Hướng Dẫn Cập Nhật TLS1.2 - Bluebit

Hiện tại, các trình duyệt đã đưa ra lộ trình ngừng hỗ trợ các giao thức không còn đảm bảo an toàn, trong đó có TLS1.0 và TLS1.1. Những server không hỗ trợ TLS 1.2 sẽ hiển thị cảnh báo lỗi. Do đó, để đảm bảo các kết nối có thể thông suốt, bạn cần bật TLS1.2 trên các webserver. Việc tắt TLS1.1 và TLS1.0 trên server sẽ đảm bảo tốt hơn cho bảo mật của bạn, do đó, chúng tôi cũng đề nghị khách hàng nên tắt các giao thức này đi trong thời gian tới.

1. IIS Bước 1: Enable TLS1.2 (chỉ thực hiện trên Windows server 2008, các phiên bản 2012 trở lên đã có sẵn TLS1.2) Mở Start > Run > Gõ Regedit > Enter Mở đến đường dẫn sau: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols Click chuột phải vào thư mục Protocols chọn New > Key, đổi tên thư mục vừa tạo được thành TLS 1.2 Click chuột phải vào thư mục TLS 1.2 và tạo thêm 2 key sau: o Client o Server Click chuột phải vào thư mục Client, chọn New > DWORD (32-bits) Value, sau đó đổi tên DWORD đó thành DisabledByDefault Click chuột phải vào DisabledByDefault và chọn Modify… và điền Value là 0, chọn Base là Hexadecimal, sau đó bấm OK Tương tự, tạo một DWORD khác với tên là Enabled và set Value là 1. Tương tự với thư mục Server, tạo hai DWORD là DisabledByDefault có Value là 0 và Enabled có Value là 1. Reboot server

Bước 2: Disable TLS1.0 và TLS 1.1 (Không bắt buộc thực hiện) Tương tự TLS1.2, kiểm tra trong đường dẫn HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols Của Regedit với 2 thư mục TLS 1.0 và TLS 1.1, nếu chưa có thì có thể tạo thêm như TLS 1.2 Mở 2 thư mục Client và Server của các thư mục TLS1.0 và TLS1.1, kiểm tra xem đã có các DWORD DisabledByDefault và Enabled hay chưa, nếu chưa có thì tạo mới và đặt Value của chúng như sau: o DisabledByDefault có Value là 1 o Enabled có Value là 0 Reboot server

2. Nginx Tìm đến file cấu hình nginx, thường là nginx.conf và sửa đoạn cấu hình tương tự như sau: server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name; root /usr/share/nginx/html; ssl_certificate “/etc/ssl/certs/nginx.crt”; ssl_certificate_key “/etc/pki/nginx/nginx.key”; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_ciphers HIGH:!aNULL:!MD5; ssl_protocols TLSv1.2; ssl_prefer_server_ciphers on; … }

3. Apache Tìm đến file cấu hình của Apache, thường là httpd-ssl.conf hoặc httpd-vhosts.conf và sửa đoạn cấu hình tương tự như sau:

<VirtualHost *:443>

DocumentRoot /var/www/html2 ServerName yourdomain.com SSLEngine on SSLCertificateFile /path/to/your_domain_name.crt SSLCertificateKeyFile /path/to/your_private.key SSLCertificateChainFile /path/to/bundle.crt SSLProtocol TLSv1.2

</VirtualHost>

4. Tomcat/ jBoss Đối với jBoss 4.x/5.x:

<Connector port=”443″ address=”${jboss.bind.address}” maxThreads=”100″ strategy=”ms” maxHttpHeaderSize=”8192″ emptySessionPath=”true” scheme=”https” secure=”true” clientAuth=”false” keystoreFile=”${jboss.server.home.dir}/conf/keystore” keystorePass=”password” sslProtocol=”TLS” protocols=”TLSv1.2″ />

Đối với Tomcat 7.x:

<Connector port=”8443″ protocol=”org.apache.coyote.http11.Http11Protocol” maxThreads=”150″ SSLEnabled=”true” scheme=”https” secure=”true” keystoreFile=”ssl/.keystore” keystorePass=”changeit” clientAuth=”false” sslProtocol=”SSL” sslEnabledProtocols=”TLSv1.2″ />