TLS 1.2 и старые IE (...а также весь софт, использующий нативные dll шифрования на Win7-)

Поиск, обмен ссылками, вопросы по устаревшему программному обеспечению.
Аватара пользователя
ATauenis
Advanced Member
Сообщения: 5527
Зарегистрирован: 30.04.2015,21:30
Откуда: Москва
Контактная информация:

Вклад в сообщество

TLS 1.2 и старые IE

Сообщение ATauenis » 21.08.2017,22:52

...а также весь софт, использующий нативные dll шифрования на Win7-

В связи с модой на шифрование, почти все современные сайты включили у себя принудительный HTTPS, и не просто HTTPS, а с применением самых современных методов шифрования и TLS 1.2 (SSL 3.0 и TLS 1.0 не принимаются даже в качестве fallback'а). В результате IE, и весь софт, использующий виндовые библиотеки защиты трафика на всех системах старше Win7 оказался в пролёте. Даже Skype 2017 года на Windows XP. Обновление корневых сертификатов, которое раньше ещё помогало, более бесполезно.
Изображение
Есть ли способы добавить современные методы шифрования в досемёрочные винды? Речь не о просмотре современных сайтов на старых ОС (с этим пока справляется даже Mozilla 1.7, благо, в ней есть всё необходимое), а о поддержке новых шифров софтом, использующим системные библиотеки шифрования.

Аватара пользователя
alecv
Advanced Member
Сообщения: 6993
Зарегистрирован: 05.10.2004,11:13
Откуда: Санкт-Петербург
Контактная информация:

Вклад в сообщество

Сообщение alecv » 21.08.2017,23:19

ATauenis Только крипто-DLL-ки переписывать, если есть такие манияки.

На стороне старых серверов, которые отвалились от новых клиентов, пока
решается организацией туннеля Cтарый_TLS <--> Новый_TLS например на `socat`



Аватара пользователя
Takedasun
Advanced Member
Сообщения: 3640
Зарегистрирован: 16.10.2013,18:07
Откуда: Керчь

Вклад в сообщество

Сообщение Takedasun » 22.08.2017,00:09

ATauenis писал(а):Даже Skype 2017 года на Windows XP
"Почему версия 7.39.32.102 не ставится на Windows XP Service Pack 3?

Потому что она для более поздних версий виндовс, а для хр качается сетап SkypeSetupFullXp.exe версии 7.36.66.150."

Аватара пользователя
KennyDies
Advanced Member
Сообщения: 504
Зарегистрирован: 25.05.2008,16:31
Откуда: void **

Вклад в сообщество

Сообщение KennyDies » 22.08.2017,08:53

ATauenis писал(а):Обновление корневых сертификатов, которое раньше ещё помогало
А эти пробовали?
http://w2k.flxsrv.org/wlu/wluen.htm
Нажать Manual update
OS Type: Windows 2000
Search Keyword: roots
> Search <
Update for Root Certificates May 2017 (KB931125+KB3097966) for Windows 98/Me/2000/XP/2003
rootsupd201705.exe

Cтатейка - https://www.atraining.ru/beast-move-from-ssl-to-tls/
Там упоминаются KB938397 и KB968730
И эти две заплаты - KB948963, KB3055973

Включить в реестре

Код: Выделить всё

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
"DisabledByDefault"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
"DisabledByDefault"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
"DisabledByDefault"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000
… As water spins in circles twice
Spiders, snakes and the little mice
Get twisted around and tumble down
When Nature calls, we all shall drown…

Аватара пользователя
ATauenis
Advanced Member
Сообщения: 5527
Зарегистрирован: 30.04.2015,21:30
Откуда: Москва
Контактная информация:

Вклад в сообщество

Сообщение ATauenis » 22.08.2017,11:20

Takedasun писал(а):SkypeSetupFullXp.exe версии 7
Вот этот и ругался.
KennyDies писал(а):Update for Root Certificates May 2017 (KB931125+KB3097966) for Windows 98/Me/2000/XP/2003
rootsupd201705.exe
Пробовал, этого уже мало.
KennyDies писал(а):Cтатейка - https://www.atraining.ru/beast-move-from-ssl-to-tls/
Там упоминаются KB938397 и KB968730
И эти две заплаты - KB948963, KB3055973
KB938397 - это SHA-2 для 2003 SP1/2, в XP SP3 оно есть из коробки. В теории может пригодиться на XP SP2, если суметь установить.
KB948963 - тоже для 2003.
KB968730 и KB3055973, плюс твик реестра и галочка "использовать TLS 1.0" в свойствах IE заставили почти всё работать. Не работают только несколько сайтов под IE6, но на них можно забить.

Аватара пользователя
cactus
Advanced Member
Сообщения: 1119
Зарегистрирован: 18.09.2006,10:43
Откуда: Темрюк

Сообщение cactus » 22.08.2017,18:59

На работе везде, за редким исключением, стоит XP SP3, в т.ч. и на интернете, никаких проблем не замечено.
Делай добро и бросай его в воду...

Аватара пользователя
ATauenis
Advanced Member
Сообщения: 5527
Зарегистрирован: 30.04.2015,21:30
Откуда: Москва
Контактная информация:

Вклад в сообщество

Сообщение ATauenis » 22.08.2017,20:08

У Вас либо регулярно ставятся (ставились) обновления, либо используется другой браузер. IE8, кстати, использует свою библиотеку шифрования, не системную (как 6/7), и без тоже проблем открывает современный интернет. Речь в теме про IE7 и старше, особенно на виндах до XP SP3. А также софт на его движке.

Аватара пользователя
ATauenis
Advanced Member
Сообщения: 5527
Зарегистрирован: 30.04.2015,21:30
Откуда: Москва
Контактная информация:

Вклад в сообщество

Сообщение ATauenis » 23.08.2017,14:03

ATauenis писал(а):KB968730 и KB3055973, плюс твик реестра и галочка "использовать TLS 1.0" в свойствах IE заставили почти всё работать. Не работают только несколько сайтов под IE6, но на них можно забить.
На XP SP2 прямая замена файлов и галочка в свойствах интернета тоже дала эффект. С Win2000 SP4 такое уже не прокатывает, нет части необходимых точек входа. Возможно, с патченным японским ядром заработает (не пробовал).

Alekokot
Junior Member
Сообщения: 115
Зарегистрирован: 21.07.2015,17:46

Сообщение Alekokot » 24.08.2017,12:48

Takedasun писал(а):"Почему версия 7.39.32.102 не ставится на Windows XP Service Pack 3?

Потому что она для более поздних версий виндовс, а для хр качается сетап SkypeSetupFullXp.exe версии 7.36.66.150."
Ерунда, ставится сначала Framework 4.0 x32, затем IE 8.0, ну и последняя версия Skype, профит!!!
PII-233 486dx4

Аватара пользователя
ATauenis
Advanced Member
Сообщения: 5527
Зарегистрирован: 30.04.2015,21:30
Откуда: Москва
Контактная информация:

Вклад в сообщество

Сообщение ATauenis » 17.12.2017,23:22

Проверил работающую с SP2 и SP3 методу на WinXP RTM. Не ругается, как на 2000 SP4, но и не работает. Пока что выходит, что минимум для работы новых TLS на XP это SP1 или SP2 (скорее всего SP2, учитывая число её отличий от SP1).

Аватара пользователя
KennyDies
Advanced Member
Сообщения: 504
Зарегистрирован: 25.05.2008,16:31
Откуда: void **

Вклад в сообщество

Сообщение KennyDies » 27.02.2018,14:26

Update to add support for TLS 1.1 and TLS 1.2 in Windows Server 2008 SP2 and Windows Embedded POSReady 2009 (KB4019276).
Last Updated: Feb 13, 2018

Для экспериментов с разными версиями IE: http://webmasterschool.ru/articles/article2.php
Работает с IE4/5/6/7/8.
… As water spins in circles twice
Spiders, snakes and the little mice
Get twisted around and tumble down
When Nature calls, we all shall drown…

Ответить