วิธีปิด SSL 3.0 บน Windows Server 2022 ป้องกันช่องโหว่ร้ายแรงและผ่านมาตรฐาน Security
SSL 3.0 เป็นโปรโตคอลเข้ารหัสข้อมูลรุ่นเก่าที่ถูกยกเลิกการใช้งานไปนานแล้ว เนื่องจากพบช่องโหว่ด้านความปลอดภัยหลายรายการ โดยเฉพาะช่องโหว่ชื่อดังอย่าง POODLE Attack ที่สามารถถูกใช้เพื่อถอดรหัสข้อมูลที่ควรจะถูกเข้ารหัสได้
แม้ Windows Server 2022 จะมีการปิด SSL 3.0 ไว้โดยค่าเริ่มต้นในหลายกรณี แต่ผู้ดูแลระบบยังควรตรวจสอบให้แน่ใจว่า SSL 3.0 ถูกปิดอย่างสมบูรณ์ โดยเฉพาะเครื่องที่มีการอัปเกรดมาจาก Windows Server รุ่นเก่า หรือมีการนำเข้า Registry และ Security Policy จากระบบเดิม
บทความนี้จะแนะนำวิธีตรวจสอบและปิด SSL 3.0 บน Windows Server 2022 แบบละเอียด พร้อมแนวทางตรวจสอบหลังดำเนินการเสร็จ
🔐 SSL 3.0 คืออะไร
SSL ย่อมาจาก
Secure Sockets Layer
SSL 3.0 เปิดตัวตั้งแต่ปี
1996
ปัจจุบันถูกแทนที่ด้วย
TLS 1.2
TLS 1.3
Microsoft, Google และองค์กรด้านความปลอดภัยทั่วโลกแนะนำให้เลิกใช้งาน SSL 3.0 อย่างเด็ดขาด
🚨 ช่องโหว่ของ SSL 3.0
⚠️ POODLE Attack
ช่องโหว่ที่โด่งดังที่สุด
ช่วยให้ผู้โจมตีถอดรหัสข้อมูลที่เข้ารหัสได้
⚠️ Downgrade Attack
บังคับให้ Client ใช้ SSL รุ่นเก่า
แทน TLS รุ่นใหม่
⚠️ Cipher Suite ล้าสมัย
อัลกอริทึมหลายตัวไม่ปลอดภัยแล้ว
⚠️ ไม่ผ่าน Security Compliance
มาตรฐานเช่น
PCI-DSS
ISO 27001
NIST
ไม่อนุญาตให้ใช้ SSL 3.0
🔍 วิธีตรวจสอบว่า SSL 3.0 เปิดอยู่หรือไม่
เปิด Registry
regedit
ไปที่
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Control
\SecurityProviders
\SCHANNEL
\Protocols
ตรวจสอบว่ามี
SSL 3.0
หรือไม่
ภายในจะพบ
Client
Server
🖥️ วิธีปิด SSL 3.0 ผ่าน Registry
เปิด
regedit
ไปที่
HKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet\Control
\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server
สร้าง DWORD
Enabled
ค่า
0
สร้าง DWORD
DisabledByDefault
ค่า
1
⚡ ปิด SSL 3.0 ผ่าน PowerShell
เปิด PowerShell แบบ Administrator
New-Item `
-Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server" `
-Force
สร้างค่า
New-ItemProperty `
-Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server" `
-Name Enabled `
-Value 0 `
-PropertyType DWORD `
-Force
สร้างค่า
New-ItemProperty `
-Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server" `
-Name DisabledByDefault `
-Value 1 `
-PropertyType DWORD `
-Force
🔒 ปิด SSL 3.0 ฝั่ง Client
ไปที่
SSL 3.0\Client
กำหนด
Enabled = 0
และ
DisabledByDefault = 1
เพื่อป้องกันเครื่อง Server เชื่อมต่อออกด้วย SSL 3.0
🔄 รีสตาร์ทเครื่อง
หลังแก้ไข Registry
ควรรีบูต
Restart-Computer
หรือ
shutdown /r /t 0
🌐 ตรวจสอบบน IIS
เปิด
IIS Manager
ตรวจสอบ HTTPS Binding
ยังทำงานปกติ
ที่
443
🔍 ตรวจสอบ Cipher Suites
ใช้ PowerShell
Get-TlsCipherSuite
ควรพบเฉพาะ
TLS 1.2
TLS 1.3
ไม่ควรมี Cipher ที่เกี่ยวข้องกับ SSL 3.0
🧪 ตรวจสอบผ่าน Event Viewer
เปิด
eventvwr.msc
ไปที่
Windows Logs
→ System
ค้นหา
Schannel
เพื่อตรวจสอบ Error หรือ Warning
❌ ปัญหาที่พบบ่อย
Application เก่าใช้งานไม่ได้
บางโปรแกรมรุ่นเก่า
รองรับเฉพาะ SSL 3.0
เครื่อง Scanner รุ่นเก่าเชื่อมต่อไม่ได้
อุปกรณ์ Legacy อาจต้องอัปเกรด Firmware
ระบบ ERP รุ่นเก่า
อาจต้องอัปเดต Software
Browser รุ่นเก่าใช้งานไม่ได้
เช่น
Internet Explorer รุ่นเก่า
🔐 SSL 3.0 กับ TLS ต่างกันอย่างไร
| รายการ | SSL 3.0 | TLS 1.2 / 1.3 |
|---|---|---|
| ความปลอดภัย | ต่ำ | สูง |
| รองรับมาตรฐานใหม่ | ไม่รองรับ | รองรับ |
| Compliance | ไม่ผ่าน | ผ่าน |
| การใช้งานปัจจุบัน | ไม่ควรใช้ | แนะนำ |
🛡️ Best Practices
① ปิด SSL 2.0 และ SSL 3.0
② เปิด TLS 1.2
③ เปิด TLS 1.3
④ ปิด TLS 1.0 และ TLS 1.1
⑤ ตรวจสอบ Security Compliance ทุกไตรมาส
⑥ อัปเดต Windows Server อย่างสม่ำเสมอ
ทีมงาน comsiam มักตรวจสอบ Protocol และ Cipher Suite ทุกครั้งหลังติดตั้ง IIS ใหม่ เพื่อให้แน่ใจว่าไม่มี SSL รุ่นเก่าหลงเหลืออยู่ในระบบ Production ซึ่งช่วยลดความเสี่ยงด้าน Security ได้อย่างมาก
🎯 สรุป
SSL 3.0 เป็นโปรโตคอลที่ล้าสมัยและมีช่องโหว่ด้านความปลอดภัยจำนวนมาก การปิด SSL 3.0 บน Windows Server 2022 จึงเป็นหนึ่งในขั้นตอนพื้นฐานของการ Hardening Server ที่ทุกองค์กรควรดำเนินการ
ผู้ดูแลระบบควรเปิดใช้งาน TLS 1.2 และ TLS 1.3 แทน พร้อมตรวจสอบ Registry, Cipher Suites และ Security Compliance อย่างสม่ำเสมอ เพื่อให้ IIS และ Web Server มีความปลอดภัยตามมาตรฐานสากล ซึ่งเป็นแนวทางที่ทีมงาน comsiam ใช้ในการดูแลระบบองค์กรและเว็บไซต์ที่ให้บริการจริงบน Internet