WEB服务器禁用SSL3.0/TLS1.0/TLS1.1协议让网站更安全

不长叶子的树

SSL/TLS 版本说明[td]

协议	发布时间	状态
SSL 1.0	未公布	未公布
SSL 2.0	1995 年	已于 2011 年弃用
SSL 3.0	1996 年	已于 2015 年弃用
TLS 1.0	1999 年	计划于 2020 年弃用
TLS 1.1	2006 年	计划于 2020 年弃用
TLS 1.2	2008 年
TLS 1.3	2018 年

Nginx服务器

1、通常Nginx的conf/nginx.conf配置如下

1. ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

复制代码

2、删除TLS1.0 TLSv1.1、增加TLS1.3

1. ssl_protocols TLSv1.2 TLSv1.3;

复制代码

3、重启Nginx使配置生效

1. nginx -s reload

复制代码

Apache服务器

1、通常Apache的配置如下（conf/extra/httpd-ssl.conf）

1. SSLProtocol -ALL +TLSv1 +TLSv1.1 +TLSv1.2

复制代码

1-1. 基于RedHat的发行版（CentOS，Fedora）配置文件/etc/httpd/conf/httpd.conf
1-2. 基于Debian的发行版（Ubuntu）配置文件/etc/apache2/sites-enabled/目录下

2、删除+TLSv1 +TLSv1.1、增加TLSv1.3

1. SSLProtocol -ALL +TLSv1.2 +TLSv1.3  

复制代码

3、重启Apache使配置生效
# 基于RedHat的发行版（CentOS，Fedora）

1. systemctl restart httpd

复制代码

# 基于Debian的发行版（Ubuntu）

1. service apache2 restart   

复制代码

IIS服务器

IIS服务器需使用官方工具（IISCrypto.exe ）进行修改


注：以上服务器增TLS1.3需要依赖openSSL的版本以及IIS和Java的版本的支持



使用第三方评测网站测试

一、https://myssl.com


二、https://ssllabs.com/ssltest



作者：风静花犹落

不长叶子的树

当今的互联网由 7个层面组成的：物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。应用层是最抽象的一层，是最接近终端用户的一层。SSL/TLS是被设计用来在一个计算机网络中提供通信安全的加密协议，介于传输层和应用层之间。它通过"握手协议"和"传输协议"来解决传输安全的问题。这个过程可以确保终端用户使用网络服务时，通信的安全性和保密性。目前，全球超过70%的互联网流量通过SSL/TLS进行保护。

SSL（Secure Sockets Layer安全套接层协议）是位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持的协议，它主要通过加密的方式保证传输数据的安全。

而TLS（Transport Layer Security 传输层安全）青出于蓝，更好地继承了SSL的优点，是SSL协议被IETF（互联网工程任务组）标准化后的协议。因此，当我们谈及TLS和SSL时，一个非常重要的概念就是SSL是旧版的协议，TLS是SSL的继承者，是更为安全的升级版SSL，是当代加密的标准协议。

TLS保护Web应用程序和Web浏览器之间通信的标准，通常位于可靠传输层上的客户端和应用程序之间。TLS使HTTP协议栈增加了安全性，为传输的数据加密，变成了目前大规模使用的HTTPS，所有使用 HTTPS 发送的数据都可通过传输层安全协议 (TLS) 得到保护。

TLS的发展历程

● 1994年，NetScape公司设计了SSL协议（Secure Sockets Layer）的1.0版，但是未发布。

● 1995年，NetScape公司发布SSL 2.0版，很快发现有严重漏洞。

● 1996年，SSL 3.0版问世，得到大规模应用。

● 1999年，SSL的升级版TLS 1.0版，TLS 1.0协议诞生

● 2006 年，TLS 1.1 协议正式面世

● 2008 年，TLS 1.2协议正式发布

● 2019年，IETF（互联网工程任务组）在8月正式发布了TLS 1.3，代表了整体安全上的大飞跃

● 2019年，支付卡产业数据安全标准（PCI DSS）强制取消了支付卡行业对TLS 1.0的支持，同时强烈建议取消对TLS 1.1的支持。

● 2020年，谷歌 Chrome、微软 IE、苹果Safari、火狐Firefox停止支持TLS 1.1及TLS 1.0版本安全协议， TLS 1.2成为默认的设置。

TLS 1.0和TLS 1.1协议为何逐渐被摒弃？

最主要的原因：极不安全。TLS协议目前有4个版本——TLS1.0、1.1、1.2和1.3(最新版本)。TLS 1.0和TLS 1.1这两个旧版本协议使用的是过时的算法和加密系统，比如SHA-1和MD5，这些算法和系统十分脆弱，存在重大安全漏洞，容易受到降级***的严重影响，例如POODLE和BEAST。

苹果、谷歌和微软都表示，这一决定产生的影响可能是微乎其微的，因为Safari、Chrome、Edge和Internet Explorer浏览器的连接只有很少一部分仍然在使用TLS 1.0或TLS 1.1。到目前为止，由于大多数网站都支持TLS 1.2或TLS 1.3版本协议，所以除了部分长久没有更新架构的行业服务器外，一般互联网用户的浏览不会遇到太大问题。

不长叶子的树

测了一下数码之家网站目前支持的协议是TLS1.1、TLS1.2、TLS1.3


https://www.ssleye.com/ssltool/cipher_suites.html