Obsługa TLS 1.1 i 1.2 działa w IE8 pod Windows XP i mogą z niej skorzystać
inne programy wykorzystujące systemowe biblioteki.
Krótka historia poprawek:
1. W 2015 r. pojawiła się pierwsza aktualizacja szyfrowania (opcjonalna
KB3055973), która dodawała obsługę AES-128, AES-256. Aktualizacja była
kilka razy poprawiana.
2. Poprawione moduły szyfrowania trafiły do aktualizacji bezpieczeństwa
*KB3081320* na początku 2016 r.
3. W lipcu 2017 r. przygotowano aktualizację dla Windows Server, ale
pracowała ona nie do końca poprawnie. Aktualizacja dodaje obsługę skrótów
SHA-2 (SHA256, SHA384, SHA512) i TLS 1.1/1.2.
4. Poprawiona aktalizacja została dla Windows Server udostępniona we
wrześniu 2017 r., ale poprawki przygotowanej też dla XP/POSReady wówczas
nie udostępniono, być może z obawy, że wciąż coś jest nie tak.
5. Poprawka dla POSREady 2009 *KB4019276* datowana jest na 16 października
2017 r. i od tej pory można było ją pobrać ręcznie. Jednak do usługi Windows
Update poprawka trafiła dopiero w styczniu 2018 r. jako opcjonalna. Jeśli po
zainstalowaniu nie wszystko działa zgodnie z oczekiwaniami, mogą być
wymagane dodatkowe wpisy do rejestru opisane tu:
https://support.microsoft.com/en-us/help/4019276/update-to-add-support-for-tls-1-1-and-tls-1-2-in-windows
Więcej komentarzy można znaleźć w poniższym wątku:
https://msfn.org/board/topic/171814-posready-2009-updates-ported-to-windows-xp-sp3-enu/?page=116
6. W czerwcu 2018 pojawiła się skumulowana aktualizacja IE8, *KB4316682*
datowana na 30 maja 2018 zawierająca wreszcie obsługę TLS 1.1 i 1.2, ale
skonfigurowaną tak, by była dostępna tylko dla windows NT 6.1+ (Windows 7).
Korektę tej konfiguracji w celu działania pod Windows XP można znaleźć
bliżej końca cytowanego już wątku:
https://msfn.org/board/topic/171814-posready-2009-updates-ported-to-windows-xp-sp3-enu/?page=172#comment-1156441
Korekta sprowadza się do usunięcia minimalnej wersji OS dla nowych wersji
protokołu i ręcznego włączenia dostępu do tych wersji w IE, jak to widać
poniżej:
/----
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\CRYPTO\TLS1.2]
"OSVersion"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\CRYPTO\TLS1.1]
"OSVersion"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"SecureProtocols"=dword:00000a80
\----
Po wprowadzeniu korekty pojawiają się stosowne wpisy na karcie ”Zaawansowane”
apletu ”Opcje internetowe”.
Druga opisana korekta wyłącza przestarzałe opcje szyfrowania RC4 (128 bit)
i Triple DES (168 bit).
/----
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\Triple DES 168/168]
"Enabled"=dword:00000000
\----
Aktualizacja szyfrowania była dostępna wcześniej (p.1 i p.2), obecna
skumulowana aktualizacja IE8 to *KB4483187*
7. Kolejna poprawka do schannel.dll z października 2018 *KB4459091*
Update for TLS in Windows Embedded POSReady 2009 and Windows Embedded
Standard 2009
This update addresses an issue where it was not possible to disable TLS 1.0
and TLS 1.1 with FIPS mode enabled.
8. Poprawka do winhttp.dll z listopada 2018 *KB4467770*
Update to enable TLS 1.1 and TLS 1.2 as secure protocols in WinHTTP on
Windows Embedded POSReady 2009 and Windows Embedded Standard 2009
This update enables the system administrator to specify TLS 1.1 or TLS 1.2
when the WINHTTP_OPTION_SECURE_PROTOCOLS flag is used on Windows Embedded
POSReady 2009 and Windows Embedded Standard 2009.
Po co komu te aktualizacje?
1. Od 2018 r. szyfrowanie stało się standardem dla poczty. Szyfrowane
połączenia w Outlook Expressie powinny działać teraz bez wspomagania OE
PowerTool czy innych proxy i bez włączania obsługi mniej bezpiecznych
aplikacji (jak tego np. wymaga Gmail).
Nie sprawdzałem wszystkich serwerów.
2. Można w Outlook Expressie oglądać obrazki linkowane przez https w
emailach, np. z Allegro, co było niemożliwe wcześniej:
news://
news-archive.icm.edu.pl/5bfea7e9$0$478$6578...@news.neostrada.pl
Sprawdzone - działa!
3. Działa Skype, o czym wspominałem w tejże wiadomości.
MS zapowiadał koniec obsługi Skype Classic na listopad 2108, ale na razie
wciąż działa.
4. Można pobierać pliki z większości serwerów stosujących HSTS (wymuszone
połączenie HTTPS) używając różnych menedżerów pobierania, np. FDM 3.9.7.
Sprawdzone - Działa!
Uwaga: Niektóre serwery mogą już stosować TLS 1.3 przyjęty jako standard
RFC 8446 w sierpniu 2008, ale TLS 1.2 chyba wciąż powinien tam działać.
Nie sprawdzałem.
Więcej już chyba nie będzie, koniec wsparcia POSReady 2009 to kwiecień 2019.
Statystyki internetowe podają, że liczba wciąż używanych Windows XP jest
rzędu 5%, przy czym nie spada i według niektórych źródeł przewyższa już
spadającą liczbę komputerów z Windows 8.1.
--
Andrzej P. Woźniak
us...@pochta.onet.pl (zamień miejscami z<->h w adresie)