IE浏览器无法打开多数HTTPS网站?多半是安装的网银安全控件惹的祸

青岛伊甸园很久前曾提到过IE浏览器安全设置问题,这个问题很可能会导致全网大多数HTTPS加密网站无法正常连接。

当然该问题并不是微软导致的,而是国内多数商业银行提供的安全控件或者数字证书控件进行所谓的优化导致的。

发生原因是这些控件会自动调整IE浏览器高级设置,将目前主流使用的TLS 1.2以及TLS 1.3 版安全协议取消支持。

IE浏览器无法打开多数HTTPS网站?多半是安装的网银安全控件惹的祸

银行控件导致多数HTTPS网站无法加载:

日前青岛伊甸园接到用户反馈称我们的网站无法正常加载,不过在进行测试后我们确认该问题并非青岛伊甸园服务器故障。

与用户进行测试时我们发现该用户的IE浏览器无法加载绝大多数HTTPS网站,用户尝试加载时都会提示无法连接。

无法安全地连接到此页面
这可能是因为该站点使用过期的或不安全的 TLS 安全设置。如果这种情况持续发生,请与网站的所有者联系。
TLS 安全设置未设置为默认设置,这也可能导致此错误。

在检查用户IE浏览器配置方面发现存在异常:TLS 1.1~1.3 版安全协议均被取消勾选而SSL 3.0版协议竟然被勾选。

SSL 3.0 版安全协议因为存在缺陷早在2014年便已停止支持,简单来说就是继续使用这个安全协议实际并不安全。

而TLS 1.0~1.1版安全协议因为同样的原因将在今年结束支持,目前安全受支持的主要是TLS 1.2~1.3版安全协议。

国内银行提供的安全控件则会篡改IE浏览器设置,将受支持的主流协议取消勾选并勾选微软默认取消支持的协议。

然而现在HTTPS网站多数仅支持TLS 1.1~1.3版,部分网站甚至仅支持TLS 1.2~1.3因此自然与IE浏览器无法兼容。

但这个问题并不是IE浏览器本身问题只是被篡改导致的,用户通常在重新进行配置后即可恢复正常加载所有网站。

IE浏览器无法打开多数HTTPS网站?多半是安装的网银安全控件惹的祸

TLS 1.1也即将弃用因此用户可以手动取消勾选

银行为支持XP/IE6把所有用户拖下水:

国内银行的安全控件为什么会篡改IE浏览器的安全设置呢?原因在于这些银行的网银是想要兼容老旧的XP/IE6.0。

IE6浏览器仅支持SSL 3.0版协议而IE7~8.0仅支持TLS 1.0版协议,因此主流安全协议在这些版本上无法正常兼容。

据青岛伊甸园分析国内相当多的城商行 (城市商业银行即地方组建的银行)会在安全控件里篡改IE设置兼容 SSL 3.0 版。

这些网站在安全协议支持方面从SSL 3.0~TLS 1.2 版均支持,而在篡改IE配置后用户会被强制降级使用TLS 1.0版。

其他正常的网站则不再支持这类旧版安全协议所以导致IE无法加载 , 银行为兼容IE6.0用户直接把所有用户拖下水。

使用 SSL 3.0~TLS 1.0 协议不仅会对用户访问造成潜在的安全威胁 , 同时还会导致用户无法加载其他HTTPS网站。

而这一切本来都是可以避免的,安全控件只需要识别特定版本的操作系统以及浏览器版本等进行针对性配置即可。

但安全控件开发商们估计只是为了图省事便忽略安全问题,为了那点仍然还在使用 XP 的用户危害所有用户安全。

当然这个黑锅可能并不应该由银行们背,毕竟这些银行使用的证书和控件提供商就那么几家估计也没有更多选择。

PS:经测试除城商行外部分规模较大的银行也存在类似问题,安装过银行控件的用户可以检查下IE浏览器配置项。

IE浏览器无法打开多数HTTPS网站?多半是安装的网银安全控件惹的祸

某商业银行助手提供的一键修复功能

检查和调整配置方法:

打开IE浏览器并点击右上角尺寸按钮选择Internet 选项,在高级的安全选项里即可看到使用哪些版本的安全协议。

用户应该设置为取消勾选SSL 3.0、TLS 1.0、TLS 1.1 , 恢复勾选TLS 1.2、TLS 1.3(仅Windows 10 2004版支持)。

进行上述配置后不影响正常访问国内的网银网站,配置后请不要再使用商业银行提供的助手进行所谓的一键优化。

如果进行所谓的一键优化或者卸载并重装安全控件或助手,很可能浏览器配置选项会再次被篡改又需要手动恢复。

本文来源 青岛伊甸园,由 山外的鸭子哥 整理编辑,其版权均为 青岛伊甸园 所有,文章内容系作者个人观点,不代表 青岛伊甸园 对观点赞同或支持。如需转载,请注明文章来源。
已赞1
扫码关注青岛伊甸园微信公众号

评论:

19 条评论,访客:19 条,站长:0 条

100%好评

  • 好评:(100%)
  • 中评:(0%)
  • 差评:(0%)
  1. 与风
    与风发布于: 
    Google Chrome 83.0.4103.116 Google Chrome 83.0.4103.116 Windows 10 64位版 Windows 10 64位版

    微软Store必须打开TSL1.3才能联网,银行网银又无法连接,反正国内银行都是这样只能你兼容我,想要我兼容你,想多了

    • 山外的鸭子哥
      山外的鸭子哥发布于: 
      Google Chrome 83.0.4103.116 Google Chrome 83.0.4103.116 Windows 10 64位版 Windows 10 64位版

      额 没这说法的 你勾选1.2和1.3即可 向下兼容 银行如果不支持1.3会自动使用1.2协议的

      • 与风
        与风发布于: 
        Google Chrome 83.0.4103.116 Google Chrome 83.0.4103.116 Windows 10 64位版 Windows 10 64位版

        勾选TSL1.3网站就进不去,提示安全问题!

        • 山外的鸭子哥
          山外的鸭子哥发布于: 
          Google Chrome 83.0.4103.116 Google Chrome 83.0.4103.116 Windows 10 64位版 Windows 10 64位版

          你不要只勾选TLS 1.3啊,你要同时勾选1.2和1.3,不支持1.3的网站会自动使用1.2。如果这样还出问题,说明那个网站配置1.3协议但配置有问题,是他们网站自己原因。

  2. jskun
    jskun发布于: 
    Google Chrome 83.0.4103.106 Google Chrome 83.0.4103.106 Android 10 Android 10

    这个问题我很久以前就发现了🤣
    所以我每次安装/更新完网银驱动都会到IE设置里去恢复一下默认设置

  3. 持之以恆
    持之以恆发布于: 
    Google Chrome 83.0.4103.116 Google Chrome 83.0.4103.116 Windows 10 64位版 Windows 10 64位版

    默認不勾選TLS 1.3吧 我2004的IE點還原跟重置 都沒有勾TLS 1.3

    • 山外的鸭子哥
      山外的鸭子哥发布于: 
      Google Chrome 83.0.4103.116 Google Chrome 83.0.4103.116 Windows 10 64位版 Windows 10 64位版

      额 那随你 只要1.2勾选即可

  4. chi2019
    chi2019发布于: 
    Internet Explorer 11.0 Internet Explorer 11.0 Windows 10 64位版 Windows 10 64位版

    2004,系统默认勾选的是1.0、1.1、1.2,安装工行安全控件后,勾选的没有变化。
    鸭子哥,按文中所说的,我改为只勾选1.2、1.3后,工行的安全控件还需要安装吗?

    • 山外的鸭子哥
      山外的鸭子哥发布于: 
      Google Chrome 83.0.4103.116 Google Chrome 83.0.4103.116 Windows 10 64位版 Windows 10 64位版

      有的银行安全控件不会修改,而网银助手类才会修改,另外改成1.2 1.3后实际不影响任何银行访问,因为这些银行本身也都支持1.2

    • 我老婆超嗲的
      我老婆超嗲的发布于: 
      Google Chrome 78.0.3904.108 Google Chrome 78.0.3904.108 Windows 10 64位版 Windows 10 64位版

      MMM的终于找到元凶了,感谢青岛伊甸园,就因为这个搞的微软应用商店也打不开,每次都要手动去改一下设置,但是就搞不明白到底是谁一直再篡改IE设置
      我测试过了,工行的不会篡改,下面是测试结果:

      各银行U盾网银助手篡改IE高级安全设置一览表
      初始状态 篡改后状态
      TLS 1.2 TLS 1.3 银行 是否篡改 SSL 3.0 TLS 1.0 TLS 1.1 TLS 1.2 TLS 1.3 其他
      ● ● 广州银行 √ × ● ● ● ×
      建设银行 √ ● ● ● × × “清除众多IE设置类似重置”
      平安银行 √ ● ● ● × ×
      农业银行 √ ● ● ● × ×
      工商银行 ×

      • 山外的鸭子哥
        山外的鸭子哥发布于: 
        Google Chrome 83.0.4103.116 Google Chrome 83.0.4103.116 Windows 10 64位版 Windows 10 64位版

        对,应用商店打不开也是这个原因

  5. Harvey
    Harvey发布于: 
    Firefox 77.0 Firefox 77.0 Windows 10 64位版 Windows 10 64位版

    公司内部网站只有IE浏览器才能打开,佛了😂

  6. ff98sha
    ff98sha发布于: 
    评分:
    Google Chrome 83.0.4103.106 Google Chrome 83.0.4103.106 Android 8.0.0 Android 8.0.0

    现在还支持SSL 3.0的站都应该爬

  7. CyberPunk 2077
    CyberPunk 2077发布于: 
    Firefox 79.0 Firefox 79.0 Mac OS X 10.16.0 Mac OS X 10.16.0

    UU加速器是自动打开SSL3.0、TSL1.0-1.2 电脑同时装上这俩软件 他俩要不要打一架

  8. 木头科学二百五
    木头科学二百五发布于: 
    评分:
    Chromium Edge 85.0.556.0 Chromium Edge 85.0.556.0 Windows 10 64位版 Windows 10 64位版

    太可怕了,坐等啥时候爆出大规模攻击。

  9. Zero O
    Zero O发布于: 
    评分:
    Google Chrome 83.0.4103.116 Google Chrome 83.0.4103.116 Windows 10 64位版 Windows 10 64位版

    国内银行的网银系统对现代浏览器的支持真是shit!

    • 山外的鸭子哥
      山外的鸭子哥发布于: 
      Google Chrome 83.0.4103.116 Google Chrome 83.0.4103.116 Windows 10 64位版 Windows 10 64位版

      一方面为节省成本所以只兼容IE,另一方面微软太坑,切换到UWP Microsoft Edge后部分银行已经开发针对Edge的控件,结果吧唧一下UWP EDGE凉了,所以又回到IE时代。至于为啥不兼容chromium就有很多原因了。

      • sweetsskit
        sweetsskit发布于: 
        Microsoft Edge 17.17134 Microsoft Edge 17.17134 Windows 10 64位版 Windows 10 64位版

        为什么不学中行全面转向chrome呢,不用控件,Mac Linux chromeos都能用。。。

        • 山外的鸭子哥
          山外的鸭子哥发布于: 
          Google Chrome 83.0.4103.116 Google Chrome 83.0.4103.116 Windows 10 64位版 Windows 10 64位版

          银行为什么不支持chromium系原因很复杂,具体你可以某乎搜搜相关的话题,我觉得挺有道理,不仅是技术问题。

发表评论