1. Trang chủ
2. Tin tức
3. Update hệ điều hành & phần mềm để hỗ trợ TLS 1.2/1.3

Update hệ điều hành & phần mềm để hỗ trợ TLS 1.2/1.3

Trong khi TLS 1.0/1.1 đã bị loại bỏ khỏi hầu hết trình duyệt và chuẩn bảo mật (PCI DSS 4.0, NIST 800-52r2), nhiều hệ thống cũ (legacy) vẫn đang chạy Windows đời cũ hoặc Linux với OpenSSL lỗi thời. Điều này gây ra lỗi ERR_SSL_OBSOLETE_VERSION và khiến dịch vụ không còn đáp ứng compliance.

Bài viết này hướng dẫn cách xử lý cho từng hệ điều hành.

Windows

Windows XP / Windows Server 2003

• Tình trạng: Không còn được Microsoft hỗ trợ, chỉ có TLS 1.0/1.1.
• Giải pháp:
  • Không thể bật TLS 1.2 native.
  • Nếu buộc phải duy trì, nên đặt sau reverse proxy (Nginx, HAProxy, IIS 10) để proxy TLS 1.2/1.3.
  • Khuyến nghị: nâng cấp OS (Windows Server 2016/2019/2022).

Windows 7 / Windows Server 2008 R2

• Mặc định: chỉ có TLS 1.0/1.1.
• Fix: Cài patch KB3140245 để bật TLS 1.2.
• Registry/Schannel config:
  Sau khi cài patch, cần enable TLS 1.2 bằng registry (hoặc Group Policy).

Ví dụ PowerShell:

New-Item "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server" -Force

New-ItemProperty -path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server" -name "Enabled" -value 1 -PropertyType "DWord"

New-ItemProperty -path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server" -name "DisabledByDefault" -value 0 -PropertyType "DWord"

Linux

CentOS 6 / RHEL 6 (EOL)

• OpenSSL chỉ hỗ trợ TLS 1.0/1.1, rất lỗi thời.
• Giải pháp:
  • Backport OpenSSL (cài bản OpenSSL 1.1.1 từ source hoặc repo EPEL).
  • Hoặc dùng stunnel/nginx làm TLS wrapper, để app cũ vẫn chạy TCP plain, nhưng được bọc bằng TLS 1.2/1.3.
  • Khuyến nghị: nâng cấp OS lên CentOS 8 Stream hoặc AlmaLinux 9.

CentOS 7 / RHEL 7

• Có OpenSSL 1.0.2 (chỉ TLS 1.2).
• Không hỗ trợ TLS 1.3.
• Giải pháp:
  • Upgrade OpenSSL thủ công (1.1.1 hoặc 3.0).
  • Hoặc chuyển sang RHEL 8/9, AlmaLinux, Rocky Linux để có TLS 1.3 mặc định.

Best Practice 2025

• Không nên duy trì legacy OS (XP/2003/2008/Win7, CentOS 6). Chỉ nên chạy trong môi trường cách ly.
• TLS policy:
  • Chỉ bật TLS 1.2/1.3.
  • Disable TLS 1.0/1.1 và các cipher yếu (RC4, 3DES).
• Dùng reverse proxy / load balancer hiện đại (Nginx, HAProxy, Envoy) để che chắn hệ thống cũ.
• Giám sát định kỳ: Test bằng openssl s_client hoặc SSL Labs.

Kết luận

• Windows XP/2003: không còn cứu, chỉ có reverse proxy hoặc upgrade.
• Windows 7/2008 R2: có thể bật TLS 1.2 bằng patch KB3140245.
• CentOS 6/7: chỉ wrap TLS bằng stunnel/nginx hoặc nâng cấp OS.

Nếu muốn compliance và bảo mật dài hạn → bắt buộc upgrade lên OS mới hỗ trợ TLS 1.2/1.3 native.