访问:
阿里云年中大促 点击领取最高12000元红包
天翼云年中上云节 云主机1C2G 92元/年 实名注册送8888元大礼包
银行控件导致多数HTTPS网站无法加载:
日前蓝点网接到用户反馈称我们的网站无法正常加载,不过在进行测试后我们确认该问题并非蓝点网服务器故障。与用户进行测试时我们发现该用户的IE浏览器无法加载绝大多数HTTPS网站,用户尝试加载时都会提示无法连接:“无法安全地连接到此页面这可能是因为该站点使用过期的或不安全的 TLS 安全设置。如果这种情况持续发生,请与网站的所有者联系。TLS 安全设置未设置为默认设置,这也可能导致此错误。”
在检查用户IE浏览器配置方面发现存在异常:TLS 1.1~1.3 版安全协议均被取消勾选而SSL 3.0版协议竟然被勾选。SSL 3.0 版安全协议因为存在缺陷早在2014年便已停止支持,简单来说就是继续使用这个安全协议实际并不安全。而TLS 1.0~1.1版安全协议因为同样的原因将在今年结束支持,目前安全受支持的主要是TLS 1.2~1.3版安全协议。
国内银行提供的安全控件则会篡改IE浏览器设置,将受支持的主流协议取消勾选并勾选微软默认取消支持的协议。然而现在HTTPS网站多数仅支持TLS 1.1~1.3版,部分网站甚至仅支持TLS 1.2~1.3因此自然与IE浏览器无法兼容。但这个问题并不是IE浏览器本身问题只是被篡改导致的,用户通常在重新进行配置后即可恢复正常加载所有网站。
TLS 1.1也即将弃用因此用户可以手动取消勾选
银行为支持XP/IE6把所有用户拖下水:
国内银行的安全控件为什么会篡改IE浏览器的安全设置呢?原因在于这些银行的网银是想要兼容老旧的XP/IE6.0。IE6浏览器仅支持SSL 3.0和TLS 1.0等安全协议,因此主流安全协议在这些版本上无法正常兼容。据蓝点网分析国内相当多的银行会在安全控件(密码输入安全控件、证书配套驱动和软件、网银助手类)里篡改IE设置兼容 SSL 3.0 版。这些网银网站实际上从SSL 3.0~TLS 1.2 版均支持,而在篡改IE配置后用户会被强制降级使用TLS 1.0版。
其他正常的网站则不再支持这类旧版安全协议所以导致IE无法加载 , 银行为兼容IE6.0用户直接把所有用户拖下水。使用 SSL 3.0~TLS 1.0 协议不仅会对用户访问造成潜在的安全威胁 , 同时还会导致用户无法加载其他HTTPS网站。而这一切本来都是可以避免的,安全控件只需要识别特定版本的操作系统以及浏览器版本等进行针对性配置即可。但安全控件开发商们估计只是为了图省事便忽略安全问题,为了那点仍然还在使用 XP 的用户危害所有用户安全。
某商业银行助手提供的一键修复功能就会篡改TLS协议
检查和调整配置方法:
打开IE浏览器并点击右上角尺寸按钮选择Internet 选项,在高级的安全选项里即可看到使用哪些版本的安全协议。用户应该设置为取消勾选SSL 3.0、TLS 1.0、TLS 1.1 , 恢复勾选TLS 1.2、TLS 1.3 (其中TLS 1.3目前仅Windows 10 2004版支持、低于此版本的可以只勾选TLS 1.2)。进行上述配置后不影响正常访问国内的网银网站(这些网站本身支持TLS 1.2所以不影响访问),配置后请不要再使用商业银行提供的助手进行所谓的一键优化。如果进行所谓的一键优化或者卸载并重装安全控件或助手,很可能浏览器配置选项会再次被篡改又需要手动恢复。
本文素材来自互联网