搜索
查看: 2116|回复: 31
收起左侧

[IT业界] 部分银行为兼容老旧XP/IE6 篡改设置取消浏览器高版本TLS安全协议

  [复制链接]
蓝天二号
发表于 4 天前 | 显示全部楼层 |阅读模式
本帖最后由 蓝天二号 于 2020-6-28 12:28 编辑

IE浏览器安全设置问题很可能会导致全网大多数HTTPS加密网站无法正常连接。当然该问题并不是微软导致的,而是国内部分商业银行提供的安全控件或者数字证书控件进行所谓的优化导致的。发生原因是这些控件会自动调整IE浏览器高级设置,将目前主流使用的TLS 1.2以及TLS 1.3 版安全协议取消支持。
b95bdd643878610.jpg
银行控件导致多数HTTPS网站无法加载:】

日前蓝点网接到用户反馈称我们的网站无法正常加载,不过在进行测试后我们确认该问题并非蓝点网服务器故障。与用户进行测试时我们发现该用户的IE浏览器无法加载绝大多数HTTPS网站,用户尝试加载时都会提示无法连接:“无法安全地连接到此页面这可能是因为该站点使用过期的或不安全的 TLS 安全设置。如果这种情况持续发生,请与网站的所有者联系。TLS 安全设置未设置为默认设置,这也可能导致此错误。”


在检查用户IE浏览器配置方面发现存在异常:TLS 1.1~1.3 版安全协议均被取消勾选而SSL 3.0版协议竟然被勾选。SSL 3.0 版安全协议因为存在缺陷早在2014年便已停止支持,简单来说就是继续使用这个安全协议实际并不安全。而TLS 1.0~1.1版安全协议因为同样的原因将在今年结束支持,目前安全受支持的主要是TLS 1.2~1.3版安全协议。


国内银行提供的安全控件则会篡改IE浏览器设置,将受支持的主流协议取消勾选并勾选微软默认取消支持的协议。然而现在HTTPS网站多数仅支持TLS 1.1~1.3版,部分网站甚至仅支持TLS 1.2~1.3因此自然与IE浏览器无法兼容。但这个问题并不是IE浏览器本身问题只是被篡改导致的,用户通常在重新进行配置后即可恢复正常加载所有网站。
a177785f11c615b.jpg
TLS 1.1也即将弃用因此用户可以手动取消勾选

【银行为支持XP/IE6把所有用户拖下水:】

国内银行的安全控件为什么会篡改IE浏览器的安全设置呢?原因在于这些银行的网银是想要兼容老旧的XP/IE6.0。IE6浏览器仅支持SSL 3.0和TLS 1.0等安全协议,因此主流安全协议在这些版本上无法正常兼容。据蓝点网分析国内相当多的银行会在安全控件(密码输入安全控件、证书配套驱动和软件、网银助手类)里篡改IE设置兼容 SSL 3.0 版。这些网银网站实际上从SSL 3.0~TLS 1.2 版均支持,而在篡改IE配置后用户会被强制降级使用TLS 1.0版。

其他正常的网站则不再支持这类旧版安全协议所以导致IE无法加载 , 银行为兼容IE6.0用户直接把所有用户拖下水。使用 SSL 3.0~TLS 1.0 协议不仅会对用户访问造成潜在的安全威胁 , 同时还会导致用户无法加载其他HTTPS网站。而这一切本来都是可以避免的,安全控件只需要识别特定版本的操作系统以及浏览器版本等进行针对性配置即可。但安全控件开发商们估计只是为了图省事便忽略安全问题,为了那点仍然还在使用 XP 的用户危害所有用户安全。
bfe4d4f75acf14d.jpg
某商业银行助手提供的一键修复功能就会篡改TLS协议

【检查和调整配置方法:】

打开IE浏览器并点击右上角尺寸按钮选择Internet 选项,在高级的安全选项里即可看到使用哪些版本的安全协议。用户应该设置为取消勾选SSL 3.0、TLS 1.0、TLS 1.1 , 恢复勾选TLS 1.2、TLS 1.3 (其中TLS 1.3目前仅Windows 10 2004版支持、低于此版本的可以只勾选TLS 1.2)。进行上述配置后不影响正常访问国内的网银网站(这些网站本身支持TLS 1.2所以不影响访问),配置后请不要再使用商业银行提供的助手进行所谓的一键优化。如果进行所谓的一键优化或者卸载并重装安全控件或助手,很可能浏览器配置选项会再次被篡改又需要手动恢复。
D蓶①のU
发表于 4 天前 | 显示全部楼层
希望各家银行和机构快点升级网站吧,严重拖后腿类型了
liqingcn
发表于 4 天前 | 显示全部楼层
现在保留旧版ie专门应付网银,其他全是最新版chrome,其实最大风险不是网络不安全
N6150
发表于 4 天前 | 显示全部楼层
原来如此啊 。。。
去也无踪
发表于 4 天前 | 显示全部楼层
银行不支持高版本的firefox和chrome,所以IE还是必须的浏览器啊。
RoyalFlare
发表于 4 天前 | 显示全部楼层
本帖最后由 RoyalFlare 于 2020-6-28 13:35 编辑
(其中TLS 1.3目前仅Windows 10 2004版支持、低于此版本的可以只勾选TLS 1.2)
Chrome:??? 关我啥事 劳资早就支持TLS 1.3安全协议了.
文章作者回复:
山外的鸭子哥

一方面为节省成本所以只兼容IE,另一方面微软太坑,切换到UWP Microsoft Edge后部分银行已经开发针对Edge的控件,结果吧唧一下UWP EDGE凉了,所以又回到IE时代。至于为啥不兼容Chromium就有很多方面的原因了。

我很烦那
发表于 4 天前 | 显示全部楼层
现在留着IE唯一的作用就是某些网银和一些专门性的网络系统
外太空人
发表于 4 天前 来自手机 | 显示全部楼层
银行家大业大的,花点钱升级吧。
名字无所谓
发表于 4 天前 | 显示全部楼层
偏偏是一些重要行业拖后腿真够傲慢的
skylinext
发表于 4 天前 | 显示全部楼层
强力拖后腿
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 晋ICP备20004298号-1 ) GMT+8, 2020-7-2 23:44 , Processed in 0.129505 second(s), 19 queries .

快速回复 返回顶部 返回列表