隨著資安要求提升,各大網站、銀行等都紛紛要求至少TLS 1.1以上才可以連線,但如果還有Windows XP或Windows 2003 Server等老舊系統在運作,該怎麼辦呢?當然更換升級作業系統是最好辦法,但有時礙於實際狀況的限制,沒辦法立即升級,小編今天就要來教大家如何在Windows XP或Windows 2003 Server系統啟動TLS 1.2。
01、修改regedit
將下列文字從貼進windows的記事本,並另存成副檔名為.reg的檔案
檔案內容:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\WPA\PosReady] "Installed"=dword:00000001
02、執行01步驟所建立的reg檔案並重新開機套用設定
03、安裝微軟KB4019276修補
檔案下載來源(下載時要注意語系版本要與作業系統吻合):
https://www.catalog.update.microsoft.com/search.aspx?q=kb4019276
備用下載點:
windowsxp-kb4019276-x86-embedded-cht
04、建立起動TLS 1.1 and TLS 1.2的檔案
將下列藍色文字從貼近windows的記事本,並另存成副檔名為.reg的檔案。
檔案內容:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client] "DisabledByDefault"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server] "DisabledByDefault"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000
05、執行04步驟所建立的reg檔案並重新開機套用設定
06、安裝Google Chrome瀏覽器(XP的IE8無法支援TLS 1.1),並修改啟動參數
在桌面的Google Chrome捷徑的後放加上「–ssl-version-min=tls1.1」該設定,定義啟動TLS的最低版本為TLS 1.1。
07、驗證是否成功啟動TLS 1.1 及TLS 1.2
透過下方網頁驗證:
https://browserleaks.com/ssl