Windows XP/2003 Server 啟用TLS 1.1及TLS 1.2

隨著資安要求提升,各大網站、銀行等都紛紛要求至少TLS 1.1以上才可以連線,但如果還有Windows XP或Windows 2003 Server等老舊系統在運作,該怎麼辦呢?當然更換升級作業系統是最好辦法,但有時礙於實際狀況的限制,沒辦法立即升級,小編今天就要來教大家如何在Windows XP或Windows 2003 Server系統啟動TLS 1.2。

01、修改regedit
將下列文字從貼進windows的記事本,並另存成副檔名為.reg的檔案
檔案內容:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\WPA\PosReady]
"Installed"=dword:00000001

02、執行01步驟所建立的reg檔案並重新開機套用設定

03、安裝微軟KB4019276修補
檔案下載來源(下載時要注意語系版本要與作業系統吻合):
https://www.catalog.update.microsoft.com/search.aspx?q=kb4019276

備用下載點:
windowsxp-kb4019276-x86-embedded-cht

04、建立起動TLS 1.1 and TLS 1.2的檔案
將下列藍色文字從貼近windows的記事本,並另存成副檔名為.reg的檔案。
檔案內容:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
"DisabledByDefault"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
"DisabledByDefault"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000


05、執行04步驟所建立的reg檔案並重新開機套用設定

06、安裝Google Chrome瀏覽器(XP的IE8無法支援TLS 1.1),並修改啟動參數
在桌面的Google Chrome捷徑的後放加上「–ssl-version-min=tls1.1」該設定,定義啟動TLS的最低版本為TLS 1.1。

07、驗證是否成功啟動TLS 1.1 及TLS 1.2
透過下方網頁驗證:
https://browserleaks.com/ssl