1. Trang chủ
2. Tin tức
3. Cập nhật Windows/Linux để hỗ trợ TLS 1.2/1.3 & SHA-256

Cập nhật Windows/Linux để hỗ trợ TLS 1.2/1.3 & SHA-256

Trong bối cảnh các giao thức cũ như SSL 3.0, TLS 1.0/1.1 và thuật toán băm SHA-1 đã chính thức bị loại bỏ khỏi chuẩn an toàn, việc nâng cấp hệ thống để hỗ trợ TLS 1.2/1.3 và SHA-256 là bắt buộc để:

• Đảm bảo website & dịch vụ không bị trình duyệt cảnh báo “Not Secure”.
• Tuân thủ các chuẩn an toàn thông tin (PCI DSS 4.0, ISO 27001, NIST).
• Ngăn chặn các cuộc tấn công downgrade & man-in-the-middle.

Windows Server

Windows Server 2008 / 2012

• Mặc định không bật TLS 1.2.
• Cần cài Windows Update hoặc KB patch từ Microsoft.
• Sau đó chỉnh registry để enable TLS 1.2 cho Server & Client.

Ví dụ (PowerShell):

New-Item "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server" -Force

New-ItemProperty -path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server" -name "Enabled" -value 1 -PropertyType "DWord"

New-ItemProperty -path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server" -name "DisabledByDefault" -value 0 -PropertyType "DWord"

Windows Server 2016

• Hỗ trợ TLS 1.2 mặc định.
• TLS 1.3 chưa có sẵn, cần bản build mới hoặc giải pháp thay thế (ngày càng ít khuyến nghị do 2016 đã cũ).

Windows Server 2022

• Native support cho TLS 1.3.
• Hỗ trợ SHA-256 mặc định trong Schannel.

Linux

Ubuntu / Debian

• Cập nhật OpenSSL ≥ 1.1.1 để có TLS 1.3.
• Lệnh update:

apt update && apt upgrade openssl

CentOS / RHEL

• Yêu cầu OpenSSL ≥ 3.0 để full support TLS 1.3.
• Với hệ thống cũ (CentOS 7), thường chỉ có OpenSSL 1.0.2 → cần backport hoặc build từ source.
• RHEL 9 / AlmaLinux 9 / Rocky Linux 9 đã hỗ trợ TLS 1.3 mặc định.

Kiểm tra phiên bản OpenSSL

openssl version

• ≥ 1.1.1 → TLS 1.3 có sẵn.
• ≥ 3.0 → tối ưu hơn (chuẩn FIPS, post-quantum readiness).

Best Practices 2025

• Disable TLS 1.0/1.1 trên toàn bộ hệ thống (ngay cả intranet).
• Chỉ bật TLS 1.2 & 1.3.
• Ưu tiên cipher suite:
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_AES_256_GCM_SHA384 (TLS 1.3)
  • TLS_CHACHA20_POLY1305_SHA256 (cho thiết bị không hỗ trợ AES-NI).
• Đảm bảo SHA-256 thay cho SHA-1 trong tất cả cert & chữ ký số.
• Test định kỳ với công cụ như:
  • SSL Labs Server Test

openssl s_client -connect domain.com:443 -tls1_3

Kết luận

Việc cập nhật TLS 1.2/1.3 & SHA-256 không chỉ là yêu cầu kỹ thuật, mà còn là bắt buộc pháp lý & chuẩn tuân thủ trong 2025:

• Windows Server cũ (2008/2012) → cần update patch + registry.
• Windows Server 2022 → TLS 1.3 mặc định.
• Linux (Ubuntu ≥ 18.04, RHEL/CentOS ≥ 8) → hỗ trợ TLS 1.3 khi dùng OpenSSL mới.

Doanh nghiệp nên đặt chính sách hệ thống: chỉ bật TLS 1.2/1.3, disable cipher yếu, giám sát định kỳ bằng monitoring.