Kích hoạt TLS 1.2 khắc phục lỗi SSL bảo mật lỗi thời

Hiện nay, hàng loạt website sử dụng HTTPS đã gặp các rắc rối liên quan đến việc các nhà cung cấp dịch vụ Internet lớn trên thế giới nâng cấp chuẩn bảo mật mới của SSL là giao thức TLS lên v1.2.

Ngay từ đầu năm 2020, các nhà cung cấp chứng chỉ SSL miễn phí hàng đầu là Let's Encrypt đã khuyến cáo về việc sẽ ngừng hỗ trợ giao thức TLS 1.0 và 1.1. Đến tháng 6/2020, Let's Encrypt dừng tự động gia hạn đối với tất cả chứng chỉ sử dụng giao thức cũ. Các trình duyệt như Chrome, FireFox,Edge,... cũng đánh dấu các website này là dùng bảo mật lỗi thời, thay vì website an toàn như thông thường, nhưng việc thay đổi chỉ ở ký hiệu nhỏ bên cạnh URL thường không làm người dùng chú ý. Tuy vậy, đến cuối tháng 7, trên các trình duyệt phổ biến, các website này đều nhận thông báo bảo mật lỗi thời ngay màn hình, tương tự như khi chứng chỉ SSL hết hạn hoặc bị vô hiệu hóa. Ngay cả khi các bạn cập nhật lại chứng chỉ mới lỗi này vẫn không được giải quyết. Điều này làm nhiều người dùng hoang mang, và suy giảm nghiêm trọng lượng truy cập. 

123bg.png

Thông báo dành cho website chưa nâng cấp chứng chỉ mới trên Chrome

Đối với người dùng Window Server, Microsoft đã liên tục khuyến khích người dùng nâng cấp các phiên bản mới lên chuẩn bảo mật TLS 1.2 thay các phiên bản cũ hơn là TLS 1.1 và 1.0 cho các website sử dụng HTTPS. Việc chuyển đổi được tiến hành tự động thông qua các bản nâng cấp đối với các phiên bản Window Server 2012, tuy vậy, các phiên bản cũ hơn cần phải chuyển đổi thủ công. 

Trong bài viết này, RNET sẽ hướng dẫn các bạn phương pháp cập nhật và kích hoạt giao thức TLS 1.2 trên Window Server 2008 R2 Sp1 (IIS 7). Các phiên bản mới hơn cũng có thể sử dụng cách này trong trường hợp các bạn chưa muốn nâng cấp Window Server mới. Các phiên bản Window Server 2003 (IIS 6) trở xuống không thể bật TLS 1.2 do không được hỗ trợ.

Đầu tiên các bạn cần chắc chắn rằng Window của bạn có hỗ trợ TLS 1.1 và 1.2 và có gói SP1, để chắc ăn bạn có thể tải gói cập nhật độc lập theo link dưới. Chú ý, tải đúng phiên bản Window bạn đang dùng, nếu có dùng gói ngôn ngữ, cần cài trước khi cài bản cập nhật này. 

Gói SP 1 cho Window Server 2008: Link tải

Gói hỗ trợ cập nhật TLS 1.1 và 1.2: Link tải

Sau khi cài các bản cập nhật bạn restart lại máy trước khi thực hiện các bước phía dưới:

  1. Bắt đầu trình chỉnh sửa registry bằng cách nhấp vào Start và Run. Nhập "regedit" vào trường Run.
  2. Chọn Computer ở đầu cây registry. (Nên sao lưu registry trước bằng cách nhấp vào File và sau đó vào Export. Chọn một vị trí tệp để lưu registry).
  3. Duyệt đến khóa registry sau:
    HKEY_LOCAL_MACHINE \ HỆ THỐNG \ CurrentControlset \ Control \ SecurityProviders \ SCHANNEL \ Protocols
  4. Nhấp chuột phải vào thư mục Protocols và chọn New rồi chọn Key từ menu thả xuống. Điều này sẽ tạo thư mục mới. Đổi tên thư mục này thành TLS 1.2 .
  5. Nhấp chuột phải vào key TLS 1.2 và thêm hai key mới bên dưới nó.
  6. Đổi tên hai khóa mới thành:
    1. Client
    2. Server
  7. Nhấp chuột phải vào key Client và chọn new và sau đó DWORD (32-bit) Value từ danh sách.
  8. Đổi tên DWORD thành DisabledByDefault .
  9. Nhấp chuột phải vào tên DisabledByDefault và chọn Modify... từ menu thả xuống.
  10. Đảm bảo rằng trường dữ liệu Value được đặt thành 0 và Base là Hexadecimal. Bấm OK .
  11. Tạo một DWORD khác cho khóa Client như bạn đã làm trong Bước 7.
  12. Đổi tên DWORD thứ hai này thành Enabled.
  13. Nhấp chuột phải vào tên  Enabled và chọn Modify... từ menu thả xuống.
  14. Đảm bảo rằng trường dữ liệu Value được đặt thành 1 và Base là Hexadecimal. Bấm OK .
  15. Lặp lại các bước  7 để  14 cho Server
  16. Khởi động lại máy chủ.

56b.png

 

 Cây thư mục Registry sau khi thêm 2 key kích hoạt

Như vậy, các bạn đã hoàn thành cập nhật và kích hoạt mặc định giao thức TLS 1.2. Trong trường hợp phát sinh lỗi bạn có thể Import lại bản sao lưu đã có lúc đầu.

Phương pháp này mình đã thực hiện trên nhiều server sử dụng Window Server và sửa thành công lỗi Bảo mật lỗi thời trên các trình duyệt phổ biến. Hiện lỗi này khá mới chưa lan đến một số trình duyệt như Cốc Cốc, Brave, Yandex,... Tuy vậy, các bạn cũng nên nhanh chóng cập nhật phiên bản bảo mật mới vì trước sau gì các trình duyệt cũng sẽ bỏ hỗ trợ đối với giao thức cũ này, do nó đã được phát hiện là có lỗi bảo mật nghiêm trọng.

Trong trường hợp có thắc mắc, các bạn có thể liên hệ theo thông tin phía dưới để được hỗ trợ:

Mr Sơn

Điện thoại: 0945378855

Email: son@rnet.com.vn

Chúc các bạn thành công

TIN CŨ HƠN