วิธีปิด TLS 1.0 บน Windows Server 2022 ตามมาตรฐาน Security และ Compliance
TLS 1.0 เคยเป็นมาตรฐานความปลอดภัยที่ได้รับความนิยมอย่างมากในยุคแรกของ HTTPS แต่ปัจจุบันถือเป็นโปรโตคอลที่ล้าสมัยและมีความเสี่ยงด้านความปลอดภัยสูง หลายองค์กรทั่วโลก รวมถึง Microsoft, Google, PCI-DSS และ NIST ต่างแนะนำให้ยกเลิกการใช้งาน TLS 1.0 อย่างสมบูรณ์
แม้ Windows Server 2022 จะถูกออกแบบมาให้รองรับ TLS รุ่นใหม่เป็นหลัก แต่ในบางสภาพแวดล้อมองค์กร TLS 1.0 อาจยังเปิดใช้งานอยู่จากการย้ายระบบ การอัปเกรดจาก Server รุ่นเก่า หรือการตั้งค่า Registry ที่ตกค้าง
บทความนี้จะสอนวิธีตรวจสอบและปิด TLS 1.0 บน Windows Server 2022 อย่างถูกต้อง พร้อมแนวทางทดสอบหลังดำเนินการเสร็จ
🔐 TLS 1.0 คืออะไร
TLS ย่อมาจาก
Transport Layer Security
TLS 1.0 เปิดตัวครั้งแรกในปี
1999
ถูกพัฒนาขึ้นเพื่อแทนที่
SSL 3.0
แต่ปัจจุบันถูกแทนที่ด้วย
TLS 1.2
TLS 1.3
🚨 ทำไมต้องปิด TLS 1.0
TLS 1.0 มีข้อจำกัดหลายประการ
⚠️ รองรับ Cipher Suite รุ่นเก่า
หลายอัลกอริทึมไม่ปลอดภัยแล้ว
⚠️ เสี่ยงต่อการโจมตี
เช่น
BEAST Attack
⚠️ ไม่ผ่านมาตรฐาน Compliance
เช่น
PCI-DSS
ISO 27001
NIST
⚠️ Browser และ Cloud หลายแห่งเลิกสนับสนุน
Google และ Microsoft ไม่แนะนำให้ใช้งาน
📋 ตรวจสอบว่า TLS 1.0 เปิดอยู่หรือไม่
เปิด
regedit
ไปที่
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Control
\SecurityProviders
\SCHANNEL
\Protocols
มองหา
TLS 1.0
ภายในจะมี
Client
Server
🔍 ตรวจสอบผ่าน PowerShell
Get-TlsCipherSuite
ดู Cipher Suite ที่กำลังใช้งาน
อีกวิธีหนึ่ง
Get-ItemProperty `
"HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server"
🚀 วิธีปิด TLS 1.0 ผ่าน Registry
เปิด
regedit
ไปที่
HKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server
สร้าง DWORD
Enabled
ค่า
0
สร้าง DWORD
DisabledByDefault
ค่า
1
🔒 ปิด TLS 1.0 ฝั่ง Client
ไปที่
TLS 1.0\Client
กำหนดค่า
Enabled = 0
และ
DisabledByDefault = 1
เพื่อป้องกันการเชื่อมต่อออกด้วย TLS 1.0
⚡ ปิด TLS 1.0 ผ่าน PowerShell
สร้างค่า Registry
New-Item `
-Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server" `
-Force
กำหนดค่า
New-ItemProperty `
-Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server" `
-Name Enabled `
-Value 0 `
-PropertyType DWORD `
-Force
กำหนดค่า
New-ItemProperty `
-Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server" `
-Name DisabledByDefault `
-Value 1 `
-PropertyType DWORD `
-Force
🔄 รีสตาร์ท Windows Server 2022
หลังปรับ Registry
Restart-Computer
หรือ
shutdown /r /t 0
🌐 ตรวจสอบ IIS หลังปิด TLS 1.0
เปิด
IIS Manager
ตรวจสอบ HTTPS Binding
443
จากนั้นทดสอบเว็บไซต์
https://yourdomain.com
🔍 ตรวจสอบ Schannel Event Log
เปิด
eventvwr.msc
ไปที่
Windows Logs
→ System
ค้นหา
Schannel
เพื่อตรวจสอบ Error หลังปิด TLS 1.0
⚠️ ผลกระทบที่อาจเกิดขึ้น
Application รุ่นเก่า
อาจเชื่อมต่อไม่ได้
Scanner รุ่นเก่า
Firmware อาจไม่รองรับ
ERP รุ่นเก่า
ต้องอัปเดต Software
ระบบ Legacy
อาจต้องเปิด TLS 1.2 ก่อนปิด TLS 1.0
🔒 TLS 1.0 กับ TLS 1.2 ต่างกันอย่างไร
| คุณสมบัติ | TLS 1.0 | TLS 1.2 |
|---|---|---|
| ความปลอดภัย | ต่ำ | สูง |
| Compliance | ไม่ผ่าน | ผ่าน |
| รองรับ Browser ใหม่ | จำกัด | รองรับ |
| Cipher Suite | ล้าสมัย | ทันสมัย |
| ใช้งานปัจจุบัน | ไม่แนะนำ | แนะนำ |
🛡️ แนวทาง Security ที่แนะนำ
① ปิด SSL 2.0
② ปิด SSL 3.0
③ ปิด TLS 1.0
④ ปิด TLS 1.1
⑤ เปิด TLS 1.2
⑥ เปิด TLS 1.3
⑦ ใช้ SHA-256 Certificate
⑧ อัปเดต Windows Server สม่ำเสมอ
ทีมงาน comsiam มักกำหนดมาตรฐาน Security Baseline สำหรับ Windows Server 2022 โดยปิด SSL และ TLS รุ่นเก่าทั้งหมดตั้งแต่ก่อนนำระบบขึ้น Production เพื่อให้ผ่านข้อกำหนดด้าน Compliance และลดความเสี่ยงจากช่องโหว่ที่เป็นที่รู้จัก
🎯 สรุป
TLS 1.0 ถือเป็นโปรโตคอลที่ล้าสมัยและไม่เหมาะกับการใช้งานบน Windows Server 2022 ในปัจจุบัน การปิด TLS 1.0 จะช่วยลดความเสี่ยงจากการโจมตี เพิ่มคะแนนด้าน Security Compliance และทำให้ระบบรองรับมาตรฐานความปลอดภัยสมัยใหม่ได้ดียิ่งขึ้น
ผู้ดูแลระบบควรวางแผนตรวจสอบ Application ต่าง ๆ ก่อนดำเนินการ และควรเปิด TLS 1.2 หรือ TLS 1.3 ไว้เสมอเพื่อรองรับการเชื่อมต่อที่ปลอดภัย ซึ่งเป็นแนวทางที่ comsiam ใช้ในการดูแล IIS และ Web Infrastructure สำหรับองค์กรและเว็บไซต์ที่ให้บริการจริงบนอินเทอร์เน็ต