Defaults.Exposed

Defaults.Exposedการแก้ไข › การเข้ารหัสสมัยใหม่ (เวอร์ชัน TLS & cipher)

วิธีแก้ไข การเข้ารหัสสมัยใหม่ (เวอร์ชัน TLS & cipher)

TLS คือกุญแจที่เข้ารหัสข้อมูลที่ไหลระหว่างผู้เข้าชมและเว็บไซต์ของคุณ สองสิ่งทำให้กุญแจนั้นน่าเชื่อถือ: การใช้เวอร์ชัน TLS สมัยใหม่ (ไม่ใช่เวอร์ชันเก่าที่เสียหาย) และการใช้ cipher ที่แข็งแกร่ง (สูตรการเข้ารหัสจริง) หน้านี้ครอบคลุมทั้งสอง — รวมถึงการตั้งค่าที่เกี่ยวข้องไม่กี่อย่างที่ไม่ส่งผลต่อเกรดของคุณแต่ควรรู้

สรุปสำหรับธุรกิจของคุณ: หากเว็บไซต์ของคุณรันบนการเข้ารหัสที่ล้าสมัยหรือ cipher ที่อ่อนแอ รายละเอียดส่วนตัวที่ลูกค้าพิมพ์ — การเข้าสู่ระบบ หมายเลขบัตร ข้อมูลการติดต่อ — สามารถถูกดักฟังและอ่านบนเครือข่ายที่ใช้ร่วมกัน และคุณสามารถล้มเหลวการตรวจสอบความปลอดภัยที่ธนาคาร ผู้ประมวลผลการชำระเงิน และลูกค้ารายใหญ่ต้องการในปัจจุบันก่อนที่จะทำธุรกิจกับคุณ

สิ่งนี้อาจทำให้คุณเสียค่าใช้จ่าย

เหตุใดจึงสำคัญ การเข้ารหัสที่ปลอดภัยมองไม่เห็น การเข้ารหัสที่ล้าสมัยหรืออ่อนแอเป็นหนี้สินที่นั่งเงียบๆ จนกว่าวันที่มันมีค่าใช้จ่ายคุณลูกค้า สัญญา หรือการผ่านการปฏิบัติตาม การตรวจสอบเวอร์ชัน TLS และ cipher เป็นสองส่วนที่ย้ายเกรดของคุณจริงๆ และทั้งสองโดยทั่วไปเป็นการตั้งค่าฟรีเดียว — ไม่มีข้อดีในการปล่อยตัวเลือกเก่าที่เสียหายเปิดอยู่

ในคำพูดธรรมดา

เมื่อมีคนเข้าเว็บไซต์ของคุณ ทุกอย่างที่พวกเขาพิมพ์ — การเข้าสู่ระบบ หมายเลขบัตร ชื่อ หมายเลขโทรศัพท์ ข้อความ — ถูกเข้ารหัสในการส่งเพื่อให้คนแปลกหน้าไม่สามารถอ่านได้ เทคโนโลยีที่ทำการเข้ารหัสเรียกว่า TLS (คุณอาจได้ยินว่า SSL ซึ่งเป็นชื่อเก่า) เพื่อให้การเข้ารหัสนั้นปลอดภัยจริงๆ สองสิ่งต้องถูกต้อง:

  1. เวอร์ชัน TLS — รุ่นของเทคโนโลยีที่คุณใช้ เวอร์ชันแรกๆ (TLS 1.0 และ 1.1) ถูกทำลายต่อสาธารณะมาหลายปีแล้ว ที่ปลอดภัยคือ TLS 1.2 และ TLS 1.3
  2. Cipher — สูตรเฉพาะที่ TLS ใช้ในการเข้ารหัส บาง cipher (เช่น RC4, DES และ 3DES) ถูกทำลายและต้องห้ามในปัจจุบัน

หน้านี้ครอบคลุมทั้งสอง เพราะเว็บไซต์สามารถทำให้ถูกต้องและผิดพลาดอีกอย่าง ทั้งสองมักปิดโดยการเปลี่ยนแปลงฟรีเดียวกันกับการตั้งค่าเซิร์ฟเวอร์หรือโฮสติ้งของคุณ

สิ่งนี้อาจทำให้คุณสูญเสียอะไร

มันคืออะไรจริงๆ

เวอร์ชัน TLS

เว็บไซต์ไม่รองรับ TLS เวอร์ชันเดียวเท่านั้น มันสามารถเสนอหลายเวอร์ชันพร้อมกันและให้เบราว์เซอร์ของผู้เข้าชมแต่ละคนเลือก อันตรายคือ เวอร์ชันเก่าที่เสียหายสามารถนั่งอยู่ที่นั่นควบคู่กับเวอร์ชันดีเป็นประตูหลังที่เปิดอยู่: ผู้โจมตีสามารถบังคับการเชื่อมต่อของผู้เข้าชมให้ “ดาวน์เกรด” เป็น TLS 1.0 หรือ 1.1

Cipher

เมื่อเลือกเวอร์ชันแล้ว TLS เลือก cipher — อัลกอริทึมจริงที่เข้ารหัสข้อมูล ส่วนใหญ่แข็งแกร่ง บางส่วนถูกทำลายและต้องไม่ใช้: RC4, DES, 3DES บวก NULL (ไม่มีการเข้ารหัสเลย), EXPORT-grade cipher (อ่อนแอโดยเจตนา) และ anonymous cipher

การตรวจสอบ cipher ของเราลองจับมือโดยใช้ cipher ที่รู้ว่าเสียหายหลายอย่างอย่างแข็งขัน หากเซิร์ฟเวอร์ของคุณยอมรับ cipher ที่ต้องห้ามใดๆ การตรวจสอบจะตั้งค่าสถานะ

สามข้อเพิ่มเติมเชิงข้อมูล

สามรายการที่เกี่ยวข้องถูกรายงานแต่ไม่ส่งผลต่อเกรดของคุณ:

วิธีแก้ไข (ฟรี ประมาณ 30 นาที)

ส่งสิ่งนี้ให้ฝ่าย IT — การแก้ไขฟรี วิธีที่ง่ายที่สุดที่เชื่อถือได้คือการสร้างการกำหนดค่าที่ดีที่รู้จักแทนที่จะเขียนด้วยมือ: วาง server type ของคุณใน Mozilla’s SSL Configuration Generator ที่ https://ssl-config.mozilla.org/ และเลือกโปรไฟล์ “Intermediate”

ตามแพลตฟอร์ม:

  1. Cloudflare หรือโฮสต์ที่จัดการ — มักหนึ่งหรือสองคลิก ใน Cloudflare: SSL/TLS → Edge Certificates → Minimum TLS Version → TLS 1.2
  2. Nginx ตั้งค่าเวอร์ชันสมัยใหม่เท่านั้นและรายการ cipher ที่แข็งแกร่ง:
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';
    ssl_prefer_server_ciphers on;
    
  3. Apache ปิดใช้งานเวอร์ชันเก่าและตรึง cipher ที่แข็งแกร่ง:
    SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
    SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384
    SSLHonorCipherOrder on
    
  4. Windows / IIS ใช้เครื่องมือ IIS Crypto ฟรีเพื่อปิดใช้งาน TLS 1.0 และ 1.1 ปิดใช้งาน cipher RC4/DES/3DES/NULL/EXPORT
  5. ยืนยัน จากนั้นตรวจสอบใหม่ที่นี่

ข้อผิดพลาดทั่วไป

สิ่งที่ควรจำ

เวอร์ชัน TLS และ cipher เป็นสองส่วนของการเข้ารหัสที่ย้ายเกรดของคุณจริงๆ และทั้งสองลงมาที่การปิดตัวเลือกที่ถูกทำลายต่อสาธารณะมาหลายปีแล้ว การแก้ไขฟรี มักเป็นบรรทัดการกำหนดค่าสมัยใหม่หนึ่งบรรทัดต่อเซิร์ฟเวอร์ และสำหรับผู้เข้าชมปกติไม่มีอะไรเปลี่ยนแปลงยกเว้นทำให้การเชื่อมต่อของพวกเขาปลอดภัยอย่างแท้จริง

คำถามที่พบบ่อย

ฉันไม่ใช่ช่างเทคนิค — ฉันจัดการเรื่องนี้เองได้ไหม?

คุณไม่จำเป็นต้องเข้าใจรายละเอียดทางเทคนิค บนโฮสติ้งสมัยใหม่ส่วนใหญ่นี่คือการตั้งค่าหนึ่งหรือสองอย่าง และฟรี ส่งส่วน 'วิธีแก้ไข' ด้านล่างให้ใครก็ตามที่รันเว็บไซต์หรือโฮสติ้งของคุณ — มักเป็นการเปลี่ยนแปลงห้าถึงสิบนาทีโดยไม่มีความแตกต่างที่มองเห็นได้กับผู้เข้าชมของคุณยกเว้นการเชื่อมต่อที่ปลอดภัยกว่า

การสลับไปยังการเข้ารหัสสมัยใหม่จะหยุดเบราว์เซอร์เก่าของลูกค้าทำงานไหม?

ในทางปฏิบัติไม่ เบราว์เซอร์และโทรศัพท์สมัยใหม่ทุกรุ่นจากทศวรรษที่ผ่านมาใช้การเข้ารหัสใหม่และ cipher ที่แข็งแกร่งโดยค่าเริ่มต้น สิ่งเดียวที่อาศัยเวอร์ชันเก่าหรือ cipher ที่อ่อนแอล้าสมัยและไม่ปลอดภัยด้วยตัวเอง ซึ่งเป็นเหตุผลว่าทำไมทุกเบราว์เซอร์หลักปฏิเสธพวกมันอยู่แล้ว สำหรับธุรกิจส่วนใหญ่การเปลี่ยนแปลงมองไม่เห็นสำหรับลูกค้า

เว็บไซต์ของฉันโหลดได้ดีพร้อมกุญแจ — ทำไมสิ่งนี้ยังตั้งค่าสถานะ?

กุญแจหมายความว่าการเชื่อมต่อที่ปลอดภัยมีอยู่ มันไม่บอกคุณว่าเวอร์ชัน TLS หรือ cipher ใดอยู่เบื้องหลัง เว็บไซต์ของคุณสามารถแสดงกุญแจปกติในขณะที่ยังคงยอมรับเวอร์ชันเก่าที่เสียหายหรือ cipher ที่ต้องห้ามควบคู่กับเวอร์ชันดี — และประตูหลังที่เปิดอยู่นั้นคือสิ่งที่การตรวจสอบเหล่านี้จับ การปิดมันไม่ได้ลบกุญแจ มันแค่ทำให้แน่ใจว่าอนุญาตเฉพาะตัวเลือกที่ปลอดภัย

ความแตกต่างระหว่างเวอร์ชัน TLS และ cipher คืออะไร?

คิดว่าเวอร์ชัน TLS เป็นรุ่นของกุญแจที่คุณใช้ และ cipher เป็นสูตรเฉพาะที่ใช้เข้ารหัสข้อมูล คุณสามารถมีกุญแจสมัยใหม่ (TLS 1.2 หรือ 1.3) แต่ยังคงมีสูตรเก่าที่แคร็กได้ (เช่น RC4 หรือ 3DES) เปิดอยู่ — หรือกลับกัน ทั้งสองต้องถูกต้อง ซึ่งเป็นเหตุที่เราตรวจสอบแยกกัน ข่าวดีคือการกำหนดค่าสมัยใหม่บรรทัดเดียวมักแก้ไขทั้งสองในครั้งเดียว

OCSP stapling และ TLS compression มีผลต่อเกรดของฉันไหม?

ไม่ สิ่งเหล่านั้น (พร้อมกับ secure renegotiation) เป็นข้อมูลเท่านั้น — เราแสดงรายงานเกี่ยวกับพวกมันเพราะสำคัญสำหรับประสิทธิภาพและการป้องกันเชิงลึก แต่ไม่ย้ายคะแนนของคุณ บนเว็บเซิร์ฟเวอร์สมัยใหม่และ CDN ใดๆ อย่าง Cloudflare พวกมันถูกจัดการอย่างถูกต้องโดยค่าเริ่มต้น

การแก้ไขนี้ฟรีจริงๆ ไหม?

ใช่ การปิดใช้งานเวอร์ชัน TLS เก่าและ cipher ที่อ่อนแอ และการเปิดใช้งานการป้องกันเหล่านี้ เป็นการเปลี่ยนแปลงการกำหนดค่าบนเซิร์ฟเวอร์หรือโฮสติ้งที่มีอยู่ของคุณ — ไม่มีอะไรต้องซื้อ