Cách cập nhật và kích hoạt TLS 1.2 trên Windows Server

Mục lục [ Hiện ]

Trong thời gian gần đây, nhiều website sử dụng HTTPS đã gặp phải sự cố khi các nhà cung cấp dịch vụ Internet lớn nâng cấp tiêu chuẩn bảo mật lên TLS 1.2. Điều này khiến nhiều trang web vẫn sử dụng TLS 1.0 và 1.1 bị trình duyệt cảnh báo là “Bảo mật lỗi thời”, gây ảnh hưởng nghiêm trọng đến trải nghiệm người dùng cũng như lượng truy cập.

Ngay từ đầu năm 2020, Let's Encrypt – một trong những nhà cung cấp chứng chỉ SSL miễn phí hàng đầu – đã thông báo ngừng hỗ trợ TLS 1.0 và 1.1. Đến tháng 6/2020, việc tự động gia hạn cho các chứng chỉ sử dụng giao thức cũ này cũng bị chặn hoàn toàn.

Cách cập nhật và kích hoạt TLS 1.2 trên Windows Server

Các trình duyệt phổ biến như Chrome, Firefox, Edge,... bắt đầu đánh dấu các website sử dụng giao thức lỗi thời bằng biểu tượng cảnh báo nhỏ bên cạnh thanh địa chỉ.

Đến cuối tháng 7/2020, thông báo lỗi xuất hiện trực tiếp trên màn hình, giống như khi chứng chỉ SSL hết hạn. Ngay cả khi chủ sở hữu trang web gia hạn chứng chỉ mới, lỗi này vẫn không được khắc phục nếu server chưa hỗ trợ TLS 1.2.

Nâng cấp TLS 1.2 trên Windows Server

Microsoft đã liên tục khuyến nghị người dùng Windows Server chuyển đổi sang TLS 1.2 để đảm bảo khả năng bảo mật cho các website HTTPS. Trên các phiên bản Windows Server 2012 trở lên, việc cập nhật được thực hiện tự động thông qua các bản nâng cấp hệ thống.

Tuy nhiên, với Windows Server 2008 R2 SP1 (IIS 7), người dùng cần tự kích hoạt TLS 1.2 theo cách thủ công. Các phiên bản Windows Server cũ hơn như 2003 (IIS 6) không thể hỗ trợ TLS 1.2 do không có bản cập nhật tương thích.

Dưới đây là hướng dẫn chi tiết giúp bạn cập nhật và kích hoạt TLS 1.2 trên Windows Server 2008 R2 SP1.

Bước 1: Kiểm tra và cài đặt bản cập nhật cần thiết

Trước tiên, bạn cần đảm bảo rằng hệ điều hành đã được cập nhật đầy đủ để hỗ trợ TLS 1.2. Nếu chưa chắc chắn, bạn có thể tải về các gói cập nhật sau:

  • Gói Service Pack 1 (SP1) cho Windows Server 2008 R2 – Link tải
  • Gói cập nhật hỗ trợ TLS 1.1 và 1.2 – Link tải

Sau khi cài đặt các bản cập nhật trên, hãy khởi động lại hệ thống trước khi thực hiện các bước tiếp theo.

Bước 2: Kích hoạt TLS 1.2 bằng Registry Editor

1. Mở hộp thoại Run bằng cách nhấn Windows + R, sau đó nhập regedit và nhấn Enter để mở Registry Editor.

2. Tại cửa sổ Registry Editor, chọn Computer ở phần cây thư mục bên trái. (Lưu ý: Bạn nên sao lưu registry trước khi chỉnh sửa bằng cách vào File → Export, sau đó lưu lại bản sao dự phòng).

3. Điều hướng đến đường dẫn sau:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

4. Nhấp chuột phải vào thư mục Protocols, chọn New → Key, sau đó đặt tên là TLS 1.2.

5. Nhấp chuột phải vào TLS 1.2, tiếp tục tạo hai thư mục con với tên:

  • Client
  • Server

6. Trong thư mục Client, nhấp chuột phải chọn New → DWORD (32-bit) Value, đặt tên là DisabledByDefault.

7. Nhấp chuột phải vào DisabledByDefault, chọn Modify, đặt Value data = 0, chọn Base = Hexadecimal, sau đó nhấn OK.

8. Tạo một DWORD khác trong Client, đặt tên là Enabled, sau đó sửa Value data = 1, chọn Hexadecimal, rồi nhấn OK.

9. Lặp lại các bước 6 – 8 cho thư mục Server.

10. Đóng Registry Editor và khởi động lại hệ thống để áp dụng thay đổi.

Kích hoạt TLS 1.2 bằng Registry Editor

Bước 3: Kiểm tra và xác nhận TLS 1.2 đã được kích hoạt

Sau khi hoàn thành các bước trên, bạn có thể kiểm tra xem TLS 1.2 đã được kích hoạt thành công hay chưa bằng cách:

  • Mở Internet Explorer, nhập about:config vào thanh địa chỉ, sau đó tìm đến phần Security để kiểm tra danh sách giao thức hỗ trợ.
  • Sử dụng các công cụ kiểm tra SSL online như SSL Labs SSL Test để xác nhận website đã hoạt động với TLS 1.2.

Tại sao cần nâng cấp lên TLS 1.2 ngay bây giờ?

Hiện tại, một số trình duyệt như Cốc Cốc, Brave hay Yandex vẫn chưa hiển thị cảnh báo bảo mật lỗi thời với TLS 1.0 và 1.1. Tuy nhiên, sớm hay muộn, các trình duyệt này cũng sẽ ngừng hỗ trợ giao thức cũ như cách mà Chrome, Firefox hay Edge đã làm.

Nếu không cập nhật kịp thời, website của bạn có thể gặp tình trạng giảm đáng kể lượng truy cập do người dùng bị chặn khi truy cập trang.

Việc cập nhật TLS 1.2 không chỉ giúp website duy trì tính tương thích với các trình duyệt hiện đại mà còn đảm bảo an toàn dữ liệu, tránh rủi ro bảo mật do các giao thức cũ đã bị khai thác lỗ hổng.

Kết luận

Việc kích hoạt TLS 1.2 trên Windows Server 2008 R2 SP1 là một bước quan trọng để đảm bảo website duy trì mức bảo mật cao nhất và tránh tình trạng bị trình duyệt cảnh báo lỗi thời.

Dù quá trình này yêu cầu thực hiện thủ công, nhưng chỉ cần làm theo đúng các bước hướng dẫn, bạn hoàn toàn có thể cập nhật thành công mà không cần nâng cấp lên phiên bản Windows Server mới hơn.

Hãy thực hiện ngay bây giờ để tránh các rủi ro không đáng có và bảo vệ website của bạn khỏi các vấn đề bảo mật liên quan đến các giao thức cũ!