前言

最近在處理資安弱點掃描時，常常收到建議「關閉 TLS 1.1 和 TLS 1.2，只開啟 TLS 1.3」的要求。這個改動看似簡單，但實際執行時可能會遇到很多意想不到的問題。本文將分享實戰經驗，幫助大家順利完成升級。

為什麼要升級到 TLS 1.3？

資安考量

• TLS 1.3 提供更強的加密演算法
• 移除了舊版本中不安全的加密方式
• 改善了握手過程的安全性

法規要求

• 新版 PCI DSS 要求使用 TLS 1.3
• 資安弱點掃描工具會標記較舊版本為風險
• 符合最新的安全標準

可能遇到的問題

1. 遠端桌面連線 (RDP) 問題

• Windows Server 2016 之前的版本可能無法連線
• 需要安裝更新才能支援 TLS 1.3
• 舊版 RDP 客戶端可能完全無法使用

2. SQL Server 連線問題

• SQL Server 2016 之前的版本預設不支援 TLS 1.3
• 連線字串可能需要調整
• 某些舊版管理工具可能無法連線

3. 應用程式相容性

• 部分舊版 .NET Framework 應用程式可能無法運作
• Java 8 之前的版本不支援 TLS 1.3
• 需要評估所有內部應用程式的相容性

解決方案

分階段升級策略

1. 評估階段

   1 2	# 檢查目前 TLS 設定 reg query "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols" /s

2. 測試階段

   • 在測試環境中先行驗證
   • 準備回滾方案
   • 記錄所有可能受影響的系統

3. 執行階段

   • 先同時開啟 TLS 1.2 和 1.3
   • 逐步停用 TLS 1.1
   • 最後評估是否能完全停用 TLS 1.2

SQL Server 連線問題解決

1. 更新 SQL Server

   1 2	-- 檢查 SQL Server 版本 SELECT @@VERSION

2. 調整連線字串

   1 2	// 加入 TLS 版本設定 "Server=server_name;Database=database_name;TrustServerCertificate=True;"

遠端連線問題解決

1. 更新 RDP 客戶端
2. 確認伺服器支援

   1 2	# 檢查 RDP 加密層級 reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer

建議執行步驟

1. 完整盤點

   • 列出所有需要網路連線的應用程式
   • 確認各系統版本與 TLS 支援情況
   • 評估升級影響範圍

2. 建立測試環境

   • 複製實際環境進行測試
   • 準備各種應用程式的測試案例
   • 驗證所有關鍵功能

3. 制定應變計畫

   • 準備回滾程序
   • 建立問題排解指南
   • 設定監控機制

4. 分批執行

   • 優先處理風險較低的系統
   • 保留關鍵系統到最後
   • 每次變更後充分測試

結論

升級到 TLS 1.3 是必然趨勢，但過程中要特別注意系統相容性。建議採取循序漸進的方式，確保服務不中斷的情況下完成升級。記得保留足夠的測試時間，並準備完善的應變措施。