Chuyển tới nội dung chính

Tắt Giao Thức SSL/TLS Lỗi Thời Để Tăng Cường Bảo Mật Server

Giới Thiệu

Trong thế giới số hóa ngày nay, việc bảo vệ dữ liệu truyền tải là cực kỳ quan trọng. Giao thức SSL (Secure Sockets Layer) và phiên bản kế nhiệm TLS (Transport Layer Security) đóng vai trò nền tảng trong việc mã hóa thông tin giữa máy chủ và máy khách. Tuy nhiên, các phiên bản cũ của SSL/TLS, đặc biệt là SSLv2, SSLv3, TLSv1.0 và TLSv1.1, đã được phát hiện có nhiều lỗ hổng bảo mật nghiêm trọng như POODLE, BEAST, CRIME, DROWN. ⚠️ Việc tiếp tục sử dụng chúng có thể khiến hệ thống của bạn dễ bị tấn công, rò rỉ dữ liệu và không tuân thủ các tiêu chuẩn bảo mật như PCI DSS, HIPAA.

Hướng dẫn này sẽ chỉ cho bạn cách vô hiệu hóa các giao thức SSL/TLS lỗi thời trên các máy chủ web phổ biến như Apache, Nginx và Microsoft IIS để nâng cao khả năng phòng thủ của hệ thống.

📋 Thời gian: 20-40 phút | Độ khó: Trung bình

Yêu Cầu

Để thực hiện hướng dẫn này, bạn cần:

  • Quyền truy cập quản trị (root hoặc administrator) vào máy chủ web.
  • Kiến thức cơ bản về chỉnh sửa file cấu hình trên Linux hoặc Windows Server.
  • Khả năng sử dụng dòng lệnh (terminal/CMD/PowerShell).
  • Quan trọng: ✅ Luôn sao lưu các file cấu hình hiện tại trước khi thực hiện bất kỳ thay đổi nào.

Các Bước Thực Hiện

Bước 1: Sao lưu cấu hình hiện tại

Trước khi thực hiện bất kỳ thay đổi nào, hãy đảm bảo bạn đã sao lưu các file cấu hình quan trọng của máy chủ web. Điều này giúp bạn dễ dàng khôi phục lại trạng thái ban đầu nếu có lỗi xảy ra.

Trên Linux (Apache/Nginx):

# Sao lưu cấu hình Apache
sudo cp /etc/apache2/mods-available/ssl.conf /etc/apache2/mods-available/ssl.conf.bak
sudo cp /etc/httpd/conf.d/ssl.conf /etc/httpd/conf.d/ssl.conf.bak # Hoặc đường dẫn tương tự tùy bản phân phối

# Sao lưu cấu hình Nginx
sudo cp /etc/nginx/nginx.conf /etc/nginx/nginx.conf.bak
# Hoặc file cấu hình cụ thể của website, ví dụ:
sudo cp /etc/nginx/sites-available/your_domain.conf /etc/nginx/sites-available/your_domain.conf.bak

Trên Windows (IIS): Bạn có thể sao lưu cấu hình IIS thông qua IIS Manager hoặc sao chép các file cấu hình tại C:\Windows\System32\inetsrv\config.

Bước 2: Tắt giao thức lỗi thời trên Apache HTTP Server

Tìm file cấu hình SSL của Apache, thường là ssl.conf hoặc default-ssl.conf trong thư mục /etc/apache2/mods-available/ (Debian/Ubuntu) hoặc /etc/httpd/conf.d/ (CentOS/RHEL).

Mở file bằng trình soạn thảo văn bản yêu thích của bạn (ví dụ: nano hoặc vi):

sudo nano /etc/apache2/mods-available/ssl.conf
# Hoặc
sudo nano /etc/httpd/conf.d/ssl.conf

Tìm dòng bật đầu bằng SSLProtocol và sửa đổi nó để chỉ cho phép TLSv1.2 và TLSv1.3. Nếu không có dòng này, hãy thêm nó vào trong khối <VirtualHost> hoặc cấu hình server tổng thể.

# Cấu hình SSLProtocol để chỉ cho phép TLSv1.2 và TLSv1.3
SSLProtocol ALL -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
# Hoặc đơn giản hơn:
# SSLProtocol TLSv1.2 TLSv1.3

# Cấu hình Cipher Suite mạnh mẽ (ví dụ mẫu, bạn có thể tìm các cấu hình mạnh hơn trên Mozilla SSL Configuration Generator)
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLHonorCipherOrder on

Lưu file và thoát. Sau đó, kiểm tra cấu hình và khởi động lại Apache:

sudo apache2ctl configtest # Kiểm tra cấu hình trên Debian/Ubuntu
sudo systemctl restart apache2
# Hoặc trên CentOS/RHEL
sudo httpd -t
sudo systemctl restart httpd

✅ Apache giờ đây sẽ chỉ sử dụng các giao thức TLS an toàn.

Bước 3: Tắt giao thức lỗi thời trên Nginx

Mở file cấu hình Nginx chính (/etc/nginx/nginx.conf) hoặc file cấu hình cụ thể của website trong thư mục /etc/nginx/sites-available/.

sudo nano /etc/nginx/nginx.conf
# Hoặc
sudo nano /etc/nginx/sites-available/your_domain.conf

Tìm dòng ssl_protocols trong khối http, server hoặc location và sửa đổi nó như sau:

# Cấu hình ssl_protocols để chỉ cho phép TLSv1.2 và TLSv1.3
ssl_protocols TLSv1.2 TLSv1.3;

# Cấu hình ssl_ciphers mạnh mẽ (ví dụ mẫu, bạn có thể tìm các cấu hình mạnh hơn trên Mozilla SSL Configuration Generator)
ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';
ssl_prefer_server_ciphers on;

Lưu file và thoát. Sau đó, kiểm tra cấu hình và tải lại Nginx:

sudo nginx -t
sudo systemctl reload nginx

✅ Nginx của bạn đã được cấu hình để sử dụng các giao thức TLS hiện đại.

Bước 4: Tắt giao thức lỗi thời trên Microsoft IIS (Windows Server)

Trên IIS, bạn cần chỉnh sửa Registry của Windows. ⚠️ Thao tác với Registry cần cẩn thận vì có thể gây ra lỗi hệ thống nếu không thực hiện đúng.

  1. Mở Registry Editor bằng cách gõ regedit vào hộp thoại Run (Windows + R) và nhấn Enter.
  2. Điều hướng đến khóa sau: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
  3. Trong khóa Protocols, bạn sẽ tạo các khóa con cho các giao thức mà bạn muốn vô hiệu hóa. Đối với mỗi giao thức bạn muốn tắt (ví dụ: SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1), hãy thực hiện các bước sau:
    • Tạo một khóa mới có tên của giao thức (ví dụ: SSL 2.0).
    • Trong khóa giao thức đó, tạo một khóa con mới có tên Client.
    • Trong khóa Client, tạo một giá trị DWORD (32-bit) mới có tên DisabledByDefault và đặt giá trị là 1.
    • Trong khóa giao thức đó, tạo một khóa con mới có tên Server.
    • Trong khóa Server, tạo một giá trị DWORD (32-bit) mới có tên DisabledByDefault và đặt giá trị là 1.
    • (Tùy chọn) Để đảm bảo TLSv1.2 và TLSv1.3 được bật, hãy đảm bảo rằng dưới khóa TLS 1.2TLS 1.3 (nếu có), trong cả ClientServer, có một giá trị DWORD tên Enabled với giá trị là 1.

Ví dụ để tắt SSL 3.0:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
"DisabledByDefault"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
"DisabledByDefault"=dword:00000001

Lặp lại quy trình này cho SSL 2.0, TLS 1.0, và TLS 1.1.

💡 Mẹo: Để đơn giản hóa, bạn có thể sử dụng công cụ miễn phí như IIS Crypto từ Nartac Software. Công cụ này cung cấp giao diện đồ họa để dễ dàng bật/tắt các giao thức và bộ mật mã (cipher suites), sau đó áp dụng các thay đổi vào Registry.

Sau khi thay đổi Registry, bạn cần khởi động lại máy chủ Windows để các thay đổi có hiệu lực. ✅ IIS của bạn sẽ chỉ cho phép các giao thức bảo mật hơn.

Bước 5: Kiểm tra cấu hình sau khi thay đổi

Sau khi thực hiện các thay đổi, điều quan trọng là phải xác minh rằng các giao thức lỗi thời đã thực sự bị vô hiệu hóa và máy chủ của bạn đang sử dụng các giao thức an toàn.

Sử dụng công cụ trực tuyến như SSL Labs Server Test của Qualys. Nhập tên miền của bạn và công cụ sẽ quét máy chủ của bạn, cung cấp báo cáo chi tiết về các giao thức được hỗ trợ, bộ mật mã và các lỗ hổng đã biết. Mục tiêu là đạt được điểm A hoặc A+.

Troubleshooting

  • Máy chủ không khởi động/khởi động lại được:
    • Nguyên nhân: Lỗi cú pháp trong file cấu hình (Apache/Nginx) hoặc thay đổi Registry không đúng (IIS).
    • Khắc phục: Kiểm tra lại file cấu hình bằng lệnh kiểm tra cú pháp (ví dụ: apache2ctl configtest, nginx -t). Nếu là IIS, kiểm tra lại các khóa Registry đã tạo. Nếu không thể khắc phục, khôi phục từ bản sao lưu cấu hình.
  • Website không thể truy cập được sau khi thay đổi:
    • Nguyên nhân: Có thể do cấu hình quá nghiêm ngặt hoặc trình duyệt/client cũ không hỗ trợ TLSv1.2/TLSv1.3.
    • Khắc phục: Kiểm tra bằng SSL Labs Server Test. Đảm bảo rằng bạn đã bật ít nhất TLSv1.2. Hầu hết các trình duyệt hiện đại đều hỗ trợ TLSv1.2 trở lên.
  • Báo cáo SSL Labs Server Test vẫn hiển thị giao thức lỗi thời:
    • Nguyên nhân: Có thể bạn đã chỉnh sửa sai file cấu hình hoặc máy chủ chưa được khởi động lại đúng cách.
    • Khắc phục: Xác định lại vị trí file cấu hình chính xác và đảm bảo máy chủ đã được khởi động lại hoàn toàn.

⚠️ Luôn kiểm tra kỹ lưỡng sau mỗi thay đổi và giữ bản sao lưu!

Kết Luận

Việc vô hiệu hóa các giao thức SSL/TLS lỗi thời là một bước đi thiết yếu để bảo vệ dữ liệu, tăng cường bảo mật cho máy chủ web của bạn và tuân thủ các tiêu chuẩn ngành. Bằng cách chỉ cho phép TLSv1.2 và TLSv1.3, bạn đã giảm đáng kể bề mặt tấn công và bảo vệ người dùng khỏi các mối đe dọa đã biết.

💡 Best practices:

  • Luôn cập nhật: Thường xuyên cập nhật hệ điều hành và phần mềm máy chủ web của bạn lên phiên bản mới nhất để nhận các bản vá bảo mật.
  • Sử dụng TLSv1.2/TLSv1.3: Đảm bảo chỉ sử dụng các phiên bản TLS an toàn nhất.
  • Cấu hình Cipher Suites mạnh mẽ: Bên cạnh việc tắt các giao thức cũ, hãy cấu hình các bộ mật mã (cipher suites) mạnh mẽ để đảm bảo mã hóa tối ưu.
  • Kiểm tra định kỳ: Sử dụng các công cụ như SSL Labs Server Test định kỳ để kiểm tra cấu hình SSL/TLS của bạn.

Bằng cách tuân thủ các bước này, bạn sẽ góp phần tạo ra một môi trường internet an toàn hơn.

Xem thêm: