วิธีปิด TLS 1.1 บน Windows Server 2022 อย่างปลอดภัย ตามมาตรฐาน Security สมัยใหม่
TLS 1.1 เป็นโปรโตคอลความปลอดภัยที่ถูกพัฒนาขึ้นเพื่อแก้ไขข้อบกพร่องบางส่วนของ TLS 1.0 แต่ปัจจุบันก็ถูกจัดให้อยู่ในกลุ่มโปรโตคอลที่ล้าสมัยเช่นกัน องค์กรด้านความปลอดภัยทั่วโลก รวมถึง Microsoft, Google, Mozilla และ PCI Security Standards Council ต่างแนะนำให้ยกเลิกการใช้งาน TLS 1.1 และเปลี่ยนไปใช้ TLS 1.2 หรือ TLS 1.3 แทน
สำหรับ Windows Server 2022 แม้ว่าจะรองรับ TLS รุ่นใหม่อยู่แล้ว แต่ผู้ดูแลระบบควรตรวจสอบให้แน่ใจว่า TLS 1.1 ถูกปิดอย่างสมบูรณ์ เพื่อให้ผ่านมาตรฐาน Security Compliance และลดความเสี่ยงจากการโจมตีที่อาศัยโปรโตคอลรุ่นเก่า
บทความนี้จะสอนวิธีตรวจสอบ ปิดใช้งาน และทดสอบ TLS 1.1 บน Windows Server 2022 อย่างละเอียด
🔐 TLS 1.1 คืออะไร
TLS 1.1 เปิดตัวในปี
2006
ถูกออกแบบมาเพื่อปรับปรุงความปลอดภัยจาก
TLS 1.0
แต่ปัจจุบันถูกแทนที่โดย
TLS 1.2
TLS 1.3
🚨 ทำไมควรปิด TLS 1.1
แม้ TLS 1.1 จะปลอดภัยกว่า TLS 1.0
แต่ก็ยังมีข้อจำกัดหลายประการ
⚠️ ใช้ Cipher Suite รุ่นเก่า
⚠️ ไม่ผ่าน Compliance หลายมาตรฐาน
เช่น
PCI-DSS
NIST
ISO 27001
⚠️ Browser รุ่นใหม่เลิกสนับสนุน
Chrome
Firefox
Edge
Safari
⚠️ Cloud Provider หลายรายไม่รองรับ
เช่น
Microsoft Azure
AWS
Google Cloud
📋 ตรวจสอบว่า TLS 1.1 เปิดอยู่หรือไม่
เปิด
regedit
ไปที่
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Control
\SecurityProviders
\SCHANNEL
\Protocols
ตรวจสอบว่ามี
TLS 1.1
หรือไม่
ภายในจะพบ
Client
Server
🔍 ตรวจสอบผ่าน PowerShell
Get-TlsCipherSuite
หรือดู Registry
Get-ItemProperty `
"HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server"
🚀 วิธีปิด TLS 1.1 ผ่าน Registry
เปิด
regedit
ไปที่
HKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server
สร้าง DWORD
Enabled
ค่า
0
สร้าง DWORD
DisabledByDefault
ค่า
1
🔒 ปิด TLS 1.1 ฝั่ง Client
ไปที่
TLS 1.1\Client
กำหนดค่า
Enabled = 0
และ
DisabledByDefault = 1
เพื่อป้องกันการเชื่อมต่อออกด้วย TLS 1.1
⚡ ปิด TLS 1.1 ผ่าน PowerShell
สร้าง Key
New-Item `
-Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server" `
-Force
กำหนดค่า
New-ItemProperty `
-Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server" `
-Name Enabled `
-Value 0 `
-PropertyType DWORD `
-Force
กำหนดค่า
New-ItemProperty `
-Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server" `
-Name DisabledByDefault `
-Value 1 `
-PropertyType DWORD `
-Force
🔄 รีสตาร์ท Server
หลังจากแก้ไข Registry
Restart-Computer
หรือ
shutdown /r /t 0
🌐 ตรวจสอบ IIS หลังปิด TLS 1.1
เปิด
IIS Manager
ตรวจสอบเว็บไซต์
ว่ายังทำงานผ่าน HTTPS ได้ตามปกติ
ทดสอบ
https://yourdomain.com
🔍 ตรวจสอบ Event Viewer
เปิด
eventvwr.msc
ไปที่
Windows Logs
→ System
ค้นหา
Schannel
เพื่อตรวจสอบ Error ที่เกี่ยวข้อง
⚠️ ปัญหาที่อาจพบ
โปรแกรมรุ่นเก่าเชื่อมต่อไม่ได้
บางระบบยังรองรับเพียง TLS 1.1
อุปกรณ์ Network รุ่นเก่า
อาจต้องอัปเดต Firmware
ERP หรือ CRM รุ่นเก่า
อาจต้องอัปเดตเวอร์ชัน
Scanner และ Printer บางรุ่น
อาจไม่รองรับ TLS 1.2
📊 TLS 1.1 เทียบกับ TLS 1.2
| รายการ | TLS 1.1 | TLS 1.2 |
|---|---|---|
| Security | ปานกลาง | สูง |
| Compliance | ไม่ผ่าน | ผ่าน |
| Browser Support | ต่ำ | สูง |
| Cipher Suite | เก่า | ใหม่ |
| แนะนำใช้งาน | ไม่ควร | ควร |
🛡️ Security Baseline ที่แนะนำ
① ปิด SSL 2.0
② ปิด SSL 3.0
③ ปิด TLS 1.0
④ ปิด TLS 1.1
⑤ เปิด TLS 1.2
⑥ เปิด TLS 1.3
⑦ ใช้ SHA-256 Certificate
⑧ เปิด HSTS
⑨ ตรวจสอบ Security Compliance เป็นประจำ
ทีมงาน comsiam มักรวมการปิด TLS 1.1 เข้าไว้ใน Checklist การ Hardening Windows Server 2022 ทุกเครื่องก่อนนำขึ้น Production เพื่อให้มั่นใจว่าระบบผ่านมาตรฐานด้านความปลอดภัยขององค์กรและรองรับการตรวจสอบจาก Auditor ได้อย่างไม่มีปัญหา
🎯 สรุป
TLS 1.1 เป็นโปรโตคอลที่หมดความจำเป็นสำหรับ Windows Server 2022 ในปัจจุบัน การปิด TLS 1.1 ช่วยลดความเสี่ยงจากช่องโหว่ด้านความปลอดภัย เพิ่มคะแนน Security Compliance และทำให้ระบบรองรับมาตรฐานความปลอดภัยสมัยใหม่ได้อย่างสมบูรณ์
ผู้ดูแลระบบควรตรวจสอบ Application และอุปกรณ์ที่เกี่ยวข้องก่อนดำเนินการ พร้อมเปิดใช้งาน TLS 1.2 และ TLS 1.3 เพื่อรองรับการเชื่อมต่อที่ปลอดภัย ซึ่งเป็นแนวทางที่ทีมงาน comsiam ใช้ในการดูแล IIS, Web Server และ Infrastructure สำหรับองค์กรในปัจจุบัน