Hãy nâng cấp trình duyệt của bạn nếu như muốn tiếp tục truy cập các website thương mại

Với quy định từ PCI DSS mới áp dụng, một số phiên bản trình duyệt cũ hơn có thể không thực hiện được các kết nối an toàn.

Tại Việt Nam có khá nhiều người thường sử dụng các trình duyệt cũ và không cập nhật lên các phiên bản mới, điều này dẫn đến việc mất an toàn khi truy cập. Nhưng bây giờ sẽ là thời gian để cập nhật hoặc nâng cấp. Hạn chót của quy định về Thẻ thanh toán (PCI) quan trọng được đưa ra vào ngày 30 tháng 6 yêu cầu tất cả các trang web chấp nhận thẻ thanh toán (thẻ tín dụng và thẻ ghi nợ) để ngừng hỗ trợ TLS 1.0.

Điều đó có nghĩa là trình duyệt của bạn cần hỗ trợ TLS 1.1 hoặc cao hơn để tiếp tục tạo kết nối an toàn với các trang web này. Và không có kết nối an toàn, bạn sẽ không thể truy cập và thanh toán.

Và thậm chí khi Hội đồng tiêu chuẩn bảo mật PCI không bắt buộc nó, thì đa phần các trang web cũng không dùng TLS 1.1. Cả TLS 1.0 và TLS 1.1 đều có các lỗ hổng đã biết. Vì vậy, lựa chọn thông minh sẽ là cập nhật hoặc chuyển sang trình duyệt hỗ trợ TLS 1.2.

Các lỗ hổng với TLS 1.0 và TLS 1.1 là gì?

 

Có hai lỗ hổng khá nổi tiếng tận dụng các phiên bản TLS cũ hơn và các phiên bản SSL lỗi thời (3.0 và 2.0). Cái đầu tiên được gọi là Padding Oracle trên Downgraded Legacy Encryption hoặc POODLE. Cuộc tấn công đầu tiên là một hình thức của Man in the Middle, nơi những kẻ tấn công có thể tận dụng lợi thế của việc dự phòng khách hàng đối với các phiên bản SSL hoặc TLS cũ hơn. Lỗ hổng ban đầu đã được phát hiện là ảnh hưởng đến SSL 3.0, và TLS cũng đã bị tấn công ngay sau đó.

Một lỗ hổng khác, Browser Exploit Against SSL/TLS hoặc BEAST. Cuộc tấn công BEAST phức tạp hơn một chút và đòi hỏi một số điều kiện được đáp ứng trước khi nó có thể thực hiện được, nhưng nó cung cấp một cách để trích xuất các bản rõ không được mã hóa từ một kết nối được mã hóa. TLS 1.0 sẽ dễ bị tổn thương, nhưng vấn đề đã được giải quyết trong TLS 1.1.

Đây là cách mà SSC PCI đặt nó :

Theo NIST, không có bản sửa lỗi hoặc bản vá nào có thể sửa chữa đầy đủ SSL hoặc TLS sớm. Do đó, điều quan trọng là các tổ chức nâng cấp lên một giải pháp thay thế an toàn càng sớm càng tốt và vô hiệu hóa bất kỳ dự phòng nào đối với cả SSL và TLS ban đầu.

Một lần nữa, mặc dù PCI DSS không ủy thác nó, nhưng mọi gợi ý là vô hiệu hóa TLS 1.1.

TLS 1.2 có được hỗ trợ rộng rãi không?

 

Trong số các thiết bị và trình duyệt hiện đại? Tất cả đều hỗ trợ. Trên các thiết bị và hệ thống cũ hơn? Không phải tất cả. Và thẳng thắn, đây là một vấn đề có một vài quan điểm cạnh tranh. Một mặt, bạn có sự đầu tư kinh doanh có chi phí cao hơn, chỉ ra chi phí mà nhiều doanh nghiệp phải gánh chịu trong việc nâng cấp tất cả các hệ thống và công nghệ của họ.

Triển khai SSL / TLS giống như bất kỳ sản phẩm bảo mật mạng nào khác, bạn phải liên tục cập nhật chúng hoặc bạn sẽ dễ bị khai thác được biết đến. Equifax đã lúng túng, lao đao bởi vì nó đã không vá lỗi và cập nhật hệ thống của nó một cách thường xuyên. Tại sao bảo mật kết nối của bạn không được giữ cho cùng một tiêu chuẩn?

 

Giao thức Được phát hành
SSL 1.0 Chưa được xuất bản
SSL 2.0 1995
SSL 3.0 1996
TLS 1.0 1999
TLS 1.1 2006
TLS 1.2 2008
TLS 1.3 2018

Nếu bạn lướt qua TLS 1.2, bạn sẽ thấy nó được xuất bản vào năm 2008. Một thập kỷ. Vì vậy mà bạn tốt nhất không nên sử dụng trình duyệt nào không thể cập nhật bảo mật trong tận 10 năm cả.

Làm cách nào để biết liệu tôi có cần nâng cấp trình duyệt của mình không?

Nếu bạn đang chạy phiên bản mới nhất của bất kỳ trình duyệt uy tín nào, bạn sẽ ổn. Nhưng vẫn còn một số bước bạn có thể thực hiện để loại bỏ hỗ trợ cho các phiên bản SSL / TLS cũ hơn ở phía máy khách. Bên dưới, đối với mỗi trình duyệt chính, bạn sẽ tìm thấy bảng hiển thị hỗ trợ phiên bản TLS trong lịch sử cập nhật cũng như cách tắt hỗ trợ cho các phiên bản cũ hơn trong cài đặt của bạn.

Hỗ trợ phiên bản TLS của Google Chrome

Trình duyệt Phiên bản Nền tảng Giao thức TLS
TLS 1.0 TLS 1.1 TLS 1.2
Google Chrome
(Chrome dành cho Android)
1–9 Windows (XP SP2 +)
OS X (10.7+)
Linux
Android (4.0+)
iOS (7.0+)
Chrome OS
Yes No No
10–20 Yes No No
21 Yes No No
22–25 Yes Yes No
26–29 Yes Yes No
30–32 Yes Yes Yes
33–37 Yes Yes Yes
38–39 Yes Yes Yes
40 Yes Yes Yes
41, 42 Yes Yes Yes
43 Yes Yes Yes
44 Yes Yes Yes

Dưới đây là cách bật hoặc tắt các phiên bản SSL / TLS cũ hơn trên Google Chrome.

  1. Nhấp vào biểu tượng 3 dấu chấm ở góc trên cùng bên phải của màn hình
  2. Chọn cài đặt
  3. Cuộn xuống dưới cùng và nhấp vào “Hiển thị cài đặt nâng cao”
  4. Cuộn xuống “Hệ thống”, nhấp vào “Mở cài đặt proxy”
  5. Nhấp vào tab Nâng cao ở bên phải
  6. Cuộn xuống dưới cùng và bạn sẽ thấy tùy chọn sử dụng hoặc tắt các phiên bản TLS
  7. Đảm bảo tắt SSL 3.0 và TLS 1.0, chúng tôi cũng khuyên bạn nên tắt TLS 1.1
  8. Nhấp vào OK
  9. Khởi động lại trình duyệt của bạn

Hỗ trợ phiên bản Mozilla Firefox TLS

Trình duyệt Phiên bản Nền tảng TLS 1.0 TLS 1.1 TLS 1.2
Mozilla Firefox
(Firefox dành cho điện thoại di động)
1,0 Windows (XP SP2 +)
OS X (10.6+)
Linux
Android (2.3+)
Hệ điều hành Firefox
iOS (alpha)
MaemoESR chỉ dành cho:
Windows (XP SP2 +)
OS X (10.6+)
Linux
Yes No No
1,5 Yes No No
2 Yes No No
3–7 Yes No No
8–10
ESR 10
Yes No No
11–14 Yes No No
15–22 Yes No No
ESR 17 Yes No No
23 Yes Đã tắt theo mặc định No
24, 25.0.0 Yes Đã tắt theo mặc định Đã tắt theo mặc định
25.0.1, 26
ESR 24
Yes Đã tắt theo mặc định Đã tắt theo mặc định
27–33
ESR 31.0–31.2
Yes Yes Yes
ESR 31,3–31,6 Yes Yes Yes
34, 35 ESR 31,7
ESR 31,8 Yes Yes Yes
36, 37 38
ESR 38,0
Yes Yes Yes
ESR 38,1 Yes Yes Yes
39 Yes Yes Yes

Dưới đây là cách bật hoặc tắt các phiên bản SSL / TLS cũ hơn trên Mozilla Firefox:

  1. Nhập about: Config vào thanh địa chỉ
  2. Nhấp qua cảnh báo về bảo hành của bạn – điều này sẽ không làm mất hiệu lực
  3. Chọn “security.tls.version.min” và nhấp đúp vào nó
  4. Thay đổi số nguyên trong trường thành 2 để vô hiệu hóa hỗ trợ cho tất cả các phiên bản cũ hơn lên tới TLS 1.2

Hỗ trợ phiên bản Microsoft Internet Explorer và Edge TLS

Trình duyệt Phiên bản Nền tảng TLS 1.0 TLS 1.1 TLS 1.2
Microsoft Internet Explorer 1.x Windows 3.1,95, NT
Mac OS 7, 8
2 No No No
3 No No No
4, 5 Windows 3.1,95, 98, NT
Mac OS 7.1,8, X,
Solaris, HP-UX
Đã tắt theo mặc định No No
6 Windows 98, ME, NT, 2000
6 Windows XP Đã tắt theo mặc định No No
6 Server 2003 Đã tắt theo mặc định No No
7, 8 Windows XP Yes No No
7, 8 Server 2003 Yes No No
7, 8 9 Windows Vista Yes No No
Server 2008
8, 9, 10 Windows 7 Yes Đã tắt theo mặc định Đã tắt theo mặc định
Server 2008 R2
10 Windows 8 Yes Đã tắt theo mặc định Đã tắt theo mặc định
10 Máy chủ 2012
11 Windows 7 Yes Yes Yes
Server 2008 R2
11 Windows 8.1 Yes Yes Yes
Server 2012 R2
Microsoft Edge Cạnh
(bao gồm IE11 làm dự phòng)
Windows 10
(máy tính để bàn / thiết bị di động)
Yes Yes Yes
Microsoft Internet Explorer Mobile 7, 9 Windows Phone 7, 7.5, 7.8 Yes No No
10 Windows Phone 8 Yes Đã tắt theo mặc định Đã tắt theo mặc định
11 Windows Phone 8.1 Yes Yes Yes

Dưới đây là cách bật hoặc tắt các phiên bản SSL / TLS cũ hơn trên Microsoft Edge và Internet Explorer:

  1. Trong thanh trình đơn, nhấp vào “Công cụ”
  2. Chọn “Tùy chọn Internet” và nhấp vào tab Nâng cao
  3. Cuộn xuống phần Bảo mật
  4. Chuyển đổi các hộp của phiên bản bạn muốn hỗ trợ, đảm bảo tắt tất cả các phiên bản SSL cũ và TLS 1.0. Chúng tôi khuyên bạn không nên sử dụng TLS 1.1 nữa.

Hỗ trợ phiên bản Apple Safari TLS

Trình duyệt Phiên bản Nền tảng TLS 1.0 TLS 1.1 TLS 1.2
Apple Safari 1 Mac OS X10.2, 10.3 Yes No No
2–5 Mac OS X10.4, 10.5, Giành chiến thắng XP Yes No No
3–5 Vista, Win 7 Yes No No
4–6 Mac OS X10.6, 10.7 Yes No No
6 OS X 10.8 Yes No No
7 OS X 10.9 Yes Yes Yes
số 8 OS X 10.10 Yes Yes Yes
9 OS X 10.11 Yes Yes Yes
Apple Safari
(di động)
3 Hệ điều hành iPhone 1, 2 Yes No No
4, 5 iPhone OS 3 , iOS 4 Yes No No
5, 6 iOS 5, 6 Yes Yes Yes
7 IOS 7 Yes Yes Yes
số 8 iOS 8 Yes Yes Yes
9 iOS 9 Yes Yes Yes

Apple Safari không cung cấp các tùy chọn để định cấu hình hỗ trợ phiên bản SSL / TLS, bạn phải thực hiện những gì Apple cung cấp cho bạn.

Suy nghĩ cuối cùng

Một phần của sự đổ lỗi cho việc triển khai chậm TLS 1.2 là dành cho sự phát triển của nền công nghiệp. Chúng ta cần làm một công việc tốt hơn để giáo dục mọi người về an ninh kết nối và tại sao nó xứng đáng với cùng một mức độ xem xét như bất kỳ triển khai bảo mật nào khác. Cung cấp dịch vụ tốt nhất có thể không dừng lại khi cấp chứng chỉ. Nó cần phải toàn diện hơn. TLS 1.3 đã sẵn sàng hoạt động.

 

bình luận

Leave a Comment