別急著關掉 TLS 1.2:升級 TLS 1.3 前該懂的 Windows 相容性真相
資安弱掃跑完,報告上一條紅字:偵測到過時的 SSL/TLS 協定。很多人看到就把 TLS 1.0、1.1、1.2 全關掉,只留 TLS 1.3——想說版本越新越安全。 問題就出在這:弱掃從來沒叫你關 TLS 1.2。把 1.2 一起關掉、只留 1.3,在 Windows 伺服器環境幾乎一定出事——網站連不上、SQL Server 連不上、舊的內部系統全掛。下面拆解為什麼,以及正確的做法。 先搞清楚:弱掃到底要你關什麼弱掃報告寫「過時的 SSL/TLS 協定」,指的幾乎都是 SSL 2.0/3.0 和 TLS 1.0、1.1。這幾個有已知的結構性弱點(POODLE、BEAST 那一掛),該關。 TLS 1.2 不在這個清單裡。它到現在仍然安全、主流、被廣泛支援。常見的合規型弱掃通常不會要你停用 TLS 1.2。 法規這邊也說得很清楚。PCI DSS 4.0 的要求是「TLS 1.2 或更高」,把 SSL 和 early TLS(1.0/1.1)列為不合規。它從來沒要求你用 TLS 1.3——TLS 1.2 完全合規。所以「只留 TLS 1.3」這種建議,不是弱掃的要求,是誤讀。 為...
