Hướng dẫn Disable TLS 1.1/1.0 trên dòng Switch Catalyst 9000.

Trong một số môi trường yêu cầu bảo mật cao việc vô hiệu hóa TLS 1.0 và 1.1 là một bước quan trọng để tăng cường bảo mật qua giao thức HTTPS của Switch Catalyst 9000 (chạy IOS-XE).

Mặc định switch hỗ trợ nhiều phiên bản TLS chạy đồng thời:

Các phiên bản TLS 1.1/1.0 cũ có một số điểm yếu và lỗ hổng bảo mật do đó phiên bản TLS 1.2 và cao hơn đã được ra đời để xử lý các vấn đề đó.

Để Disable TLS 1.1/1.0 chúng ta dùng câu lệnh dưới đây, chỉ cho phép chạy phiên bản TLS 1.2:

Switch(config)#ip http tls-version Tlsv1.2 (Áp dụng khi switch đóng vai trò server - tức là giao diện quản trị của switch.Ví dụ bạn truy cập qua HTTPS vào web GUI hoặc RESTCONF)

Switch(config)#ip http client tls-version Tlsv1.2 (Áp dụng khi switch đóng vài trò là http client - tức là khi switch đi kết nối ra ngoài (đến server khác) qua HTTPS. Ví dụ: switch có thể tải file cấu hình, liên lạc với Cisco DNA Center, hoặc gọi REST API HTTPS đến server khác)

Kết quả:

Chú ý: Lệnh có thể khác nhau ở giữa các version IOS hoặc các dòng switch.