Cập nhật Cipher Suite

Để cập nhật bộ Cipher, bấm Windows + R để mở cửa sổ “Run”, gõ “gpedit.msc” rồi bấm OK.

s

Ở phía tay trái, mở Computer Configuration, Administrative Templates, Network, rồi bấm vào SSL Configuration Settings.

Ở phía tay phải, nháy đúp vào SSL Cipher Suite Order.

d

Mặc định, lựa chọn “Not Configured” được đánh dấu. Bấm vào “Enabled” để sửa bộ Cipher của server.

f

Trường SSL Cipher Suites sẽ được điền bằng ký tự khi chọn vào. Nếu muốn xem các bộ Cipher đang được sử dụng, copy nội dung có trong trường đó và paste vào Notepad. Bạn có thể xem danh sách đó, thêm bớt các cipher cần thiết, tuy nhiên danh sách này không thể vượt quá 1023 ký tự. Việc này khá phiền toái vì có nhiều bộ cipher có tên rất dài như “TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384”, vì vậy hãy chọn cẩn thận. Chúng tôi đề xuất nên sử dụng danh sách sau:

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384,
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256,
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,
TLS_DHE_DSS_WITH_AES_256_CBC_SHA,
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,
TLS_DHE_DSS_WITH_AES_128_CBC_SHA,
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA,
TLS_RSA_WITH_AES_256_CBC_SHA256,
TLS_RSA_WITH_AES_256_CBC_SHA,
TLS_RSA_WITH_AES_128_CBC_SHA256,
TLS_RSA_WITH_AES_128_CBC_SHA,
TLS_RSA_WITH_3DES_EDE_CBC_SHA,
SSL_CK_DES_192_EDE3_CBC_WITH_MD5

 

Sau khi xác định xong danh sách bộ Cipher, bạn cần chuyển nó về đúng định dạng phù hợp: mỗi bộ Cipher cách nhau bằng dấu phẩy, và được viết trên cùng 1 dòng. Sau khi chỉnh sửa xong, copy toàn bộ danh sách đó và paste vào trường SSL Cipher Suites và bấm OK. Reboot lại server.

Để kiểm tra các bộ Cipher sử dụng đạt các yêu cầu bảo mật, bạn có thể kiểm tra qua SSL Labs. Nếu mọi thứ hoạt động chính xác, bạn sẽ đạt điểm A.

h