Defaults.Exposed › Báo cáo
TLS yếu và lỗi thời: Trang web của bạn có còn dùng mã hóa cũ không? (2026)
Đã xuất bản 2026-07-01
Số liệu tính đến 2026-06-29 · phương pháp luận v7. Dữ liệu tổng hợp trên toàn bộ khảo sát của 261 triệu tên miền được chấm điểm; các số liệu về phiên bản TLS là tỷ lệ tên miền có thể truy cập qua HTTPS. TLS là giao thức đằng sau biểu tượng ổ khóa; “yếu” nghĩa là các phiên bản hoặc bộ mã hóa cũ mà trình duyệt và bên kiểm toán không còn tin cậy. Xem cách chúng tôi chấm điểm.
Phần lớn web đã bỏ lại mã hóa cũ phía sau — nhưng một ổ khóa vững chắc không phải là điều đương nhiên, và mắt xích yếu ngày nay thường là chứng chỉ hơn là giao thức. Trong số các trang có thể truy cập qua HTTPS, 90.51% hiện thương lượng TLS 1.3 hiện đại và đại đa số phần còn lại dùng TLS 1.2. Vậy nên các phiên bản giao thức yếu là ngoại lệ, không phải quy tắc. Nơi mà “TLS yếu” vẫn gây hại thì tinh vi hơn: những máy chủ vẫn âm thầm chấp nhận phiên bản cũ, bộ mã hóa yếu và — phổ biến nhất — chứng chỉ đơn giản là bị hỏng. Đây là cách để biết bạn có phải là ngoại lệ hay không.
”TLS yếu” nghĩa là gì trong năm 2026
- Các phiên bản giao thức cũ. TLS 1.0 và 1.1 đã bị ngừng hỗ trợ vào năm 2021. Với tư cách là phiên bản được thương lượng, chúng nay hiếm gặp — nhưng một máy chủ có thể mặc định dùng TLS 1.3 mà vẫn chấp nhận hạ cấp xuống 1.0 nếu được yêu cầu, điều mà các đợt kiểm toán sẽ đánh dấu.
- Các bộ mã hóa yếu. Những thuật toán cũ (RC4, 3DES, mã hóa cấp xuất khẩu) và việc thiếu tính bí mật chuyển tiếp (forward secrecy) làm suy yếu kết nối ngay cả trên một phiên bản hiện đại.
- Một chứng chỉ bị hỏng. Đây là trường hợp phổ biến: độ mạnh của mã hóa và tính hợp lệ của chứng chỉ là hai chuyện tách biệt, và một quá trình bắt tay TLS 1.3 hợp lệ với một chứng chỉ không hợp lệ vẫn hiển thị cảnh báo cho khách truy cập. 8.21% tên miền có trình bày chứng chỉ lại cung cấp một chứng chỉ không hợp lệ — xem chứng chỉ của tôi đã hết hạn.
Thực trạng của web hiện nay
Phiên bản TLS tốt nhất được thương lượng, tỷ lệ trên các tên miền có thể truy cập qua HTTPS, tính đến 2026-06-29:
| Phiên bản TLS tốt nhất | Tỷ lệ |
|---|---|
| TLS 1.3 (hiện hành) | 90.51% |
| TLS 1.2 (mức sàn chấp nhận được) | 5.38% |
| TLS 1.1 / 1.0 (đã ngừng hỗ trợ) | 0.00% |
Xét về giao thức thì bức tranh khá lành mạnh. Khoảng cách hiện nằm ở nơi khác: 8.21% chứng chỉ không hợp lệ, và chỉ 78.02% trên tổng số tên miền cung cấp HTTPS — nghĩa là một phần năm số web thậm chí ngay từ đầu vẫn chưa hề được mã hóa.
Vì sao điều này vẫn quan trọng dù hầu hết trang web đều ổn
- Các mục yêu cầu tuân thủ. PCI-DSS, nhiều bảng câu hỏi bảo mật và các chuẩn cơ bản của chính phủ đều yêu cầu TLS 1.2 trở lên và các phiên bản cũ cùng bộ mã hóa yếu phải được vô hiệu hóa một cách chủ động — chứ không chỉ đơn thuần là không dùng-theo-mặc-định. Xem những gì bảng câu hỏi kiểm tra.
- Nguy cơ bị hạ cấp. Nếu một máy chủ vẫn chấp nhận phiên bản cũ, kẻ tấn công có thể tìm cách ép một kết nối yếu hơn mức mà cả hai bên mong muốn.
- Rủi ro âm thầm. TLS yếu-mà-vẫn-hiện-diện và một bộ mã hóa cũ vẫn được chấp nhận hiếm khi kích hoạt cảnh báo của trình duyệt, nên chúng tồn tại cho đến khi có ai đó chủ động kiểm tra.
Cách đảm bảo TLS của bạn đủ mạnh
- Đặt phiên bản tối thiểu là TLS 1.2 và bật TLS 1.3 tại máy chủ hoặc CDN — đồng thời xác nhận các phiên bản cũ bị từ chối, chứ không chỉ là không được dùng. Xem sửa TLS.
- Hiện đại hóa bộ mã hóa — ưu tiên các bộ có tính bí mật chuyển tiếp; loại bỏ RC4, 3DES và các bộ mã hóa cấp xuất khẩu.
- Giữ chứng chỉ luôn hợp lệ — đây là điểm hỏng phổ biến hơn. Xem sửa lỗi chứng chỉ.
- Ép dùng HTTPS và thêm HSTS để việc hạ cấp xuống HTTP thuần bị từ chối.
- Kiểm tra lại từ bên ngoài — TLS yếu là vô hình trong trình duyệt, nên hãy xác nhận bằng một lần kiểm tra từ bên ngoài.
Câu hỏi thường gặp
TLS của tôi có lỗi thời không? Có lẽ không phải về phiên bản — 90.51% trang HTTPS dùng TLS 1.3. Điểm yếu có khả năng hơn là vấn đề về chứng chỉ (8.21% chứng chỉ không hợp lệ) hoặc một máy chủ vẫn chấp nhận phiên bản cũ ẩn sau một mặc định hiện đại.
TLS 1.2 có còn ổn không? Có — TLS 1.2 là mức sàn chấp nhận được và TLS 1.3 được ưu tiên hơn. Điều đáng lo là bất kỳ thứ gì thấp hơn 1.2 vẫn còn được chấp nhận.
Vô hiệu hóa TLS cũ có làm hỏng trải nghiệm của khách truy cập cũ không? Rất ít máy khách hiện đại cần đến TLS 1.0/1.1; chi phí về khả năng tương thích nay là không đáng kể so với lợi ích về tuân thủ và bảo mật.
TLS yếu có hiển thị cảnh báo trên trình duyệt không? Một giao thức hoặc bộ mã hóa yếu thường thì không — nó xuất hiện trong các đợt kiểm toán và quét. Ngược lại, một chứng chỉ bị hỏng thì có cảnh báo trực tiếp cho khách truy cập.
Việc khắc phục có miễn phí không? Có — đó là một thay đổi cấu hình máy chủ hoặc CDN, không phải là một khoản mua sắm.
Kiểm tra cấu hình TLS của bạn miễn phí
Xem các phiên bản TLS, độ mạnh bộ mã hóa và trạng thái chứng chỉ của bạn — một cách riêng tư, và chỉ dành cho chủ sở hữu.
Kiểm tra tên miền của bạn → · Sửa TLS → · Vì sao trang web của tôi báo “Không an toàn”? → · Cách chúng tôi chấm điểm → · Chỉ dữ liệu tổng hợp. Dữ liệu được lưu trữ và xử lý tại EU.