Microsoft отключит TLS v1.0 и v1.1 по умолчанию в Windows 11 и более поздних версиях

Microsoft решила вскоре отключить TLS версий 1.0 и 1.1 по умолчанию в будущих версиях операционной системы Windows, начиная со сборок Windows 11 Insider Preview в сентябре 2023 года. Чтобы избежать проблем совместимости, с которыми пользователи могут столкнуться из-за предлагаемого отключения, Microsoft будет включать возможность повторного включения TLS 1.0 и 1.1 для пользователей, которым это необходимо.

Microsoft отключит TLS версий 1.0 и 1.1 по умолчанию в Windows 11 и более поздних версиях

Безопасность транспортного уровня (TLS) является наиболее распространенным протоколом, используемым для шифрования связи между клиентом и сервером. TLS 1.0 был представлен в 1999 году, и со временем было обнаружено множество уязвимостей в системе безопасности. TLS 1.1 был опубликован в 2006 году с некоторыми улучшениями безопасности, но его внедрение было минимальным. TLS 1.2 и 1.3 превзошли старые версии, поскольку они являются самой высокой доступной версией протокола.

Интернет-стандарты и регулирующие органы устарели или запретили TLS 1.0 и 1.1. из-за проблем с безопасностью в последние годы. Поскольку с годами использование TLS 1.0 и 1.1 сократилось, Microsoft отключает эти версии, чтобы побудить клиентов использовать современные протоколы.

Microsoft рекомендация для пользователей и ИТ-администраторов:

Влияние этого изменения во многом зависит от приложений Windows, использующих TLS. Например, TLS 1.0 и TLS 1.1 уже отключены продуктами Microsoft 365, а также поверхностями API WinHTTP и WinINet. Большинство новых версий приложений поддерживают протокол TLS 1.2 или выше. Поэтому, если после этого изменения приложение начинает работать со сбоем, первым шагом будет поиск более новой версии приложения с поддержкой TLS 1.2 или TLS 1.3.

Рекомендуется использовать настройки системы по умолчанию для наилучшего баланса безопасности и производительности. Если организации ограничивают наборы шифров TLS с помощью групповой политики или командлетов PowerShell, они также должны убедиться, что наборы шифров, необходимые для TLS 1.3 и TLS 1.2, включены.

Если нет доступных альтернатив и требуется TLS 1.0 или TLS 1.1, версии протокола можно повторно включить с помощью параметра системного реестра. Чтобы переопределить системное значение по умолчанию и установить версию протокола (D)TLS или SSL в состояние «Включено», создайте значение реестра DWORD с именем «Включено» со значением записи «1» в соответствующем подразделе для конкретной версии. Ниже приведены примеры подразделов TLS 1.0:

HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\ClientHKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server

Приложения, зависящие от TLS 1.0 и 1.1, которые, как ожидается, будут нарушены

Microsoft протестировала приложения Windows после отключения TLS 1.0 и 1.1 и обнаружила, что следующие приложения ломаются при попытке их запуска.

• Сафари — 5.1.7
• Защита данных EVault — 7.01.6125
• SQL – 2012, 2014, 2016
• SQL Server — 2014, 2016
• Турбо-налог – 2017, 2014, 2011, 2012, 2016, 2015, 2018 гг.
• BlueStacks 3 (версия 3) — 5.10.0.6513
• BlueStacks X — 0.21.0.1063
• Xbox One SmartGlass — 2.2.1702.2004
• Сращивание — 4.0.35686, 4.2.4
• Поддержка драйверов — 10.1.2.41, 10.1.4.20
• K7 Enterprise Security и 4.1.0.116
• ДРУКИ Гофин – 3.17.63.0
• План проекта 365 – 23.8.1204.14137
• vWorkspace — 8.6.1
• АРМА 3
• Microsoft Office 2008 Professional – Бухгалтерский экспресс
• LANGuard — 12.7.2022.0406
• Адгард — 6.4.1814.4903, 7.12.41.70.0
• 火萤视频桌面 – 5.2.5.9
• CCB Security Client (中国建设银行E路航网银安全组件) — 3.3.8.4
• АркГИС — 10.3.3400
• Фотостудия ACDSee – 2018, 2023
• Электронная книга Blio — 3.4.0.9728, 3.4.1.9759

Microsoft также предупредила, что повторное включение TLS 1.0 и 1.1 следует делать в крайнем случае и рассматривать как временное решение, пока не будут обновлены или заменены несовместимые приложения.