我很少写有关 Internet Explorer 的文章。部分原因是我不使用它,而且还假设阅读防御计算博客的人也不会使用它。尽管如此,我还是将其包含在有关将 Web 浏览器限制为 TLS 1.2 的系列中,因为坦率地说,它做得非常好。
回顾一下,安全网站的安全协议有六个版本,这些协议通过 HTTPS 而不是 HTTP 进行传输。两个最旧的版本 SSL 2 和 SSL 3 很长一段时间以来都没有被认为是安全的,并且不再被网站或 Web 浏览器使用。接下来的三个版本(称为 TLS 1.0、TLS 1.1 和 TLS 1.2)是当前的主题。还有一个更新的版本,TLS 1.3,但它仍处于草案状态,几乎没有在任何地方使用。
我审查过的大多数 Web 浏览器默认支持 TLS 1.0、1.1 和 1.2。但两个旧版本(1.0 和 1.1)不如 1.2 版本安全,因此将 Web 浏览器限制为 1.2 版本是很好的防御计算。这是关于这样做的一系列博客之一。
Internet Explorer 11 比 Firefox 更容易调整(请参阅和)或 Chrome(即将推出的主题)。 IE 11 开箱即用,符合当前标准,即支持 TLS 1.0、1.1 和 1.2。在任何最新的 Windows 7、8.1 或 10 副本上都应该如此。
迈克尔·霍洛维茨/IDG将 Internet Explorer v11 配置为仅支持 TLS 1.2
Internet Explorer 的优点在于支持的 TLS 版本的配置选项位于其应有的位置。如上所示,可以通过以下方式找到它们:工具 -> Internet 选项 -> 高级选项卡。在高级选项中,它们位于最底部。
更改这些选项甚至比查找它们更容易。您想要包含或排除的每个 SSL 和 TLS 版本都有一个简单、明显的复选框。,您必须知道秘密握手才能删除对 TLS 1.0 和 1.1 的支持。
将 IE 11 限制为仅 TLS1.2 后,Qualys SSL 客户端测试应该确认调整确实有效。
迈克尔·霍洛维茨/IDGInternet Explorer 11 无法加载 TLS 1.1 页面时出现错误消息
实时测试 TLS 1.1 支持,使用测试页面由 baddssl.com 提供,导致出现上述错误。结果应该是相同的TLS 1.0 测试页面。
微软在错误消息方面做得相当不错。为了搜索引擎的利益,它说
该页面无法显示。在高级设置中打开 TLS 1.0、TLS 1.1 和 TLS 1.2,然后再次尝试连接到 https://tls-v1-1.badssl.com:1011。如果此错误仍然存在,则该站点可能使用不受支持的协议或密码套件,例如 RC4(详细信息链接),这被认为是不安全的。请联系您的站点管理员。
当然,还有就是奇怪的虚构的内容是使用 Windows 的人有一个站点管理员。
灰色的“更改设置”按钮类似于“恢复默认设置”按钮。在每种情况下,浏览器都会正确检测到问题并允许您重新配置它,以免问题再次出现。但从防御计算的角度来看,问题所在的网站,而不是浏览器。任何不支持 TLS 1.2 的网站均不可信任。
由于这是一个防御计算博客,我觉得有义务引导读者远离 Internet Explorer。也就是说,IE 用户如果禁用 ActiveX 会更安全。因此,在调整 Internet Explorer 时,还可以考虑单击“工具”,然后单击“ActiveX 过滤”。在这种情况下,“过滤”意味着阻塞。选中此选项会阻止所有基于 ActiveX 的软件。
展望未来,我们会被 Firefox 和 Internet Explorer 宠坏。并非所有浏览器都允许您将其限制为 TLS 1.2。萨法里,我在看着你。
反馈 通过 Gmail 上我的全名发送电子邮件或在 Twitter 上公开与我联系@防御计算。