Áp dụng TLS v1.2 ngay thôi!

Đầu năm 2020, bốn ông lớn, bao gồm Microsoft, Google, Apple và Mozilla, loại bỏ giao thức TLS v1 và v1.1 trong các sản phẩm browser của họ, chỉ hỗ trợ các phiên bản TLS v1.2 trở lên. Điều này có ảnh hưởng gì đến hoạt động bình thường của các công ty khác không?

Trước hết, TLS là gì?

TLS, viết tắt của cụm từ tiếng Anh Transport Layer Security, là một giao thức dùng để mã hoá dữ liệu trên đường truyền, giữa người truy cập và máy chủ. Các mảng ứng dụng lớn cho TLS là kết nối giữa browser của người dùng với các máy chủ web, hay kết nối giữa các máy chủ thư điện tử.

Về mặt kỹ thuật, cơ bản, TLS là phiên bản kế tiếp của giao thức SSL, được phát triển từ những năm đầu thập kỷ 90. Giao thức SSL đã bị chấm dứt với khủng hoảng bảo mật POODLE vào cuối năm 2014. TLS được phát triển thay thế cho SSL. Nhưng dù vậy, các phiên bản đầu của TLS là dựa trên bộ mã nguồn cũ của SSL rất nhiều. 

Tại sao dùng TLS v1.2?

Hiện đã có các phiên bản TLS v1, 1.1, 1.2 và 1.3. Tuy nhiên, cho tới thời điểm này, các phiên bản trước 1.2 đã gần như bị loại bỏ. Các hệ thống mới đều chỉ hỗ trợ TLS v1.2 trở lên. Lý do là các phiên bản từ 1.1 trở xuống vẫn chứa các lỗi bảo mật, không được khắc phục hoàn toàn. Trong khi đó, phiên bản 1.2 được viết lại, cho phép sử dụng các thuật toán mã hoá mới, từ đó cho phép lưu chuyển dữ liệu an toàn hơn.

TLS v1.2 có thực sự an toàn?

Tại thời điểm này, TLS v1.2 được coi là tiêu chuẩn cho các hệ thống mã hoá thông tin trên Internet. Các nhà cung cấp dịch vụ cloud lớn như Microsoft hay AWS cũng đều sử dụng TLS v1.2 cho các máy chủ của mình. Phiên bản 1.3 đã được triển khai, đánh giá, nhưng chưa được hỗ trợ rộng rãi. Tại các phòng thí nghiệm, các nhà nghiên cứu bảo mật vẫn có thể tìm thấy các dấu vết lỗi bảo mật đối với phiên bản 1.2. Tuy nhiên, với sự chấm dứt hỗ trợ các phiên bản TLS trước 1.2, các nhà cung cấp lớn đã giúp hạn chế rất nhiều khả năng người dùng bị lợi dụng để làm bàn đạp tấn công hệ thống. 

Việc chấm dứt hỗ trợ TLS trước phiên bản 1.2 ảnh hưởng gì tới hoạt động trên Internet?

Về phía người dùng, nếu các browser được cập nhật liên tục ở các phiên bản mới, họ gần như sẽ không nhận ra có gì thay đổi. Việc sử dụng browser truy cập vào các website vẫn như cũ. Tương tự với các phần mềm email như Outlook, Mail Mac… nếu được cập nhật các phiên bản mới, kết nối mặc định sẽ được cấu hình là TLS v1.2, và việc này người sử dụng cũng không cần lưu tâm.

Lỗi xảy ra được ghi nhận lại ở log máy chủ của VietNAP là:

error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol

Khi kiểm tra ngược lại log các ngày trước, với thông tin IP máy chủ gửi đến, các giao thức bắt tay đều là TLS v1 hoặc v1.1.

Khi các máy chủ cũ này gửi yêu cầu «bắt tay» với các hệ thống mới, do giao thức xuất phát chỉ là v1, hoặc v1.1, kết nối sẽ bị từ chối. Từ đó, email bị nằm lại máy chủ cũ mà không được gửi đi. Nếu người dùng không lưu ý, họ cũng sẽ không biết việc này cho đến khi admin kiểm tra tình trạng Outbox ở máy chủ. Việc chậm trễ, gián đoạn thông tin này sẽ gây khó khăn cho các doanh nghiệp.

Cần làm gì để sử dụng TLS v1.2?

Tuỳ từng trường hợp có thể giải pháp khác nhau, nhưng các bước kiểm tra chung vẫn là:

• Nâng cấp hệ điều hành và phần mềm ứng dụng lên các phiên bản mới nhất.
• Kiểm tra kết nối sau khi nâng cấp, nếu vẫn bị xuất phát với giao thức TLS v1 hoặc v1.1, có khả năng câu lệnh kết nối bị lập trình trong phần mềm phiên bản cũ. Khi đó, cần phải khảo sát cả phần mềm ứng dụng, thay thế đoạn code kết nối để dùng được giao thức mới hơn.

Tôi muốn dùng TLS v1.3

TLS phiên bản 1.3 có nhiều ưu điểm hơn phiên bản 1.2, về cả mức độ bảo mật, cũng như tốc độ xử lý. Tuy nhiên, do đặc thù của mỗi website hay phần mềm trên các máy chủ, các hệ thống chưa hoàn toàn hỗ trợ cho TLS v1.3. Tuy nhiên, VietNAP cũng đã triển khai các máy chủ kiểm thử trong lab Innovation Management, để đánh giá và triển khai từng bước. Nếu bạn muốn chạy website của bạn với TLS v1.3, bạn có thể điền form dưới đây. Chúng tôi sẽ kiểm tra và liên hệ với bạn để có giải pháp kiểm thử trong từng trường hợp.