Как отключить TlS в Windows?



@quiethermit

Есть ли способ отключить TLS в операционной системе Windows? Чтобы программы не могли использовать tls.


Решения вопроса 1



@vabka

Скорее всего твоя программа просто начнёт ошибку выдавать, если каким-либо образом централизованно отрубишь TLS, тк единственный способ централизованно это сделать — поломать инфраструктуру проверки валидности сертификатов (самое простое — удалить все доверенные сертификаты)

Обычно https-трафик расшифровывают при помощи прокси и подсовывания нового доверенного сертификата, которым потом будет пепеупаковываться расшифрованный трафик.

Глянь burpsuite, mitmproxy, fiddler, Charles — они все это умеют


Ответы на вопрос 3



@Wexter

Судя по коду, программа переходит от https к http, если не может использовать защищенное соединение. Я думаю как можно запретить использование tls на пк.

Заблокировать подключения к порту 443 в фаерволе винды



@rPman

в очень небольшом количестве случаев можно попробовать найти место в коде (или константы-строки) испольуземые программой и заменить там адрес https на http но вероятность успеха мала.

способа заставить принудительно все программы не использовать https нет, но можно попытаться импортировать свой сертификат, подменить dns ответ сервера на свой https сервер с самоподписанным сертификатом и, поставив прокси, расшифровывать сообщения на лету

первый же пример приложения fidler

p.s. кстати ничто не мешает приложению используя шифрование общаться со своим сервером по своему протоколу, не используя https, в этом случае подмена сертификата точно не поможет, и снова придется реверсинженерить приложение



@res2001

Отключить TLS в винде можно настройками реестра. В свое время, когда нашли уязвимость в SSL3.0, все ринулись переходить на TLS с помощью запрета SSL. Аналогично можно запретить и TLS.
Вот статья с того времени, там найдете указание где это отключается в реестре: https://www.atraining.ru/beast-move-from-ssl-to-tls/
Описание самих ключей реестра ищите у микрософта.

Но это влияет на софт, который использует механизмы ОС для шифрования трафика. Например это работало для RDP или для Internet Explorer.
Если приложение использует например openssl для шифрования, то этот вариант не будет работать. Тут надо искать какой-то вариант запрета через openssl. Есть и другие библиотеки, реализующие шифрование.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *