出于安全考虑,最好不要使用 Internet Explorer。但如果您确实要使用 Internet Explorer,请按照以下步骤操作,以确保它使用 TLS 1.2。
我很少写关于 Internet Explorer 的文章。部分原因是我不使用它,但也假设阅读 Defensive Computing 博客的人也不会使用它。尽管如此,我还是将它纳入了本系列文章,将 Web 浏览器限制为 TLS 1.2,因为坦率地说,它在这方面做得很好。
总结一下,安全网站所依赖的安全协议有六个版本,即通过 HTTPS 而非 HTTP 传输的协议。两个最老的版本 SSL 2 和 SSL 3 很长时间以来都被认为不够安全,网站或网络浏览器也不再使用它们。接下来的三个版本,即 TLS 1.0、TLS 1.1 和 TLS 1.2,才是我们讨论的主题。还有一个更新的版本 TLS 1.3,但它仍处于草案状态,几乎从未在任何地方使用过。
我评测过的大多数 Web 浏览器默认支持 TLS 1.0、1.1 和 1.2。但两个旧版本(1.0 和 1.1)不如 1.2 版安全,因此最好将 Web 浏览器限制为 1.2 版。这是关于如何做到这一点的一系列博客之一。
Internet Explorer 11 比 Firefox 更容易调整(参见和) 或 Chrome(即将推出的主题)。IE 11 开箱即用,符合当前标准,即支持 TLS 1.0、1.1 和 1.2。这在任何最新的 Windows 7、8.1 或 10 版本上都应该适用。
迈克尔·霍洛维茨/IDG将 Internet Explorer v11 配置为仅支持 TLS 1.2
Internet Explorer 的优点在于,受支持的 TLS 版本的配置选项就在它们应该在的位置。如上所示,它们可以通过以下方式找到:工具 -> Internet 选项 -> 高级选项卡。在高级选项中,它们位于最底部。
更改这些选项甚至比找到它们还要简单。对于您想要包含或排除的每个 SSL 和 TLS 版本,都有一个简单、明显的复选框。,您必须知道秘密握手才能删除对 TLS 1.0 和 1.1 的支持。
在将 IE 11 限制为仅 TLS1.2 后,Qualys SSL 客户端测试应该确认调整确实有效。
迈克尔·霍洛维茨/IDGInternet Explorer 11 无法加载 TLS 1.1 页面时出现错误消息
使用以下工具实时测试 TLS 1.1 支持测试页面由 baddssl.com 提供,结果会出现上述错误。结果应该与TLS 1.0 测试页面。
微软的错误信息做得相当不错。为了搜索引擎的利益,它说
无法显示此页面。在高级设置中启用 TLS 1.0、TLS 1.1 和 TLS 1.2,然后尝试再次连接到 https://tls-v1-1.badssl.com:1011。如果此错误仍然存在,则该网站可能使用了不受支持的协议或密码套件(如 RC4(详情链接),这不被认为是安全的。请联系您的网站管理员。
当然,还有奇怪的虚构的使用 Windows 的人有一个站点管理员。
灰色的“更改设置”按钮类似于“恢复默认设置”按钮。在每种情况下,浏览器都会正确检测问题并允许您重新配置它,以便问题不会再次发生。但从防御性计算的角度来看,它有问题的网站,而不是浏览器。任何不支持 TLS 1.2 的网站都是不可信的。
由于这是一篇防御性计算博客,我感到有义务引导读者远离 Internet Explorer。话虽如此,如果 IE 用户禁用 ActiveX,他们会更安全。因此,在调整 Internet Explorer 时,请考虑单击“工具”,然后单击“ActiveX 过滤”。在这种情况下,“过滤”意味着阻止。选中此选项将阻止所有基于 ActiveX 的软件。
展望未来,我们被 Firefox 和 Internet Explorer 宠坏了。并非所有浏览器都允许您将其限制为 TLS 1.2。Safari,我正在关注你。
反馈通过我的 Gmail 全名或 Twitter 公开联系我@defensivecomput。
