Tại Việt Nam có khá nhiều người thường sử dụng các trình duyệt cũ và không cập nhật lên các phiên bản mới, điều này dẫn đến việc mất an toàn khi truy cập. Nhưng bây giờ sẽ là thời gian để cập nhật hoặc nâng cấp. Hạn chót của quy định về Thẻ thanh toán (PCI) quan trọng được đưa ra vào ngày 30 tháng 6 yêu cầu tất cả các trang web chấp nhận thẻ thanh toán (thẻ tín dụng và thẻ ghi nợ) để ngừng hỗ trợ TLS 1.0.
Điều đó có nghĩa là trình duyệt của bạn cần hỗ trợ TLS 1.1 hoặc cao hơn để tiếp tục tạo kết nối an toàn với các trang web này. Và không có kết nối an toàn, bạn sẽ không thể truy cập và thanh toán.
Và thậm chí khi Hội đồng tiêu chuẩn bảo mật PCI không bắt buộc nó, thì đa phần các trang web cũng không dùng TLS 1.1. Cả TLS 1.0 và TLS 1.1 đều có các lỗ hổng đã biết. Vì vậy, lựa chọn thông minh sẽ là cập nhật hoặc chuyển sang trình duyệt hỗ trợ TLS 1.2.
Các lỗ hổng với TLS 1.0 và TLS 1.1 là gì?
Có hai lỗ hổng khá nổi tiếng tận dụng các phiên bản TLS cũ hơn và các phiên bản SSL lỗi thời (3.0 và 2.0). Cái đầu tiên được gọi là Padding Oracle trên Downgraded Legacy Encryption hoặc POODLE. Cuộc tấn công đầu tiên là một hình thức của Man in the Middle, nơi những kẻ tấn công có thể tận dụng lợi thế của việc dự phòng khách hàng đối với các phiên bản SSL hoặc TLS cũ hơn. Lỗ hổng ban đầu đã được phát hiện là ảnh hưởng đến SSL 3.0, và TLS cũng đã bị tấn công ngay sau đó.
Một lỗ hổng khác, Browser Exploit Against SSL/TLS hoặc BEAST. Cuộc tấn công BEAST phức tạp hơn một chút và đòi hỏi một số điều kiện được đáp ứng trước khi nó có thể thực hiện được, nhưng nó cung cấp một cách để trích xuất các bản rõ không được mã hóa từ một kết nối được mã hóa. TLS 1.0 sẽ dễ bị tổn thương, nhưng vấn đề đã được giải quyết trong TLS 1.1.
Đây là cách mà SSC PCI đặt nó :
Một lần nữa, mặc dù PCI DSS không ủy thác nó, nhưng mọi gợi ý là vô hiệu hóa TLS 1.1.
TLS 1.2 có được hỗ trợ rộng rãi không?
Trong số các thiết bị và trình duyệt hiện đại? Tất cả đều hỗ trợ. Trên các thiết bị và hệ thống cũ hơn? Không phải tất cả. Và thẳng thắn, đây là một vấn đề có một vài quan điểm cạnh tranh. Một mặt, bạn có sự đầu tư kinh doanh có chi phí cao hơn, chỉ ra chi phí mà nhiều doanh nghiệp phải gánh chịu trong việc nâng cấp tất cả các hệ thống và công nghệ của họ.
Triển khai SSL / TLS giống như bất kỳ sản phẩm bảo mật mạng nào khác, bạn phải liên tục cập nhật chúng hoặc bạn sẽ dễ bị khai thác được biết đến. Equifax đã lúng túng, lao đao bởi vì nó đã không vá lỗi và cập nhật hệ thống của nó một cách thường xuyên. Tại sao bảo mật kết nối của bạn không được giữ cho cùng một tiêu chuẩn?
Giao thức | Được phát hành |
---|---|
SSL 1.0 | Chưa được xuất bản |
SSL 2.0 | 1995 |
SSL 3.0 | 1996 |
TLS 1.0 | 1999 |
TLS 1.1 | 2006 |
TLS 1.2 | 2008 |
TLS 1.3 | 2018 |
Nếu bạn lướt qua TLS 1.2, bạn sẽ thấy nó được xuất bản vào năm 2008. Một thập kỷ. Vì vậy mà bạn tốt nhất không nên sử dụng trình duyệt nào không thể cập nhật bảo mật trong tận 10 năm cả.
Làm cách nào để biết liệu tôi có cần nâng cấp trình duyệt của mình không?
Nếu bạn đang chạy phiên bản mới nhất của bất kỳ trình duyệt uy tín nào, bạn sẽ ổn. Nhưng vẫn còn một số bước bạn có thể thực hiện để loại bỏ hỗ trợ cho các phiên bản SSL / TLS cũ hơn ở phía máy khách. Bên dưới, đối với mỗi trình duyệt chính, bạn sẽ tìm thấy bảng hiển thị hỗ trợ phiên bản TLS trong lịch sử cập nhật cũng như cách tắt hỗ trợ cho các phiên bản cũ hơn trong cài đặt của bạn.
Hỗ trợ phiên bản TLS của Google Chrome
Trình duyệt | Phiên bản | Nền tảng | Giao thức TLS | ||
TLS 1.0 | TLS 1.1 | TLS 1.2 | |||
Google Chrome (Chrome dành cho Android) | 1–9 | Windows (XP SP2 +) OS X (10.7+) Linux Android (4.0+) iOS (7.0+) Chrome OS | Yes | No | No |
10–20 | Yes | No | No | ||
21 | Yes | No | No | ||
22–25 | Yes | Yes | No | ||
26–29 | Yes | Yes | No | ||
30–32 | Yes | Yes | Yes | ||
33–37 | Yes | Yes | Yes | ||
38–39 | Yes | Yes | Yes | ||
40 | Yes | Yes | Yes | ||
41, 42 | Yes | Yes | Yes | ||
43 | Yes | Yes | Yes | ||
44 | Yes | Yes | Yes |
Dưới đây là cách bật hoặc tắt các phiên bản SSL / TLS cũ hơn trên Google Chrome.
- Nhấp vào biểu tượng 3 dấu chấm ở góc trên cùng bên phải của màn hình
- Chọn cài đặt
- Cuộn xuống dưới cùng và nhấp vào “Hiển thị cài đặt nâng cao”
- Cuộn xuống “Hệ thống”, nhấp vào “Mở cài đặt proxy”
- Nhấp vào tab Nâng cao ở bên phải
- Cuộn xuống dưới cùng và bạn sẽ thấy tùy chọn sử dụng hoặc tắt các phiên bản TLS
- Đảm bảo tắt SSL 3.0 và TLS 1.0, chúng tôi cũng khuyên bạn nên tắt TLS 1.1
- Nhấp vào OK
- Khởi động lại trình duyệt của bạn
Hỗ trợ phiên bản Mozilla Firefox TLS
Trình duyệt | Phiên bản | Nền tảng | TLS 1.0 | TLS 1.1 | TLS 1.2 | |
Mozilla Firefox (Firefox dành cho điện thoại di động) | 1,0 | Windows (XP SP2 +) OS X (10.6+) Linux Android (2.3+) Hệ điều hành Firefox iOS (alpha) MaemoESR chỉ dành cho: Windows (XP SP2 +) OS X (10.6+) Linux | Yes | No | No | |
1,5 | Yes | No | No | |||
2 | Yes | No | No | |||
3–7 | Yes | No | No | |||
8–10 ESR 10 | Yes | No | No | |||
11–14 | Yes | No | No | |||
15–22 | Yes | No | No | |||
ESR 17 | Yes | No | No | |||
23 | Yes | Đã tắt theo mặc định | No | |||
24, 25.0.0 | Yes | Đã tắt theo mặc định | Đã tắt theo mặc định | |||
25.0.1, 26 ESR 24 | Yes | Đã tắt theo mặc định | Đã tắt theo mặc định | |||
27–33 ESR 31.0–31.2 | Yes | Yes | Yes | |||
ESR 31,3–31,6 | Yes | Yes | Yes | |||
34, 35 | ESR 31,7 | |||||
ESR 31,8 | Yes | Yes | Yes | |||
36, 37 | 38 ESR 38,0 | Yes | Yes | Yes | ||
ESR 38,1 | Yes | Yes | Yes | |||
39 | Yes | Yes | Yes |
Dưới đây là cách bật hoặc tắt các phiên bản SSL / TLS cũ hơn trên Mozilla Firefox:
- Nhập about: Config vào thanh địa chỉ
- Nhấp qua cảnh báo về bảo hành của bạn – điều này sẽ không làm mất hiệu lực
- Chọn “security.tls.version.min” và nhấp đúp vào nó
- Thay đổi số nguyên trong trường thành 2 để vô hiệu hóa hỗ trợ cho tất cả các phiên bản cũ hơn lên tới TLS 1.2
Hỗ trợ phiên bản Microsoft Internet Explorer và Edge TLS
Trình duyệt | Phiên bản | Nền tảng | TLS 1.0 | TLS 1.1 | TLS 1.2 | |
Microsoft Internet Explorer | 1.x | Windows 3.1,95, NT Mac OS 7, 8 | ||||
2 | No | No | No | |||
3 | No | No | No | |||
4, 5 | Windows 3.1,95, 98, NT Mac OS 7.1,8, X, Solaris, HP-UX | Đã tắt theo mặc định | No | No | ||
6 | Windows 98, ME, NT, 2000 | |||||
6 | Windows XP | Đã tắt theo mặc định | No | No | ||
6 | Server 2003 | Đã tắt theo mặc định | No | No | ||
7, 8 | Windows XP | Yes | No | No | ||
7, 8 | Server 2003 | Yes | No | No | ||
7, 8 | 9 | Windows Vista | Yes | No | No | |
Server 2008 | ||||||
8, 9, 10 | Windows 7 | Yes | Đã tắt theo mặc định | Đã tắt theo mặc định | ||
Server 2008 R2 | ||||||
10 | Windows 8 | Yes | Đã tắt theo mặc định | Đã tắt theo mặc định | ||
10 | Máy chủ 2012 | |||||
11 | Windows 7 | Yes | Yes | Yes | ||
Server 2008 R2 | ||||||
11 | Windows 8.1 | Yes | Yes | Yes | ||
Server 2012 R2 | ||||||
Microsoft Edge | Cạnh (bao gồm IE11 làm dự phòng) | Windows 10 (máy tính để bàn / thiết bị di động) | Yes | Yes | Yes | |
Microsoft Internet Explorer Mobile | 7, 9 | Windows Phone 7, 7.5, 7.8 | Yes | No | No | |
10 | Windows Phone 8 | Yes | Đã tắt theo mặc định | Đã tắt theo mặc định | ||
11 | Windows Phone 8.1 | Yes | Yes | Yes |
Dưới đây là cách bật hoặc tắt các phiên bản SSL / TLS cũ hơn trên Microsoft Edge và Internet Explorer:
- Trong thanh trình đơn, nhấp vào “Công cụ”
- Chọn “Tùy chọn Internet” và nhấp vào tab Nâng cao
- Cuộn xuống phần Bảo mật
- Chuyển đổi các hộp của phiên bản bạn muốn hỗ trợ, đảm bảo tắt tất cả các phiên bản SSL cũ và TLS 1.0. Chúng tôi khuyên bạn không nên sử dụng TLS 1.1 nữa.
Hỗ trợ phiên bản Apple Safari TLS
Trình duyệt | Phiên bản | Nền tảng | TLS 1.0 | TLS 1.1 | TLS 1.2 |
Apple Safari | 1 | Mac OS X10.2, 10.3 | Yes | No | No |
2–5 | Mac OS X10.4, 10.5, Giành chiến thắng XP | Yes | No | No | |
3–5 | Vista, Win 7 | Yes | No | No | |
4–6 | Mac OS X10.6, 10.7 | Yes | No | No | |
6 | OS X 10.8 | Yes | No | No | |
7 | OS X 10.9 | Yes | Yes | Yes | |
số 8 | OS X 10.10 | Yes | Yes | Yes | |
9 | OS X 10.11 | Yes | Yes | Yes | |
Apple Safari (di động) | 3 | Hệ điều hành iPhone 1, 2 | Yes | No | No |
4, 5 | iPhone OS 3 , iOS 4 | Yes | No | No | |
5, 6 | iOS 5, 6 | Yes | Yes | Yes | |
7 | IOS 7 | Yes | Yes | Yes | |
số 8 | iOS 8 | Yes | Yes | Yes | |
9 | iOS 9 | Yes | Yes | Yes |
Apple Safari không cung cấp các tùy chọn để định cấu hình hỗ trợ phiên bản SSL / TLS, bạn phải thực hiện những gì Apple cung cấp cho bạn.
Suy nghĩ cuối cùng
Một phần của sự đổ lỗi cho việc triển khai chậm TLS 1.2 là dành cho sự phát triển của nền công nghiệp. Chúng ta cần làm một công việc tốt hơn để giáo dục mọi người về an ninh kết nối và tại sao nó xứng đáng với cùng một mức độ xem xét như bất kỳ triển khai bảo mật nào khác. Cung cấp dịch vụ tốt nhất có thể không dừng lại khi cấp chứng chỉ. Nó cần phải toàn diện hơn. TLS 1.3 đã sẵn sàng hoạt động.