комбинация ECDHE+ECDSA+AES, но и другие:

Весь зверинец

TLS_DHE_RSA_WITH_AES_128_CCM;
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256;
TLS_DHE_RSA_WITH_AES_256_CCM;
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384;
TLS_DHE_RSA_WITH_CAMELLIA_128_GCM_SHA256;
TLS_DHE_RSA_WITH_CAMELLIA_256_GCM_SHA384;
TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256;
TLS_ECDHE_ECDSA_WITH_AES_128_CCM;
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256;
TLS_ECDHE_ECDSA_WITH_AES_256_CCM;
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384;
TLS_ECDHE_ECDSA_WITH_CAMELLIA_128_GCM_SHA256;
TLS_ECDHE_ECDSA_WITH_CAMELLIA_256_GCM_SHA384;
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256;
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256;
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384;
TLS_ECDHE_RSA_WITH_CAMELLIA_128_GCM_SHA256;
TLS_ECDHE_RSA_WITH_CAMELLIA_256_GCM_SHA384;
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256.

Итого 19 устойчивых шифронаборов, однако не все из них подходят для использования в реальной жизни на публичном веб-сервере: алгоритм шифрования CAMELLIA, как и AES в режиме CCM, поддерживается чуть более, чем никем, с CHACHA20 и его верным спутником POLY1305 знакомы лишь относительно современные браузеры, а для использования шифронаборов на основе ECDSA, как уже было сказано, требуется соответствующий TLS-сертификат. Таким образом у нас остается лишь 4 «дополнительных» шифронабора:

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256;
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384;
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256;
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384.

Соблазнительно предположить, что если браузер поддерживает комбинацию ECDHE+ECDSA, то уж с ECDHE+RSA он точно справится, но это не всегда так – многие умеют только в DHE+RSA, и чтобы удовлетворить запросы всех старых браузеров, на сайте с RSA сертификатом необходимо поддерживать два шифронабора:

Это даст нам совместимость как минимум со следующими операционными системами и браузерами:

Android 4.4.2 + Android Browser (Chrome);
Windows XP + Chrome 49/Firefox 49/ Opera 12.18;
Windows 7 + Internet Explorer 11/Chrome 31/Firefox 31;
OS X + Firefox 29/Chrome 37;
iOS 9 + Safari 9;
Java 8b.

Про *nix системы не скажу – зависит от сборки, но очевидно, что проблемы как таковой не существует. Единственная проблема возникнет с Windows Phone 8.1 + IE 10, которые поддерживают только одну устойчивую комбинацию – ECDHE+ECDSA.

А что же делать пользователям Windows XP + IE 6 или какого-нибудь Android 2.3? – спросит заботливый админ. Продолжать сидеть без доступа к современному Интернету, – отвечу я, – поскольку даже поддержка веб-сервером протокола SSL 2.0 им ничем не поможет. Дело в том, что даже если накатить на Windows XP все выпущенные для него обновления (по май 2019 года) и обновить штатный браузер до версии 8, это принесет лишь поддержку TLS 1.2, но не устойчивых шифронаборов. Кроме того, Windows XP как не знал, так и не узнает, что такое Server Name Indication (SNI), HTML 5 Live HTML и CSS 3.

Готовы ради упертых «полутора землекопов» держать для сайта выделенный IP и не обновлять верстку? Тогда добавьте поддержку, например, TLS_RSA_WITH_AES_256_CBC_SHA256, но скорее следует предположить, что современный пользователь Windows XP уже давно пользуется альтернативным браузером, который поддерживает даже TLS 1.3. То же верно и для Android 2.3, установив на который Firefox 27, мы получим полноценную поддержку TLS 1.2 и AEAD шифронаборов, а не установив – просто не сможем пользоваться значительной частью современных сайтов даже по HTTP.

Все вышесказанное, разумеется, не является призывом к отказу от поддержки более стойких шифронаборов, которые будут востребованы современными браузерами, и которые следует предлагать для согласования в первую очередь.

Чтоб два раза не вставать, рассмотрим кратко и ситуацию с эллиптическими кривыми. NSA Suite B Cryptography признает только две из них – NIST P-384 и NIST P-256, поддержка которых на веб-сервере обеспечит доступ к сайту как современных, так и «устаревших» браузеров. Собственно, достаточно поддерживать только NIST P-384 для «старичков» и Curve25519 для современных браузеров; ну разве что еще NIST P-521 добавить, для некоторых «передовых старичков».

Подытожим: если мы хотим, чтобы сайт оставался доступен для «устаревших» браузеров, но при этом поддерживал только устойчивые версии протокола защиты транспортного уровня и шифронаборов, поступим следующим образом.

Для сайта с TLS-сертификатом, подписанным по алгоритму ECDSA, включим поддержку шифронабора TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256.

Для сайта с TLS-сертификатом, подписанным по алгоритму RSA, включим поддержку шифронаборов TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 и TLS_DHE_RSA_WITH_AES_128_GCM_SHA256.

Для обоих сайтов включим поддержку эллиптической кривой NIST P-384 или NIST P-256 и зададим порядок предпочтения шифронаборов и эллиптических кривых, согласно которым вышеуказанные наборы и кривые предлагаются браузерам для согласования после более устойчивых, например после TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 и Curve25519 соответственно.

Форум Про Закупки

Установленный Интернет-браузер: Internet Explorer (версии 11.0), либо любой другой браузер, поддерживающий Transport Layer Security (TLS v.1.0/1.2, RFC 5246), с использованием российских криптографических стандартов; ПО КриптоПро версии 4.0.

Судак Сообщения: 424 Зарегистрирован: Вт дек 24, 2019 5:01 pm Репутация: 6 Благодарил (а): 15 раз Поблагодарили: 39 раз

Re: Браузер для работы в ЕИС

Сообщение Судак » Ср апр 13, 2022 8:56 am

Перепробавали кучу интернет браузеров, лучше всего для работы в личном кабинете ЕИС это: Internet Explorer 11 (у нас версия: 11.0.9600.18860), неплохо работает Яндекс браузер (у нас версия: 22.3.1.981). Кому интересно, Win 7/64 pro

HeakkyPaTHbIu Сообщения: 593 Зарегистрирован: Ср окт 23, 2019 5:25 pm Репутация: 7 Благодарил (а): 27 раз Поблагодарили: 16 раз

Re: Браузер для работы в ЕИС

Сообщение HeakkyPaTHbIu » Ср апр 13, 2022 9:45 am

Используем Internet Explorer 11 (с отключенным автоматическим обновлением).

Xep_CoH Сообщения: 756 Зарегистрирован: Пн окт 21, 2019 6:49 pm Репутация: 14 Благодарил (а): 24 раза Поблагодарили: 43 раза

Re: Браузер для работы в ЕИС

Сообщение Xep_CoH » Ср апр 13, 2022 10:08 am

Раньше использовали Спутник, но потом он начал глючить и мы с ним расстались. Остался IE и недавно поставили Яндекс.

Гость Сообщения: 165 Зарегистрирован: Сб апр 10, 2021 8:19 pm Репутация: 0 Благодарил (а): 10 раз Поблагодарили: 16 раз

Re: Браузер для работы в ЕИС

Сообщение Гость » Ср апр 13, 2022 10:42 am

А что скажите по поводу Mozilla FireFox, Google Chrome?

HeakkyPaTHbIu Сообщения: 593 Зарегистрирован: Ср окт 23, 2019 5:25 pm Репутация: 7 Благодарил (а): 27 раз Поблагодарили: 16 раз

Re: Браузер для работы в ЕИС

Сообщение HeakkyPaTHbIu » Чт апр 14, 2022 5:24 am

Mozilla FireFox используем для работы на АСТ ГОЗ. Google Chrome не используем.
Ask Сообщения: 94 Зарегистрирован: Вт янв 21, 2020 11:21 am Репутация: 0 Благодарил (а): 10 раз

Re: Браузер для работы в ЕИС

Сообщение Ask » Чт апр 14, 2022 10:18 am

Мы вносим информацию через Яндекс браузер, а подписываем IE.

Весна Сообщения: 150 Зарегистрирован: Сб янв 18, 2020 10:37 am Репутация: 0 Благодарил (а): 11 раз Поблагодарили: 1 раз

Re: Браузер для работы в ЕИС

Сообщение Весна » Чт апр 14, 2022 4:54 pm

HeakkyPaTHbIu писал(а): ↑ Ср апр 13, 2022 9:45 am Используем Internet Explorer 11 (с отключенным автоматическим обновлением).

Мы тоже используем IE 11. Отдельный ноут только для торгов, больше ни куда.

Акимова Л Сообщения: 468 Зарегистрирован: Вс дек 15, 2019 6:31 pm Репутация: 5 Благодарил (а): 20 раз Поблагодарили: 15 раз

Re: Браузер для работы в ЕИС

Сообщение Акимова Л » Вс апр 17, 2022 8:24 am

Работа в Единой информационной системе в сфере закупок (ЕИС) в браузере Internet Explorer может быть затруднена из-за прекращения поддержки этого браузера с 15 июня 2022 г.

Transport layer security браузер который поддерживает

Поддержка КриптоПро Fox прекращена.
Рекомендуем воспользоваться современными браузерами с поддержкой ГОСТ 34.10-2012: Microsoft Internet Explorer, Браузер chromium-gost, Спутник / Браузер, Яндекс.Браузер.

КриптоПро Fox представляет собой веб-браузер на основе Mozilla FireFox, поддерживающий установку защищённых соединений (Transport Layer Security, TLS) с использованием российских криптографических алгоритмов.

Поддерживается работа TLS как с односторонней, так и с двухсторонней аутентификацией.

Поддерживаемые операционные системы

  • Microsoft Windows;
  • Linux;
  • Apple OS X.

Установка КриптоПро Fox на ОС Microsoft Windows

Для работы на ОС Microsoft Windows надо установить:

  • КриптоПро CSP 3.6 или новее (страница загрузки)
  • КриптоПро Fox (cкачать КриптоПро Fox 24 для Windows)
  • КриптоПро Fox (cкачать КриптоПро Fox 31 для Windows)
  • КриптоПро Fox (cкачать КриптоПро Fox 38 для Windows)
  • КриптоПро Fox (cкачать КриптоПро Fox 45 для Windows)

Установка КриптоПро Fox на ОС Linux

Для работы на ОС Linux надо установить:

  • Пакеты КриптоПро CSP 3.6 R3 или новее (32 или 64 бита — как у ОС) (страница загрузки):
    • lsb-cprocsp-base
    • lsb-cprocsp-rdr
    • lsb-cprocsp-capilite
    • lsb-cprocsp-kc1
    • lsb-cprocsp-pkcs11
    • cprocsp-rdr-gui или cprocsp-rdr-gui-gtk
    • Скачать КриптоПро Fox 17 для 32-разрядных Linux
    • Скачать КриптоПро Fox 17 для 64-разрядных Linux
    • Скачать КриптоПро Fox 31 для 32-разрядных Linux (CentOS 6.6+)
    • Скачать КриптоПро Fox 31 для 64-разрядных Linux (CentOS 6.6+)
    • Скачать КриптоПро Fox 38 для 32-разрядных Linux (CentOS 6.6+)
    • Скачать КриптоПро Fox 38 для 64-разрядных Linux (CentOS 6.6+)
    • Скачать КриптоПро Fox 45 для 32-разрядных Linux (CentOS 6.6+)
    • Скачать КриптоПро Fox 45 для 64-разрядных Linux (CentOS 6.6+)

    Установка КриптоПро Fox на ОС Apple OS X

    Для работы на ОС Apple OS X надо установить:

    • КриптоПро CSP 3.6 R3 или новее (страница загрузки)
    • КриптоПро Fox:
      • cкачать КриптоПро Fox 17 для Apple OS X
      • cкачать КриптоПро Fox 31 для Apple OS X 10.6+
      • cкачать КриптоПро Fox 38 для Apple OS X 10.10+
      • cкачать КриптоПро Fox 45 для Apple OS X 10.10+

      Либо надо установить:

      • Единый дистрибутив КриптоПро CSP 3.6 R3 или новее и КриптоПро Fox для Apple OS X (страница загрузки)

      Настройка

      Для работы с односторонней аутентификацией надо:

      • установить корневой сертификат в хранилище «Доверенные корневые центры сертификации» («Root»)

      Для работы с двухсторонней аутентификацией дополнительно надо:

      • иметь закрытый ключ и его сертификат
      • сертификат должен быть установле в хранилище «Личные» («My») текущего пользователя со ссылкой на закрытый ключ
      • назначение сертификата (Extended Key Usage) должно быть «Проверка подлинности клиента (1.3.6.1.5.5.7.3.2)»
      • назначение ключа в сертификате (Certificate Key Usage) должно быть: «Цифровая подпись (Signing)», «Неотрекаемость (Non-repudiation)», «Шифрование ключа (Key Encipherment)», «Шифрование данных (Data Encipherment)»

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *