(3条消息) 这可能是因为该站点使用过期的或不安全的 tls 安全设置
蓝点网很久前曾提到过IE浏览器安全设置问题,这个问题很可能会导致全网大多数HTTPS加密网站无法正常连接。
当然该问题并不是微软导致的,而是国内多数商业银行提供的安全控件或者数字证书控件进行所谓的优化导致的。
发生原因是这些控件会自动调整IE浏览器高级设置,将目前主流使用的TLS 1.2以及TLS 1.3 版安全协议取消支持。
银行控件导致多数HTTPS网站无法加载:
日前蓝点网接到用户反馈称我们的网站无法正常加载,不过在进行测试后我们确认该问题并非蓝点网服务器故障。
与用户进行测试时我们发现该用户的IE浏览器无法加载绝大多数HTTPS网站,用户尝试加载时都会提示无法连接。
无法安全地连接到此页面这可能是因为该站点使用过期的或不安全的 TLS 安全设置。如果这种情况持续发生,请与网站的所有者联系。TLS 安全设置未设置为默认设置,这也可能导致此错误。
在检查用户IE浏览器配置方面发现存在异常:TLS 1.1~1.3 版安全协议均被取消勾选而SSL 3.0版协议竟然被勾选。
SSL 3.0 版安全协议因为存在缺陷早在2014年便已停止支持,简单来说就是继续使用这个安全协议实际并不安全。
而TLS 1.0~1.1版安全协议因为同样的原因将在今年结束支持,目前安全受支持的主要是TLS 1.2~1.3版安全协议。
国内银行提供的安全控件则会篡改IE浏览器设置,将受支持的主流协议取消勾选并勾选微软默认取消支持的协议。
然而现在HTTPS网站多数仅支持TLS 1.1~1.3版,部分网站甚至仅支持TLS 1.2~1.3因此自然与IE浏览器无法兼容。
但这个问题并不是IE浏览器本身问题只是被篡改导致的,用户通常在重新进行配置后即可恢复正常加载所有网站。
TLS 1.1也即将弃用因此用户可以手动取消勾选
银行为支持XP/IE6把所有用户拖下水:
国内银行的安全控件为什么会篡改IE浏览器的安全设置呢?原因在于这些银行的网银是想要兼容老旧的XP/IE6.0。
IE6浏览器仅支持SSL 3.0版协议而IE7~8.0仅支持TLS 1.0版协议,因此主流安全协议在这些版本上无法正常兼容。
据蓝点网分析国内相当多的城商行 (城市商业银行即地方组建的银行)会在安全控件里篡改IE设置兼容 SSL 3.0 版。
这些网站在安全协议支持方面从SSL 3.0~TLS 1.2 版均支持,而在篡改IE配置后用户会被强制降级使用TLS 1.0版。
其他正常的网站则不再支持这类旧版安全协议所以导致IE无法加载 , 银行为兼容IE6.0用户直接把所有用户拖下水。
使用 SSL 3.0~TLS 1.0 协议不仅会对用户访问造成潜在的安全威胁 , 同时还会导致用户无法加载其他HTTPS网站。
而这一切本来都是可以避免的,安全控件只需要识别特定版本的操作系统以及浏览器版本等进行针对性配置即可。
但安全控件开发商们估计只是为了图省事便忽略安全问题,为了那点仍然还在使用 XP 的用户危害所有用户安全。
当然这个黑锅可能并不应该由银行们背,毕竟这些银行使用的证书和控件提供商就那么几家估计也没有更多选择。
某商业银行助手提供的一键修复功能
检查和调整配置方法:
打开IE浏览器并点击右上角尺寸按钮选择Internet 选项,在高级的安全选项里即可看到使用哪些版本的安全协议。
用户应该设置为取消勾选SSL 3.0、TLS 1.0、TLS 1.1 , 恢复勾选TLS 1.2、TLS 1.3(仅Windows 10 2004版支持)。
进行上述配置后不影响正常访问国内的网银网站,配置后请不要再使用商业银行提供的助手进行所谓的一键优化。
如果进行所谓的一键优化或者卸载并重装安全控件或助手,很可能浏览器配置选项会再次被篡改又需要手动恢复。