🔑 Вимкнення TLSv1.0 на cPanel серверах

Щодня в Інтернеті відбуваються події, які так чи інакше впливають/можуть вплинути на вас, ваш сайт або навіть на вашу сторінку в соціальних мережах. Якщо щось не змінювалося ось вже як 20 років, рано чи пізно цьому прийде кінець.

Тут мова піде про Transport Layer Security – в січні цього року перша версія протоколу 1.0 відсвяткувала своє 20 річчя – неймовірний вік для чого-небудь в Інтернеті. Ще в 68 версії cPanel говорилося, що за замовчуванням «з коробки» панель буде використовувати версію TLS 1.2, тепер про це говорять і браузери. Що може статися взагалі, коли TLSv1.0 відключать на cPanel серверах?

Що таке TLS?

Transport Layer Security (TLS) – це протокол захисту транспортного рівня, який дозволяє сторонам безпечно обмінюватися даними по мережі. Він може стосуватися як браузерів, так і поштових клієнтів. TLS гарантує, що з’єднання між клієнтом і сервером залишиться приватним, завдяки шифруванню. Через деякий час TLS оновлювалися: щоб постійно забезпечувати високу безпеку потрібно розвиватися – після TLS 1.0 з’явилися версії 1.1, 1.2 і 1.3. На даний момент переважна перевага за TLS 1.2 – близько 94% всіх сайтів в інтернеті використовують саме її.

Як побачити різницю в версіях TLS?

Якщо ви звичайний користувач, то не побачите ніяких змін – все сучасні браузери працюють з версією 1.2 вже багато років. Але є деяка каста людей, які все ще продовжують користуватися версіями браузерів минулого покоління, які не працюють з новими протоколами – Internet Explorer 10, наприклад, один з таких. І якщо ви спробуєте отримати доступ до сервера TLS 1.2 за допомогою застарілого браузера, або якщо сервер має параметри безпеки, які обмежують використання версій 1.0 або 1.1, тільки в цьому випадку ви зіткнетеся з помилкою, побачивши повідомлення «неможливо підключитися».

Причини відключення стандартів 1.0 і 1.1?

Ще раз: перша версія протоколу TLS в цьому році відсвяткувала 20 років, за цей період вона виконувала свою роботу, але залишалася на своєму первісному рівні шифрування.

У TLS 1.0 є ряд вразливих зон, які з’явилися через загальне розвитку Інтернету і, так як 1.1 не надто відрізняється від 1.0, то цей стандарт також потрапляє під відключення. Головна причина – відсутність підтримки роботи з сучасними криптографічними алгоритмами. Єдине рішення – оновитися.

В даний момент TLSv1.0 залишається умовно-робочим стандартом, але тенденція така, що незабаром його використання стане неможливим – наприклад, ряд провідних компаній (Google, Apple, Mozilla, Microsoft та інші) домовилися в 2020 році повністю відмовитися від старих версій TLS .

І що робити?

Швидше за все (на 98%) ця проблема вас не торкнеться. Але якщо ви все-таки зіткнулися з цим, а при використанні поштового клієнта побачили помилку (0x800CCC1A) «На сервері відсутня підтримка зазначеного типу шифрування підключень. Спробуйте змінити спосіб шифрування. За додатковими відомостями зверніться до адміністратора поштового сервера або до постачальника послуг Інтернету», то просто оновіться до версії стандарту TLS 1.2.

У 2018 році Інженерна рада Інтернету IETF затвердла стандарт TLS 1.3, але до переходу на постійну основу пройде ще багато часу, тому стандарт 1.2 ще довгий час буде актуальним.

Для прикладу:

Ситуацій може бути декілька, але розглянемо проблему з авторизацією в Outlook (приклад актуальний тільки для Windows 7/8)

1) Оновлення Windows 7/8 за допомогою служби Windows Update і завантажте / встановіть всі важливі оновлення. Для Windows 7 важливо, щоб ви встановили Service Pack 1.

2) Встановіть версію KB3140245 і перезавантажте комп’ютер: http://catalog.update.microsoft.com/v7/site/search.aspx?q=kb3140245

3) Встановіть EasyFix і перезавантажте комп’ютер: https://support.microsoft.com/en-us/help/3140245/update-to-enable-tls-1-1-and-tls-1-2-as-a-default-secure-protocols-in

4) Пуск> Пошук виконання, введіть Regedit і натисніть Enter, щоб отримати доступ до реєстру Windows.

Перевірте цей розділ реєстру: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ Schannel \ Protocols

У Protocols key додайте два нових ключа, якщо вони не зазначені: один називається «TLS 1.1», а інший – «TLS 1.2». Всередині обох цих ключів додайте ще один ключ під назвою «Client». Тепер створіть значення DWORD в кожному клієнтському ключі з ім’ям «DisabledByDefault», де значення дорівнює 00000000.

5) Перезавантажте і запустіть Outlook.

Якщо Outlook і раніше не може відправити або не може підключитися до порту 465, перейдіть на порт 25.