Отключение TLSv1.0 на cPanel серверах

Евгений Базаров

Обновлено 27.06.2019

Время чтения: 5 мин.

Ежедневно в Интернете происходят события, которые так или иначе влияют/могут повлиять на вас, ваш сайт или даже на вашу страницу в социальных сетях. Если что-то не менялось вот уж как 20 лет, рано или поздно этому придет конец. Здесь речь пойдет про Transport Layer Security – в январе этого года первая версия протокола 1.0 отпраздновала свое 20 летие – невероятный возраст для чего-либо в Интернете. Еще в 68 версии cPanel говорилось, что по умолчанию «с коробки» панель будет использовать версию TLS 1.2, теперь об этом говорят и браузеры. Что может произойти вообще, когда TLSv1.0 отключат на cPanel серверах?

Что такое TLS?

Transport Layer Security (TLS) – это протокол защиты транспортного уровня, который позволяет сторонам безопасно обмениваться данными по сети. Он может касаться как браузеров, так и почтовых клиентов. TLS гарантирует, что соединение между клиентом и сервером останется частным, благодаря шифрованию. Спустя время TLS подвергался обновлениям. Чтобы постоянно обеспечивать высокую безопасность нужно развиваться – после TLS 1.0 появились версии 1.1, 1.2 и 1.3. На данный момент подавляющее преимущество за TLS 1.2 – около 94% всех сайтов в интернете используют именно ее.

Как увидеть разницу в версиях TLS?

Если вы обычный пользователь, то не увидите никаких изменений – все современные браузеры работают с версией 1.2 уже многие годы. Но есть некоторая каста людей, которая все еще продолжает пользоваться версиями браузеров прошлого поколения, не работающих с новыми протоколами – Internet Explorer 10, к примеру, один из таких. И если вы попытаетесь получить доступ к серверу Transport Layer Security 1.2 с помощью устаревшего браузера, или если сервер имеет параметры безопасности, которые ограничивают использование версий 1.0 или 1.1, в этом случае вы столкнетесь с ошибкой, увидев сообщение «невозможно подключиться».

Причины отключения стандартов 1.0 и 1.1?

Еще раз: первая версия протокола TLS в этом году отпраздновала 20 лет, за этот период она выполняла свою работу, но осталась на своем изначальном уровне шифрования.

В TLS 1.0 есть ряд уязвимых зон, которые появились из-за общего развития Интернета и, так как 1.1 не слишком отличается от 1.0, то этот стандарт также попадает под отключение. Главная причина – отсутствие поддержки работы с современными криптографическими алгоритмами. Единственное решение – обновиться.

В данный момент TLSv1.0 остается условно-рабочим стандартом, но тенденция такова, что вскоре его использование станет невозможным – к примеру, ряд ведущих компаний (Google, Apple, Mozilla, Microsoft и другие) условились в 2020 году полностью отказаться от старых версий Transport Layer Security.

И что делать?

Скорее всего (на 98%) эта проблема вас не коснется. Но если вы все-таки столкнулись с этим, а при использовании почтового клиента увидели ошибку (0x800CCC1A) «На сервере отсутствует поддержка указанного типа шифрования подключений. Попробуйте изменить способ шифрования. За дополнительными сведениями обратитесь к администратору почтового сервера или к поставщику услуг Интернета», то просто обновитесь до версии стандарта TLS 1.2.

В 2018 году Инженерный совет Интернета IETF утвердил стандарт TLS 1.3, но до перехода на постоянную основу пройдет довольно длительный период, поэтому стандарт 1.2 еще долго будет актуален.

Для примера:

Ситуаций может быть несколько, но рассмотрим проблему с авторизацией в Outlook (пример актуален только для Windows 7/8).

1) Обновите Windows 7/8 с помощью Центра обновления Windows и загрузите / установите все важные обновления. Для Windows 7 важно, чтобы вы установили Service Pack 1.

2) Установите версию KB3140245 и перезагрузите компьютер: http://catalog.update.microsoft.com/v7/site/search.aspx?q=kb3140245

3) Установите EasyFix и перезагрузите компьютер: https://support.microsoft.com/en-us/help/3140245/update-to-enable-tls-1-1-and-tls-1-2-as-a-default-secure-protocols-in

4) Пуск> Поиск выполнения, введите Regedit и нажмите Enter, чтобы получить доступ к реестру Windows.

Проверьте этот раздел реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols

В Protocols key добавьте два новых ключа, если они не отмечены: один называется «TLS 1.1», а другой – «TLS 1.2». Внутри обоих этих ключей добавьте еще один ключ под названием «Client». Теперь создайте значение DWORD в каждом клиентском ключе с именем «DisabledByDefault», где значение равняется 00000000.