Bỏ qua để tới nội dung chính
Hỗ trợ
Đăng nhập
Đăng nhập với Microsoft
Đăng nhập hoặc tạo một tài khoản.
Xin chào,
Chọn một tài khoản khác.
Bạn có nhiều tài khoản
Chọn tài khoản bạn muốn đăng nhập.

Tóm tắt

Transport Layer Security (TLS) 1.0 và 1.1 là các giao thức bảo mật để tạo các kênh mã hóa qua mạng máy tính. Microsoft đã hỗ trợ chúng từ Windows XP và Windows Server 2003. Tuy nhiên, các yêu cầu quy định đang thay đổi. Ngoài ra, có các điểm yếu bảo mật mới trong TLS 1.0. Vì vậy, Microsoft khuyên bạn nên loại bỏ phụ thuộc TLS 1.0 và 1.1. Chúng tôi cũng khuyên bạn nên tắt TLS 1.0 và 1.1 ở cấp độ hệ điều hành nếu có thể. Để biết thêm chi tiết, hãy xem tắt TLS 1.0 và 1.1. Trong bản cập nhật xem trước 20/09/2022, chúng tôi sẽ vô hiệu hóa TLS 1.0 và 1.1 theo mặc định cho các ứng dụng dựa trên winhttp và wininet. Đây là một phần của nỗ lực liên tục. Bài viết này sẽ giúp bạn bật lại chúng. Những thay đổi này sẽ được phản ánh sau khi cài đặt các bản cập nhật Windows được phát hành vào hoặc sau ngày 20 tháng 9 năm 2022.  

Hành vi khi truy nhập liên kết TLS 1.0 và 1.1 trong trình duyệt

Sau ngày 20 tháng 9 năm 2022, một thông báo sẽ xuất hiện khi trình duyệt của bạn mở một trang web sử dụng TLS 1.0 hoặc 1.1. Xem Hình 1. Thông báo cho biết rằng trang web sử dụng giao thức TLS lỗi thời hoặc không an toàn. Để giải quyết vấn đề này, bạn có thể cập nhật giao thức TLS lên TLS 1.2 trở lên. Nếu điều này là không thể, bạn có thể bật TLS như được thảo luận trong Cho phép TLS phiên bản 1.1 và dưới đây.

Cửa sổ Internet explorer khi truy nhập liên kết TLS 1.0 và 1.1

Hình 1: Cửa sổ trình duyệt khi truy cập trang web TLS 1.0 và 1.1

Hành vi khi truy nhập liên kết TLS 1.0 và 1.1 trong các ứng dụng winhttp

Sau khi cập nhật, các ứng dụng dựa trên winhttp có thể không thành công. Thông báo lỗi là"ERROR_WINHTTP_SECURE_FAILURE đang thực hiện thao tác WinHttpSendRequest".

Hành vi khi truy nhập liên kết TLS 1.0 và 1.1 trong các ứng dụng UI tùy chỉnh dựa trên winhttp hoặc wininet

Khi một ứng dụng tìm cách tạo kết nối bằng TLS 1.1 và dưới đây, kết nối có thể không thành công. Khi bạn đóng một ứng dụng hoặc ứng dụng đó ngừng hoạt động, hộp thoại Hỗ trợ Tương thích Chương trình (PCA) sẽ xuất hiện như minh họa trong Hình 2.

Cửa sổ bật lên Hỗ trợ Tương thích Chương trình sau khi đóng ứng dụng

Hình 2: Hộp thoại Trợ lý Tương thích Chương trình sau khi đóng một ứng dụng

Hộp thoại PCA thông báo, "Chương trình này có thể không chạy đúng cách". Dưới đó, có hai tùy chọn:

  • Chạy chương trình bằng cách sử dụng thiết đặt tương thích

  • Chương trình này chạy đúng cách

Chạy chương trình bằng cách sử dụng thiết đặt tương thích

Khi bạn chọn tùy chọn này, ứng dụng sẽ mở lại. Bây giờ, tất cả các liên kết sử dụng TLS 1.0 và 1.1 đều hoạt động chính xác. Từ đó về sau, sẽ không có hộp thoại PCA nào xuất hiện. Trình soạn thảo Sổ đăng ký thêm mục nhập vào đường dẫn sau đây:

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers. 

Nếu bạn chọn nhầm tùy chọn này, bạn có thể xóa các mục nhập này. Nếu xóa chúng, bạn sẽ thấy hộp thoại PCA vào lần tiếp theo bạn mở ứng dụng.

Danh sách các chương trình cần chạy bằng cách sử dụng thiết đặt tương thích

Hình 3: Danh sách các chương trình sẽ chạy bằng thiết đặt tương thích

Chương trình này chạy đúng cách

Khi bạn chọn tùy chọn này, ứng dụng sẽ đóng bình thường. Lần sau khi bạn mở lại ứng dụng, không có hộp thoại PCA nào xuất hiện. Hệ thống chặn tất cả nội dung TLS 1.0 và 1.1. Trình soạn thảo Sổ đăng ký thêm mục nhập sau đây vào đường Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store. Xem Hình 4. Nếu bạn chọn nhầm tùy chọn này, bạn có thể xóa mục nhập này. Nếu xóa mục nhập, bạn sẽ thấy hộp thoại PCA vào lần tiếp theo bạn mở ứng dụng.

Mục nhập trong trình soạn thảo sổ đăng ký chỉ định rằng ứng dụng chạy đúng cách

Hình 4: Mục nhập trong Trình soạn sổ đăng ký cho biết ứng dụng chạy đúng cách

Quan trọng Giao thức TLS thừa tự chỉ được kích hoạt cho các ứng dụng cụ thể. Điều này đúng ngay cả khi chúng bị vô hiệu hóa trong cài đặt trên toàn hệ thống.

Bật TLS phiên bản 1.1 và dưới đây (cài đặt wininet và Internet Explorer)

Chúng tôi khuyên bạn không nên bật TLS 1.1 và dưới đây vì chúng không còn được coi là an toàn. Họ dễ bị tấn công bởi nhiều cuộc tấn công khác nhau, chẳng hạn như tấn công POODLE. Vì vậy, trước khi bật TLS 1.1, hãy thực hiện một trong các thao tác sau:

  • Kiểm tra xem có phiên bản ứng dụng mới hơn không.

  • Yêu cầu nhà phát triển ứng dụng thực hiện thay đổi cấu hình trong ứng dụng để loại bỏ sự phụ thuộc vào TLS 1.1 trở xuống.

Trong trường hợp không có giải pháp nào hiệu quả thì có hai cách để bật giao thức TLS thừa tự trong cài đặt toàn hệ thống:

  • Tùy chọn Internet

  • Bộ soạn Chính sách Nhóm

Tùy chọn Internet

Để mở Tùy chọn Internet, nhập Tùy chọn Internet vào hộp tìm kiếm trên thanh tác vụ. Bạn cũng có thể chọn Thay đổi cài đặt từ hộp thoại hiển thị trong Hình 1. Trên tab Nâng cao , cuộn xuống trong pa-nen Cài đặt. Ở đó bạn có thể bật hoặc tắt giao thức TLS.

Cửa sổ Tùy chọn Internet

Hình 5: Hộp thoại Thuộc tính Internet

Trình chính sách nhóm thảo

Để mở Trình soạn chính sách nhóm, hãy nhập gpedit.msc vào hộp tìm kiếm trên thanh tác vụ. Một cửa sổ giống như cửa sổ hiển thị trong Hình 6 sẽ xuất hiện. 

Cửa sổ trình soạn thảo chính sách nhóm

Hình 6: Cửa chính sách nhóm trình soạn thảo

  1. Điều hướng đến Local Computer Policy > (Computer Configuration or User Configuration) > Administrative Templets > Windows Components > Internet Explorer > Internet Panel điều khiển > Advanced Page > Turn off encryption support. Xem Hình 7.

  2. Bấm đúp tắt hỗ trợ mã hóa.

    Đường dẫn để Tắt hỗ trợ mã hóa trong GPedit.msc

    Hình 7: Đường dẫn để tắt hỗ trợ mã hóa trong Trình chính sách nhóm thảo

  3. Chọn tùy chọn Đã bật . Sau đó, sử dụng danh sách thả xuống để chọn phiên bản TLS mà bạn muốn bật như minh họa trong Hình 8.

    Tắt hỗ trợ mã hóa được bật với danh sách thả xuống hiển thị các tùy chọn khác nhau

    Hình 8: Bật Tắt hỗ trợ mã hóa và danh sách thả xuống

Khi bạn bật chính sách trong Trình soạn chính sách nhóm, bạn không thể thay đổi chính sách đó trong Tùy chọn Internet. Ví dụ: nếu bạn chọn Sử dụng SSL3.0 và TLS 1.0, tất cả các tùy chọn khác sẽ không sẵn dùng trong Tùy chọn Internet. Xem Hình 9. Bạn không thể thay đổi bất kỳ thiết đặt nào trong Tùy chọn Internet nếu bạn bật Tắt hỗ trợ mã hóa trong Trình soạn chính sách nhóm cụ thể.

Tùy chọn Internet với các thiết đặt SSL và TLS được tô xám

Hình 9: Tùy chọn Internet hiển thị thiết đặt SSL và TLS không khả dụng

Bật TLS phiên bản 1.1 và dưới đây (cài đặt winhttp)

Hãy xem Cập nhật để bật TLS 1.1 và TLS 1.2 làm giao thức bảo mật mặc định trong WinHTTP trong Windows.

Đường dẫn đăng ký quan trọng (cài đặt wininet và Internet Explorer)

  • Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

    • Ở đây bạn có thể tìm thấy SecureProtocols, nơi lưu trữ giá trị của các giao thức hiện đang được kích hoạt nếu bạn sử dụng Trình soạn chính sách nhóm viên.

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings

    • Ở đây bạn có thể tìm thấy SecureProtocols, nơi lưu trữ giá trị của các giao thức hiện đang được kích hoạt nếu bạn sử dụng Tùy chọn Internet.

  • chính sách nhóm SecureProtocols sẽ được ưu tiên hơn bộ do Tùy chọn Internet đặt.

Cho phép dự phòng TLS không an toàn

Các sửa đổi ở trên sẽ bật TLS 1.0 và TLS 1.1. Tuy nhiên, họ sẽ không bật dự phòng TLS. Để bật dự phòng TLS, bạn phải đặt EnableInsecureTlsFallback thành 1 trong sổ đăng ký dưới đường dẫn bên dưới.

  • Để thay đổi cài đặt: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttps

  • Để đặt chính sách: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

Nếu EnableInsecureTlsFallback không hiện diện, thì bạn phải tạo một mục nhập DWORD mới và đặt thành 1.

Đường dẫn quan trọng của sổ đăng ký

  1. ForceDefaultSecureProtocols  

    • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp 

    • Theo mặc định, đây là FALSE. Việc đặt giá trị khác không sẽ ngăn các ứng dụng đặt giao thức tùy chỉnh bằng tùy chọn winhttp.

  2. EnableInsecureTlsFallback 

    • Để thay đổi cài đặt: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttps

    • Để đặt chính sách: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

    • Theo mặc định, đây là FALSE. Việc đặt giá trị khác không sẽ cho phép các ứng dụng quay lại giao thức không an toàn (TLS1.0 và 1.1) nếu không bắt tay được với các giao thức an toàn (tls1.2 trở lên).

Facebook LinkedIn Email
ĐĂNG KÝ NGUỒN CẤP DỮ LIỆU RSS

Bạn cần thêm trợ giúp?

Bạn muốn xem các tùy chọn khác?

Khám phá Cộng đồng

Khám phá các lợi ích của gói đăng ký, xem qua các khóa đào tạo, tìm hiểu cách bảo mật thiết bị của bạn và hơn thế nữa.

Lợi ích đăng ký Microsoft 365

Nội dung đào tạo về Microsoft 365

Bảo mật Microsoft

Trung tâm trợ năng

Cộng đồng giúp bạn đặt và trả lời các câu hỏi, cung cấp phản hồi và lắng nghe ý kiến từ các chuyên gia có kiến thức phong phú.

Hỏi Cộng đồng Microsoft

Cộng đồng Kỹ thuật Microsoft

Người dùng Nội bộ Windows

Người dùng nội bộ Microsoft 365

Thông tin này có hữu ích không?

Bạn hài lòng đến đâu với chất lượng dịch thuật?
Điều gì ảnh hưởng đến trải nghiệm của bạn?
Khi nhấn gửi, phản hồi của bạn sẽ được sử dụng để cải thiện các sản phẩm và dịch vụ của Microsoft. Người quản trị CNTT của bạn sẽ có thể thu thập dữ liệu này. Điều khoản về quyền riêng tư.

Cảm ơn phản hồi của bạn!

×