旧版本SSL/TLS将被弃用,如何应对?

最新推荐文章于 2024-07-26 18:20:43 发布
最新推荐文章于 2024-07-26 18:20:43 发布
阅读量1.3w 收藏 9
点赞数 3
分类专栏: Apache Linux PHP 命令行 文章标签: SSL TLS HTTPS openssl linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq285744011/article/details/77074702
版权
PHP 同时被 3 个专栏收录
98 篇文章 2 订阅
订阅专栏
Linux
57 篇文章 0 订阅
订阅专栏
Apache
19 篇文章 0 订阅
订阅专栏


旧版本SSL/TLS将被弃用,如何应对?


前言:

很长时间,公司都是使用authorize.net在线支付方案,最近收到通知,说'TLS Disablement Date Extended',明年2018年将会不支持旧版本TLS v1.1 v1.0和更旧的SSL。Sorry,什么东东?

本文适用环境:Linux VPS,PHP 5,Apache、Mysql、HTTPS证书


解决思路:

1)学习什么是SSL/TLS?有什么版本?

2)和自己的Linux服务器有什么关系?Apache?PHP?HTTPS?SSL证书?

3)1.0~1.1被弃用,那我们在用的版本是多少?

4)如果使用的TLS版本刚好被弃用,怎么升级?


解决步骤:

(超精简,文章后面有详细的介绍与链接)

1)学习什么是SSL/TLS?有什么版本?

HTTP是不加密的明文web传输协议,危险;

SSL协议是HTTP的补充,使用加密等方法让HTTP更安全,版本为1、2、3;

TLS是基于SSL v3的升级版协议,目前版本发展为v1.0 v1.1 v1.2;

HTTPS协议=HTTP+SSL/TLS,简单来说;

TLS=SSL升级版



2)和自己的Linux服务器有什么关系?Apache?PHP?HTTPS?SSL证书?
不同版本Linux支持的SSL、TLS不一样,

Apache HTTP 服务器模块 mod_ssl 提供了与 OpenSSL 的接口;

PHP借助apache能使用SSL、TLS,特别是cURL时;

SSL证书是CA机构核发的,是apache服务器为某域名启用HTTPS连接的凭证,浏览器会检查对应的SSL证书;

总结就是,SSL/TLS是HTTPS连接的基础,

如果你网站没https,那就不要紧了。



3)1.0~1.1被弃用,那我们在用的版本是多少?

查看系统支持的SSL/TLS版本:

openssl ciphers -v | awk '{print $2}' | sort | uniq


查看网站被访问时使用的SSL/TLS版本:

使用Chrome浏览器,打开你的https网站任意页面,在空白处右键,检查,在弹窗顶端找到'Security'选项卡,打开,找到右边'Secure Connection'的介绍,寻找例如'(TLS 1.2)'等字眼,即可。有时是TLS 1.2,TLS 1.1,SSL 3等等。


查看网站主动访问其他服务器时所用的SSL/TLS版本:

在https网站下新建一个php文件,输入以下内容,运行即可看到版本:
<?php 
$ch = curl_init('https://www.howsmyssl.com/a/check');
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
$data = curl_exec($ch);
curl_close($ch);

$json = json_decode($data);
echo $json->tls_version;
echo '<br><br>';
echo $data;
die;


怎么判断我们是否解决了问题: 

系统支持新的TLS版本,而且,我们网站对外正在使用这新版,还有就是网站主动访问其他服务器时用的TLS版本是不会被弃用的,

那就没问题~



4)如果使用的TLS版本刚好被弃用,怎么升级?

升级服务器OS,

实在不可以升级的话,请自行搜索 如何升级。

(我的服务器已经支持TLS v1.2,不用升,所以这环节没有测试没有实践,不敢打包票)




----------- 搞定! ----------


延伸学习:

有什么命令能明确知道某版本的SSL或者TLS真的能用?

openssl s_client -connect zhihu.com:443 -tls1
openssl s_client -connect zhihu.com:443 -tls1_1
openssl s_client -connect zhihu.com:443 -tls1_2
openssl s_client -connect zhihu.com:443 -ssl1
openssl s_client -connect zhihu.com:443 -ssl2
openssl s_client -connect zhihu.com:443 -ssl3
以上,能连接'Connected...'的就是能用,报错的说未知命令的就是不能用。


研究HTTPS
http://blog.csdn.net/wm_1991/article/details/51954571
1994年,NetScape公司设计了SSL协议(Secure Sockets Layer)的1.0版,但是未发布。
1995年,NetScape公司发布SSL 2.0版,很快发现有严重漏洞。
1996年,SSL 3.0版问世,得到大规模应用。
1999年,互联网标准化组织ISOC接替NetScape公司,发布了SSL的升级版TLS 1.0版。
2006年和2008年,TLS进行了两次升级,分别为TLS 1.1版和TLS 1.2版。最新的变动是2011年TLS 1.2的修订版。
目前,应用最广泛的是TLS 1.0,接下来是SSL 3.0。但是,主流浏览器都已经实现了TLS 1.2的支持。
TLS 1.0通常被标示为SSL 3.1,TLS 1.1为SSL 3.2,TLS 1.2为SSL 3.3。


我这次收到的通知邮件,旧版本SSL/TLS还勉强能再用到2018年头:
From: Authorize.Net<no-reply@mail.authorize.net>
Date: Wed, Aug 2, 2017 at 3:48 PM
Subject: TLS Disablement Date Extended

TLS Disablement Date Extended
Dear Authorize.NetDeveloper:
... 
updating your payment systems to disable TLS 1.0 and 1.1, Authorize.Nethas decided to extend our deadline from September 18, 2017. The new date for when we will no longer allow TLS 1.0 and 1.1 is February 28, 2018. 
...

他们官网的说明:
Authorize.Net Support for SSL/TLS FAQ
https://support.authorize.net/authkb/index?page=content&id=A1623&actp=search&viewlocale=en_US&searchid=1496161288143

PCI安全协会的全球通告:
INFORMATION SUPPLEMENT: Migrating from SSL and Early TLS
https://www.pcisecuritystandards.org/documents/Migrating_from_SSL_Early_TLS_Information%20Supplement_v1.pdf



HTTP,SSL/TLS和HTTPS协议的区别与联系
https://zhidao.baidu.com/question/1434192761402030819.html

SSL与TLS的区别以及介绍
http://kb.cnblogs.com/page/197396/

SSL证书产品简介
https://www.wosign.com/products/ssl.htm


如何知道服务器所支持的所有SSL/TLS版本?
How to find out the supported SSL/TLS versions for specific OpenSSL built
https://stackoverflow.com/questions/27430158/
openssl ciphers -v | awk '{print $2}' | sort | uniq


如何判断浏览器是否正在使用SSL/TLS连接?
How to determine if a browser is using an SSL or TLS connection?
https://security.stackexchange.com/questions/19096/how-to-determine-if-a-browser-is-using-an-ssl-or-tls-connection/91948#91948


(接上)一个简单好用的检测SSL/TLS版本的免费API,PHP的cURL可用
https://www.howsmyssl.com/s/api.html


如何知道服务器所支持的所有SSL/TLS版本?(2)
How Can I Determine What SSL/TLS Versions Are Available for HTTPS Communication?
http://thenubbyadmin.com/2014/02/17/how-can-i-determine-what-ssltls-versions-are-available-for-https-communication/

apache https配置步骤
http://www.cnblogs.com/best-jobs/p/3298258.html

curl_setopt官方解释
http://php.net/manual/en/function.curl-setopt.php

curl 选项属性配置说明
http://blog.csdn.net/hjq198988/article/details/46239051


php - Verify if curl is using TLS - Stack Overflow
https://stackoverflow.com/questions/27904854/verify-if-curl-is-using-tls

<?php 
$ch = curl_init('https://www.howsmyssl.com/a/check');
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
$data = curl_exec($ch);
curl_close($ch);


$json = json_decode($data);
echo $json->tls_version;
echo '<br><br>';
echo $data;
die;





Rudon滨海渔村
关注
专栏目录
Windows系统SSL/TLS安全协议介绍
dvlinker的技术专栏
05-02 7240
Windows系统SSL/TLS安全协议介绍
《网络安全自学教程》- SSL/TLS协议详解
wangyuxiang946的博客
04-16 1万+
讲解SSL协议执行原理、报文格式,使wireshark抓包分析ssl协议工作过程。
服务器支持低版本SSL/TLS协议 支持SSL弱密码套件
weixin_45596492的博客
03-24 7116
服务器支持低版本SSL/TLS协议 漏洞描述 在测试中发现服务器支持低版本的 TLS1.0和 TLS1.1协议,这些协议存在公开的漏洞建议,应该禁止使用。 漏洞影响 TLS 1.0和 TLS 1.1可能会受到FREAK、POODLE、BEAST和CRIME等漏洞的影响。 关于漏洞的详情可以查看: https://www.acunetix.com/blog/articles/tls-vulnerabilities-attacks-final-part/ 修复建议 可参考如下链接进行配置:
TLS升级到1.3
最新发布
riverqiantang的专栏
07-26 833
如果 nginx 在编译过程中遇到 undefined reference to `pthread_atfork' 错误,需要在运行 ./configure 命令之后,修改 obj/Makefile 文件,将第一个 -lpthread 删除,并将第二个 -lpthread 移动到该行最后。###可参考https://www.cnblogs.com/visionsl/p/8184647.html。验证 openssl 版本 及是否支持TLS1.3 版本。检查是否支持 TLS1.3。# 增加 TLSv1.3。
TLS协议版本低
夜行者的博客
02-18 6244
检测方法: 使用nmap进行扫描,命令如下:nmap-sV--script ssl-enum-ciphers -p 443 x.x.x.x,若出现以下所示图片,则存在漏洞 解决方法(强制使用TLS1.2协议): 1.weblogic在weblogic的setDomainEnv.sh中增加限制参数-Dweblogic.security.SSL.minimumProtocolVersion=TLSv1.2 2.Nginx在nginx配置文件中增加配置:ssl_protoc...
放弃使用sslv2,sslv3协议,请使用tlsv1.2,tlsv1.1版本
学海无涯
03-07 1万+
推荐一个网站测试自己网站的https的安全性: https://myssl.com。比如测试下面的网站如下: 评级只有5,myssl给的理由为:服务器易受到POODLE漏洞攻击,降级为5。POODLE漏洞为使用了不安全的sslv2和sslv3协议导致, 将协议去掉了,评级还是为5。后面测试原来是由于该服务器的其他站点仍支持sslv2,sslv3导致。于是去掉sslv2和sslv3协议的支持后: ...
windows禁用不安全tls协议及验证举措
天道酬勤
06-15 2263
TLS禁用不安全协议、SSL 3.0 SSL 2.0 启用TLS 1.2
SSL/TLS - 什么是SSL
u011225581的专栏
09-14 491
What is SSL? | SSL definition 什么是 SSL? | SSL 定义 Secure Sockets Layer (SSL) is a security protocol that provides privacy, authentication, and integrity to Internet communications. SSL eventually evolved into Transport Layer Security (TLS). 安全套接字层 (Secure
OSR推出在线SSL/TLS安全测试工具
niuchuangxinan的博客
02-07 1万+
公测阶段免费提供技术支持,欢迎使用。
浅谈SSL/TLS协议及其实现
JeanneYan的博客
07-17 2215
开篇感谢大神们指引方向,参考资料: https://www.paolotagliaferri.com/an-overview-of-ssl-tls-secure-sockets-layer-transport-layer-security-tls-1-2/ https://www.paolotagliaferri.com/overview-of-transport-layer-security-protocol-tls-1-3/ https://tls13.ulfheim.net/ 《图解密码技术》
nginx 关闭低版本tls协议
yscisco的博客
11-20 4312
昨天一早,客户联系到我,说他们源站https支持tlsv1.0 tlsv1.1 tlsv1.2,因为安全扫描的时候显示tlsv1.0和tlsv1.1存在安全风险,所以源站将tlsv1.0和tlsv1.1关闭了,但再后续扫描发现还是存在tlsv1.0开启的问题,所以联系到我问是不是cdn侧的问题。作为cdn厂商,为了兼容老的浏览器,cdn侧默认是开启了tlsv1.0等低版本的支持。确认问题后,客户要求关闭tlsv1.0。 大家都知道,nginx配置中有关于ssl_protocol的配置,所以开始...
Windows禁用SSLTLS协议的某个版本
chantsky的博客
03-21 4273
Windows禁用SSLTLS协议的某个版本禁用SSL3.0的方法:禁用TLS1.0、TLS1.1、SSL2.0的方法 禁用SSL3.0的方法: 创建以下2个DWORD类型的注册表键,并取值为0 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Clie...
计算机网络篇(三)-- SSL/TLS协议运行机制的概述
CarpeDiem
02-13 258
互联网的通信安全,建立在SSL/TLS协议之上。本文简要介绍SSL/TLS协议的运行机制。
漏洞修复---SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】(一)
xiangjai的专栏
07-04 3983
环境 当前系统 当前openssl 版本 openssl和gcc下载地址 安装gcc(root权限) 安装openssl(root权限) 安装 移除老版本openssl 配置lib库 查看版本
漏洞修复启用了不安全的TLS1.0、TLS1.1协议
heike_Ch的博客
05-09 1355
default_server中才能生效,且其他server块都会读取default_server中的配置。TLS 1.0和TLS1.1协议使用了脆弱的加密算法,存在重大安全漏洞,容易受到降级攻击的严重影响。表示启用TLSv1.2 TLSv1.3 禁用其他TLS协议,注意此配置只能配置在http块或者。启用对TLS 1.2或1.3的支持,并禁用对TLS 1.0和TLS 1.1的支持。nginx修改配置文件。出现下图则表示禁用成功。出现下图则表示禁用失败。
SSLTLS协议如何提供身份验证、机密性和完整性
lavin1614
01-17 1160
SSLTLS 协议使两方能够相互识别和验证,并以机密性和数据完整性进行通信。SSLTLS 协议通过 Internet 提供通信安全性,并允许客户端/服务器应用程序以保密和可靠的方式进行通信。这些协议有两层:记录协议和握手协议,它们位于 TCP/IP 等传输协议之上。它们都使用非对称和对称加密技术。SSLTLS 连接由成为 SSLTLS 客户端的应用程序启动。接收连接的应用程序成为 SSLTLS 服务器。正如 SSLTLS 协议所定义的,每个新会话都以握手开始。
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】处理
09-28 2862
下载地址:https://www.openssl.org/source/openssl-1.1.1i.tar.gz 2、或者linux上直接运行: openssl version -a //确认当前版本,备份证书文件和秘钥文件 mv /usr/bin/openssl /usr/bin/openssl.old /备份执行文件 mv /usr/include/openssl /usr/include/openssl.old cd /usr/local/src/ wget https://www.opens
SSL/TLS 协议信息泄露漏洞(CVE-2016-2183)【原理扫描】
qq_45373631的博客
05-09 8892
SSL/TLS协议 RC4信息泄露漏洞被扫描出来,一般出现的问题在ssh和https服务上使用了DES、3DES算法,禁用这些算法就好了。2.重启nginx服务 systemctl restart nginx.service。其它中间件原理是一样的,找到中间件的配置文件 禁用!1.禁止apache服务器使用RC4加密算法。1.禁止apache服务器使用RC4加密算法。1.ssh禁用DES、3DES算法。重启lighttpd 服务。2.重启apache服务。2.重启sshd服务。然后就不会扫描出来了。
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】远程桌面 3389 Windows 2016
热门推荐
tengtianshan的专栏
03-19 2万+
前言 为了提高远程桌面的安全级别,保证数据不被***窃取,在Windows2003的最新补丁包SP1中添加了一个安全认证方式的远程桌面功能。通过这个功能我们可以使用SSL加密信息来传输控制远程服务器的数据,从而弥补了远程桌面功能本来的安全缺陷。 2.问题描述 在Windows server 2003和Windows server 2008,远程桌面服务SSL加密默认是关闭的,需要配置才可以使用;但 Windows server 2012默认是开启的,且有默认的CA证书。由于SSL/ TLS自身存在漏洞缺陷
SSL/TLS 协议版本有哪些
06-11
SSL/TLS 协议版本如下: 1. SSL 1.0:已废弃,不再使用。 2. SSL 2.0:已废弃,由于安全性差,已被主流浏览器和服务器厂商弃用。 3. SSL 3.0:已被主流浏览器和服务器厂商弃用,因为存在安全漏洞。 4. TLS 1.0:是 SSL 3.0 的升级版本,已被广泛使用。 5. TLS 1.1:是 TLS 1.0 的升级版本,主要增加了对CBC攻击的防范,但已被主流浏览器和服务器厂商弃用。 6. TLS 1.2:是目前主流的 TLS 协议版本,安全性更高,支持更多的加密算法和哈希算法。 7. TLS 1.3:是最新的 TLS 协议版本,安全性更高,握手过程更快,并支持更多的加密算法和哈希算法。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Rudon滨海渔村

花的越多,赚得越多...

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值