Tóm tắt
Transport Layer Security (TLS) 1.0 và 1.1 là các giao thức bảo mật để tạo các kênh mã hóa qua mạng máy tính. Microsoft đã hỗ trợ chúng từ Windows XP và Windows Server 2003. Tuy nhiên, các yêu cầu quy định đang thay đổi. Ngoài ra, có các điểm yếu bảo mật mới trong TLS 1.0. Vì vậy, Microsoft khuyên bạn nên loại bỏ phụ thuộc TLS 1.0 và 1.1. Chúng tôi cũng khuyên bạn nên tắt TLS 1.0 và 1.1 ở cấp độ hệ điều hành nếu có thể. Để biết thêm chi tiết, hãy xem tắt TLS 1.0 và 1.1. Trong bản cập nhật xem trước 20/09/2022, chúng tôi sẽ vô hiệu hóa TLS 1.0 và 1.1 theo mặc định cho các ứng dụng dựa trên winhttp và wininet. Đây là một phần của nỗ lực liên tục. Bài viết này sẽ giúp bạn bật lại chúng. Những thay đổi này sẽ được phản ánh sau khi cài đặt các bản cập nhật Windows được phát hành vào hoặc sau ngày 20 tháng 9 năm 2022.
Hành vi khi truy nhập liên kết TLS 1.0 và 1.1 trong trình duyệt
Sau ngày 20 tháng 9 năm 2022, một thông báo sẽ xuất hiện khi trình duyệt của bạn mở một trang web sử dụng TLS 1.0 hoặc 1.1. Xem Hình 1. Thông báo cho biết rằng trang web sử dụng giao thức TLS lỗi thời hoặc không an toàn. Để giải quyết vấn đề này, bạn có thể cập nhật giao thức TLS lên TLS 1.2 trở lên. Nếu điều này là không thể, bạn có thể bật TLS như được thảo luận trong Cho phép TLS phiên bản 1.1 và dưới đây.
Hình 1: Cửa sổ trình duyệt khi truy cập trang web TLS 1.0 và 1.1
Hành vi khi truy nhập liên kết TLS 1.0 và 1.1 trong các ứng dụng winhttp
Sau khi cập nhật, các ứng dụng dựa trên winhttp có thể không thành công. Thông báo lỗi là"ERROR_WINHTTP_SECURE_FAILURE đang thực hiện thao tác WinHttpSendRequest".
Hành vi khi truy nhập liên kết TLS 1.0 và 1.1 trong các ứng dụng UI tùy chỉnh dựa trên winhttp hoặc wininet
Khi một ứng dụng tìm cách tạo kết nối bằng TLS 1.1 và dưới đây, kết nối có thể không thành công. Khi bạn đóng một ứng dụng hoặc ứng dụng đó ngừng hoạt động, hộp thoại Hỗ trợ Tương thích Chương trình (PCA) sẽ xuất hiện như minh họa trong Hình 2.
Hình 2: Hộp thoại Trợ lý Tương thích Chương trình sau khi đóng một ứng dụng
Hộp thoại PCA thông báo, "Chương trình này có thể không chạy đúng cách". Dưới đó, có hai tùy chọn:
-
Chạy chương trình bằng cách sử dụng thiết đặt tương thích
-
Chương trình này chạy đúng cách
Chạy chương trình bằng cách sử dụng thiết đặt tương thích
Khi bạn chọn tùy chọn này, ứng dụng sẽ mở lại. Bây giờ, tất cả các liên kết sử dụng TLS 1.0 và 1.1 đều hoạt động chính xác. Từ đó về sau, sẽ không có hộp thoại PCA nào xuất hiện. Trình soạn thảo Sổ đăng ký thêm mục nhập vào đường dẫn sau đây:
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store.
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers.
Nếu bạn chọn nhầm tùy chọn này, bạn có thể xóa các mục nhập này. Nếu xóa chúng, bạn sẽ thấy hộp thoại PCA vào lần tiếp theo bạn mở ứng dụng.
Hình 3: Danh sách các chương trình sẽ chạy bằng thiết đặt tương thích
Chương trình này chạy đúng cách
Khi bạn chọn tùy chọn này, ứng dụng sẽ đóng bình thường. Lần sau khi bạn mở lại ứng dụng, không có hộp thoại PCA nào xuất hiện. Hệ thống chặn tất cả nội dung TLS 1.0 và 1.1. Trình soạn thảo Sổ đăng ký thêm mục nhập sau đây vào đường Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store. Xem Hình 4. Nếu bạn chọn nhầm tùy chọn này, bạn có thể xóa mục nhập này. Nếu xóa mục nhập, bạn sẽ thấy hộp thoại PCA vào lần tiếp theo bạn mở ứng dụng.
Hình 4: Mục nhập trong Trình soạn sổ đăng ký cho biết ứng dụng chạy đúng cách
Quan trọng Giao thức TLS thừa tự chỉ được kích hoạt cho các ứng dụng cụ thể. Điều này đúng ngay cả khi chúng bị vô hiệu hóa trong cài đặt trên toàn hệ thống.
Bật TLS phiên bản 1.1 và dưới đây (cài đặt wininet và Internet Explorer)
Chúng tôi khuyên bạn không nên bật TLS 1.1 và dưới đây vì chúng không còn được coi là an toàn. Họ dễ bị tấn công bởi nhiều cuộc tấn công khác nhau, chẳng hạn như tấn công POODLE. Vì vậy, trước khi bật TLS 1.1, hãy thực hiện một trong các thao tác sau:
-
Kiểm tra xem có phiên bản ứng dụng mới hơn không.
-
Yêu cầu nhà phát triển ứng dụng thực hiện thay đổi cấu hình trong ứng dụng để loại bỏ sự phụ thuộc vào TLS 1.1 trở xuống.
Trong trường hợp không có giải pháp nào hiệu quả thì có hai cách để bật giao thức TLS thừa tự trong cài đặt toàn hệ thống:
-
Tùy chọn Internet
-
Bộ soạn Chính sách Nhóm
Tùy chọn Internet
Để mở Tùy chọn Internet, nhập Tùy chọn Internet vào hộp tìm kiếm trên thanh tác vụ. Bạn cũng có thể chọn Thay đổi cài đặt từ hộp thoại hiển thị trong Hình 1. Trên tab Nâng cao , cuộn xuống trong pa-nen Cài đặt. Ở đó bạn có thể bật hoặc tắt giao thức TLS.
Hình 5: Hộp thoại Thuộc tính Internet
Trình chính sách nhóm thảo
Để mở Trình soạn chính sách nhóm, hãy nhập gpedit.msc vào hộp tìm kiếm trên thanh tác vụ. Một cửa sổ giống như cửa sổ hiển thị trong Hình 6 sẽ xuất hiện.
Hình 6: Cửa chính sách nhóm trình soạn thảo
-
Điều hướng đến Local Computer Policy > (Computer Configuration or User Configuration) > Administrative Templets > Windows Components > Internet Explorer > Internet Panel điều khiển > Advanced Page > Turn off encryption support. Xem Hình 7.
-
Bấm đúp tắt hỗ trợ mã hóa.
Hình 7: Đường dẫn để tắt hỗ trợ mã hóa trong Trình chính sách nhóm thảo
-
Chọn tùy chọn Đã bật . Sau đó, sử dụng danh sách thả xuống để chọn phiên bản TLS mà bạn muốn bật như minh họa trong Hình 8.
Hình 8: Bật Tắt hỗ trợ mã hóa và danh sách thả xuống
Khi bạn bật chính sách trong Trình soạn chính sách nhóm, bạn không thể thay đổi chính sách đó trong Tùy chọn Internet. Ví dụ: nếu bạn chọn Sử dụng SSL3.0 và TLS 1.0, tất cả các tùy chọn khác sẽ không sẵn dùng trong Tùy chọn Internet. Xem Hình 9. Bạn không thể thay đổi bất kỳ thiết đặt nào trong Tùy chọn Internet nếu bạn bật Tắt hỗ trợ mã hóa trong Trình soạn chính sách nhóm cụ thể.
Hình 9: Tùy chọn Internet hiển thị thiết đặt SSL và TLS không khả dụng
Bật TLS phiên bản 1.1 và dưới đây (cài đặt winhttp)
Hãy xem Cập nhật để bật TLS 1.1 và TLS 1.2 làm giao thức bảo mật mặc định trong WinHTTP trong Windows.
Đường dẫn đăng ký quan trọng (cài đặt wininet và Internet Explorer)
-
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
-
Ở đây bạn có thể tìm thấy SecureProtocols, nơi lưu trữ giá trị của các giao thức hiện đang được kích hoạt nếu bạn sử dụng Trình soạn chính sách nhóm viên.
-
-
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
-
Ở đây bạn có thể tìm thấy SecureProtocols, nơi lưu trữ giá trị của các giao thức hiện đang được kích hoạt nếu bạn sử dụng Tùy chọn Internet.
-
-
chính sách nhóm SecureProtocols sẽ được ưu tiên hơn bộ do Tùy chọn Internet đặt.
Cho phép dự phòng TLS không an toàn
Các sửa đổi ở trên sẽ bật TLS 1.0 và TLS 1.1. Tuy nhiên, họ sẽ không bật dự phòng TLS. Để bật dự phòng TLS, bạn phải đặt EnableInsecureTlsFallback thành 1 trong sổ đăng ký dưới đường dẫn bên dưới.
-
Để thay đổi cài đặt: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttps
-
Để đặt chính sách: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
Nếu EnableInsecureTlsFallback không hiện diện, thì bạn phải tạo một mục nhập DWORD mới và đặt thành 1.
Đường dẫn quan trọng của sổ đăng ký
-
ForceDefaultSecureProtocols
-
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp
-
Theo mặc định, đây là FALSE. Việc đặt giá trị khác không sẽ ngăn các ứng dụng đặt giao thức tùy chỉnh bằng tùy chọn winhttp.
-
-
EnableInsecureTlsFallback
-
Để thay đổi cài đặt: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttps
-
Để đặt chính sách: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
-
Theo mặc định, đây là FALSE. Việc đặt giá trị khác không sẽ cho phép các ứng dụng quay lại giao thức không an toàn (TLS1.0 và 1.1) nếu không bắt tay được với các giao thức an toàn (tls1.2 trở lên).
-