Как отключить TlS в Windows?

Question

[Мелан Альботов]

Есть ли способ отключить TLS в операционной системе Windows? Чтобы программы не могли использовать tls.

Comments

[CityCat4]

Решили остаться без браузера?

[Мелан Альботов]

Мне нужно, чтобы программа подключалась по http, вместо https.

[Владислав Лысков]

Мелан Альботов, то есть, вы из тех, кто вместо того что бы лечить ушиб на ноге, отрубают её?

[Мелан Альботов]

Владислав Лысков, мне нужно посмотреть трафик который уходит с программы на удаленный сервер. Но он уходит в зашифрованном виде. Если я правильно понимаю, она перейдет в режим http, если отрубить tls. И тогда можно будет просмотреть в незашифрованном виде.

[Dmitry Roo]

Мелан Альботов, http tools пробовали?

[CityCat4]

Мелан Альботов, Так и надо вопрос ставить таком образом. Потому что есть относительно типовые методы решения.

Answer 1

[Василий Банников]

Скорее всего твоя программа просто начнёт ошибку выдавать, если каким-либо образом централизованно отрубишь TLS, тк единственный способ централизованно это сделать - поломать инфраструктуру проверки валидности сертификатов (самое простое - удалить все доверенные сертификаты)

Обычно https-трафик расшифровывают при помощи прокси и подсовывания нового доверенного сертификата, которым потом будет пепеупаковываться расшифрованный трафик.

Глянь burpsuite, mitmproxy, fiddler, Charles - они все это умеют

Comments

[Inviz Custos]

Это еще при условии, что автору повезло и там не ssl pinning :)

[Мелан Альботов]

У меня есть декомпил проги. Судя по коду, программа переходит от https к http, если не может использовать защищенное соединение. Я думаю как можно запретить использование tls на пк. Мне кажется так будет проще получить желаемое, чем пытаться через посредника расшифровывать трафик. Плюс как я понял, ключи могут генериться часть на сервере, часть на клиенте.

[Василий Банников]

Мелан Альботов, ну тогда попробуй запретить в фаерволе 443 порт

Answer 2

[rPman]

в очень небольшом количестве случаев можно попробовать найти место в коде (или константы-строки) испольуземые программой и заменить там адрес https на http но вероятность успеха мала.

способа заставить принудительно все программы не использовать https нет, но можно попытаться импортировать свой сертификат, подменить dns ответ сервера на свой https сервер с самоподписанным сертификатом и, поставив прокси, расшифровывать сообщения на лету

первый же пример приложения fidler

p.s. кстати ничто не мешает приложению используя шифрование общаться со своим сервером по своему протоколу, не используя https, в этом случае подмена сертификата точно не поможет, и снова придется реверсинженерить приложение

Answer 3

[res2001]

Отключить TLS в винде можно настройками реестра. В свое время, когда нашли уязвимость в SSL3.0, все ринулись переходить на TLS с помощью запрета SSL. Аналогично можно запретить и TLS.
Вот статья с того времени, там найдете указание где это отключается в реестре: https://www.atraining.ru/beast-move-from-ssl-to-tls/
Описание самих ключей реестра ищите у микрософта.

Но это влияет на софт, который использует механизмы ОС для шифрования трафика. Например это работало для RDP или для Internet Explorer.
Если приложение использует например openssl для шифрования, то этот вариант не будет работать. Тут надо искать какой-то вариант запрета через openssl. Есть и другие библиотеки, реализующие шифрование.