Defaults.Exposed

Defaults.Exposed › Báo cáo

TLS yếu và lỗi thời: Trang web của bạn có còn dùng mã hóa cũ không? (2026)

Đã xuất bản 2026-07-01

Số liệu tính đến 2026-06-29 · phương pháp luận v7. Dữ liệu tổng hợp trên toàn bộ khảo sát của 261 triệu tên miền được chấm điểm; các số liệu về phiên bản TLS là tỷ lệ tên miền có thể truy cập qua HTTPS. TLS là giao thức đằng sau biểu tượng ổ khóa; “yếu” nghĩa là các phiên bản hoặc bộ mã hóa cũ mà trình duyệt và bên kiểm toán không còn tin cậy. Xem cách chúng tôi chấm điểm.

Phần lớn web đã bỏ lại mã hóa cũ phía sau — nhưng một ổ khóa vững chắc không phải là điều đương nhiên, và mắt xích yếu ngày nay thường là chứng chỉ hơn là giao thức. Trong số các trang có thể truy cập qua HTTPS, 90.51% hiện thương lượng TLS 1.3 hiện đại và đại đa số phần còn lại dùng TLS 1.2. Vậy nên các phiên bản giao thức yếu là ngoại lệ, không phải quy tắc. Nơi mà “TLS yếu” vẫn gây hại thì tinh vi hơn: những máy chủ vẫn âm thầm chấp nhận phiên bản cũ, bộ mã hóa yếu và — phổ biến nhất — chứng chỉ đơn giản là bị hỏng. Đây là cách để biết bạn có phải là ngoại lệ hay không.

”TLS yếu” nghĩa là gì trong năm 2026

Thực trạng của web hiện nay

Phiên bản TLS tốt nhất được thương lượng, tỷ lệ trên các tên miền có thể truy cập qua HTTPS, tính đến 2026-06-29:

Phiên bản TLS tốt nhấtTỷ lệ
TLS 1.3 (hiện hành)90.51%
TLS 1.2 (mức sàn chấp nhận được)5.38%
TLS 1.1 / 1.0 (đã ngừng hỗ trợ)0.00%

Xét về giao thức thì bức tranh khá lành mạnh. Khoảng cách hiện nằm ở nơi khác: 8.21% chứng chỉ không hợp lệ, và chỉ 78.02% trên tổng số tên miền cung cấp HTTPS — nghĩa là một phần năm số web thậm chí ngay từ đầu vẫn chưa hề được mã hóa.

Vì sao điều này vẫn quan trọng dù hầu hết trang web đều ổn

Cách đảm bảo TLS của bạn đủ mạnh

  1. Đặt phiên bản tối thiểu là TLS 1.2 và bật TLS 1.3 tại máy chủ hoặc CDN — đồng thời xác nhận các phiên bản cũ bị từ chối, chứ không chỉ là không được dùng. Xem sửa TLS.
  2. Hiện đại hóa bộ mã hóa — ưu tiên các bộ có tính bí mật chuyển tiếp; loại bỏ RC4, 3DES và các bộ mã hóa cấp xuất khẩu.
  3. Giữ chứng chỉ luôn hợp lệ — đây là điểm hỏng phổ biến hơn. Xem sửa lỗi chứng chỉ.
  4. Ép dùng HTTPS và thêm HSTS để việc hạ cấp xuống HTTP thuần bị từ chối.
  5. Kiểm tra lại từ bên ngoài — TLS yếu là vô hình trong trình duyệt, nên hãy xác nhận bằng một lần kiểm tra từ bên ngoài.

Câu hỏi thường gặp

TLS của tôi có lỗi thời không? Có lẽ không phải về phiên bản — 90.51% trang HTTPS dùng TLS 1.3. Điểm yếu có khả năng hơn là vấn đề về chứng chỉ (8.21% chứng chỉ không hợp lệ) hoặc một máy chủ vẫn chấp nhận phiên bản cũ ẩn sau một mặc định hiện đại.

TLS 1.2 có còn ổn không? Có — TLS 1.2 là mức sàn chấp nhận được và TLS 1.3 được ưu tiên hơn. Điều đáng lo là bất kỳ thứ gì thấp hơn 1.2 vẫn còn được chấp nhận.

Vô hiệu hóa TLS cũ có làm hỏng trải nghiệm của khách truy cập cũ không? Rất ít máy khách hiện đại cần đến TLS 1.0/1.1; chi phí về khả năng tương thích nay là không đáng kể so với lợi ích về tuân thủ và bảo mật.

TLS yếu có hiển thị cảnh báo trên trình duyệt không? Một giao thức hoặc bộ mã hóa yếu thường thì không — nó xuất hiện trong các đợt kiểm toán và quét. Ngược lại, một chứng chỉ bị hỏng thì có cảnh báo trực tiếp cho khách truy cập.

Việc khắc phục có miễn phí không? Có — đó là một thay đổi cấu hình máy chủ hoặc CDN, không phải là một khoản mua sắm.

Kiểm tra cấu hình TLS của bạn miễn phí

Xem các phiên bản TLS, độ mạnh bộ mã hóa và trạng thái chứng chỉ của bạn — một cách riêng tư, và chỉ dành cho chủ sở hữu.

Kiểm tra tên miền của bạn → · Sửa TLS → · Vì sao trang web của tôi báo “Không an toàn”? → · Cách chúng tôi chấm điểm → · Chỉ dữ liệu tổng hợp. Dữ liệu được lưu trữ và xử lý tại EU.