放弃使用sslv2,sslv3协议,请使用tlsv1.2,tlsv1.1版本

最新推荐文章于 2025-04-29 15:05:10 发布
最新推荐文章于 2025-04-29 15:05:10 发布
阅读量1.3w 收藏 1
点赞数 1
文章标签: https 网站
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bianzhuang09/article/details/104711672
版权

推荐一个网站测试网站的https的安全性: https://myssl.com。比如测试下面的网站如下:

评级只有5,myssl给的理由为:服务器易受到POODLE漏洞攻击,降级为5。POODLE漏洞为使用了不安全的sslv2和sslv3协议导致, 将协议去掉了,评级还是为5。后面测试原来是由于该服务器的其他站点仍支持sslv2,sslv3导致。于是去掉sslv2和sslv3协议的支持后:

这里升级的原因,主要还是用更高的标准要求,也许百度等引擎对安全级别更高的站点会比安全级别低的站点青睐些吧,否则好的东西不鼓励,那没法玩了。

如果你也需要配置, 请参考myssl.com的测试参考配置:

配置指南:

1. 需要配置符合PFS规范的加密套件,推荐配置:
ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4:!DH:!DHE ;

2. 需要在服务端TLS协议中启用TLS1.2,推荐配置:TLSv1 TLSv1.1 TLSv1.2 ;

3. 需要保证当前域名与所使用的证书匹配;

4. 需要保证证书在有效期内;

5. 需要使用SHA-2签名算法的证书;

6. 需要保证证书签发机构是可信的CA机构。

7. HSTS(HTTP严格传输安全)的 max-age 需要大于15768000秒。

 

java 建立tlsv1.2报错_java - 无法识别SSL聊天错误客户端证书TLSv1.2 - 堆栈内存溢出...
weixin_28952471的博客
02-24 3041
我在Ubuntu中使用Eclipse的Java中的SSL Chat应用程序遇到问题。 我有这样的代码:import java.net.*;import java.io.*;import javax.net.ssl.*;import java.security.KeyManagementException;import java.security.NoSuchAlgorithmException;...
centos7 apache配置ssl支持tlsv1.0 1.1 1.2
大智若愚的博客
05-11 5129
按照阿里云的证书配置如下安装证书: 文件说明: 1. 证书文件214089425050896.pem,包含两段内容,不要删除任何一段内容。 2. 如果是证书系统创建的CSR,还包含:证书私钥文件214089425050896.key、证书公钥文件public.pem、证书链文件chain.pem。 ( 1 ) 在Apache的安装目录下创建cert目录,并且将下载的全部文件拷贝到cer
禁用SSL v2.0、SSL v3.0协议
weixin_33845477的博客
01-13 1万+
1、禁用SSL v2.0、SSL v3.0协议,禁用低强度加密密钥。使用TLS 1 TLSv1.1 TLSv1.2版本2、禁用SSLv2参考修补方法如下:查看本机sslv3加密列表:openssl ciphers -v 'DEFAULT' | awk '/SSLv3 Kx=(RSA|DH|DH(512))/ { print $1 }'Apache2禁用弱密钥加密算法,参考下列配置参数修改Apac...
HTTPSSSL证书在服务端TLS协议中启用TLS1.2的小工具,推荐配置:TLSv1 TLSv1.1 TLSv1.2
01-15
在Windows系统中配置HTTPSSSL证书在服务端TLS协议中启用TLS1.2,推荐配置:TLSv1 TLSv1.1 TLSv1.2,用于微信小程序报错。
深入理解SSLv3TLSv1的握手协议密码计算
最新发布
weixin_28736145的博客
04-29 464
本篇博客详细解析了传输层安全协议SSLv3TLSv1的关键组成部分,包括服务器客户端如何通过证书进行认证、密钥交换机制以及握手过程的最终阶段。文章深入探讨了密钥计算散列算法的运用,以及如何通过这些过程确保数据传输的安全性。此外,还对比了SSLv3TLSv1之间的差异,特别是HMAC算法的使用
OpenSSL 信息泄露漏洞(CVE-2016-2183)&& 目标主机使用了不受支持的SSL加密算法
qq_44929154的博客
07-29 2868
编辑Nginx配置文件:使用文本编辑器打开Nginx的配置文件(通常是/etc/nginx/nginx.conf或/etc/nginx/conf.d/目录下的某个文件)。修改ssl_ciphers指令:在server块中找到ssl_ciphers指令,并移除包含“3DES”的密码套件。
Apache停用SSL1.0、SSL2.0、TLS3.0
Alice的博客
11-12 3451
SSL3.0版本被视为是不安全的。它使用RC4加密或CBC模式加密,前者易受偏差攻击,后者会导致POODLE攻击。 apache关闭SSL2.0、SSL3.0、TLS1.0步骤: 1 、找到http.conf配置文件,并将#LoadModule ssl_module modules/mod_ssl.so的"#"删除后存储文件 2、找到为httpd-ssl.conf的档案并打开文件,搜寻SSLEng...
window服务器禁用默认的ssl2.0ssl3.0,只启用tls1.2保证安全
各自安好、的博客
08-04 1万+
漏洞介绍: TLS/SSL介绍: SSL“安全套接层”协议,TLS“安全传输层”协议,都属于是加密协议,在其网络数据传输中起到保护隐私数据的完整性。保证该网络传输的信息不会被未经授权的元素拦截或修改,从而确保只有合法的发送者接收者才能完全访问并传输信息。 SSL3漏洞 2014年10月14号由Google发现的POODLE漏洞,全称是Padding Oracle On Downloaded Legacy Encryption vulnerability,POODLE TLS(CVE-2014-8730)
TLSv1.2介绍及Https协议SSL建立过程分析(OpenSSL源码)
$好记性还是要多记录$
06-04 2万+
TLSv1.2协议 首先明确TLS的作用三个作用 (1)身份认证 通过证书认证来确认对方的身份,防止中间人攻击 (2)数据私密性 使用对称性密钥加密传输的数据,由于密钥只有客户端/服务端有,其他人无法窥探。 (3)数据完整性 使用摘要算法对报文进行计算,收到消息后校验该值防止数据被篡改或丢失。 TLS传输过程 下面是使用wireshark抓包的结果,其中1-4是握手阶段,5是指握手后双方使用...
TLSv1.2&DTLSv1;.2介绍
03-05
TLS的前身是网景公司(NetScape)开发的基于TCP的SSL协议(Secure Socket Layer),SSL有三个版本,IETF在SSLv3.0的基础上,制定了TLS1.0规范,目前已经演进到TSLv1.2版本(RFC5246) 本胶片介绍RFC5246 TLSv1.2规范,...
SharpTLSScan:扫描服务器以获取受支持的SSLTLS版本以及密码套件。 同时检查服务器的证书。 支持SSLv2-TLSv1.2
04-29
已在5年内进行了更新,因此不支持TLS 1.11.2,这就是我编写此工具的原因。 您可以在此处下载源代码,也可以从我的博客获取可执行文件 更新到v1.3。 由于Poodle,将所有SSLv3更改为YELLOW。 删除了“正在使用......
公众平台调整SSL安全策略 不再支持SSLv2SSLv3版本
weixin_33908217的博客
10-29 970
  昨天夜间,微信团队发布重要安全策略调整,将关闭掉SSLv2SSLv3版本支持,不再支持部分使用SSLv2SSLv3或更低版本的客户端调用。仍在使用这些版本的开发者于1130日前尽快修复升级。 近一段时间HTTPS加密协议SSL曝出高危漏洞,可能导致网络中传输的数据被黑客监听,对用户信息、网络账号密码等安全构成威胁。为保证用户信息以及通信安全,微信公众平台将关闭掉SSLv2、SS...
Nginx禁用TLSv1.0 1.1,改为TLSv1.2 1.3
qq_42287535的博客
07-28 1万+
nginx代理禁用网站TLSv1.0 TLSv1.1,只启用TLSv1.2 TLSv1.3
端口:3389 | 服务:ms-wbt-server | 协议:TCP 目标主机使用了不受支持的SSL加密算法【原理扫描】 补漏洞方案
zengliguang的专栏
10-30 3268
对于要禁用的协议版本,如 SSL 2.0 或 SSL 3.0,可以删除相关的键值(如 “SSLTLSProtocols” 中的对应协议版本)或修改其值,以排除不安全的协议版本。这种方法需要谨慎操作,因为错误的修改可能会导致远程桌面服务无法正常工作。
IHS配置安全漏洞: 支持不推荐使用SSL 版本、在降级的旧加密上填充 Oracle、检测到 RC4 密码套件、支持弱 SSL 密码套件、 重构 RSA 导出键(又称为 FREAK)
隐0士的博客
08-11 9846
都是由于ihs配置中支持不推荐使用ssl版本弱密码套件引起的。 只要在配置文件中禁用sslv2,sslv3申明使用的非弱密码套件即可,在/opt/IBM/HTTPServer/conf目录下的httpd.conf配置文件添加一下代码 # Example SSL configuration which supports SSLv3 and TLSv1 # To enable th
window服务器禁用默认的ssl2.0ssl3.0只启用启用tls1.2保证安全
热门推荐
这么多柠檬c
05-23 5万+
因为有需要使用ssl但是部署后发现服务器默认使用ssl2!有两种方式,一种直觉修改注册表,另一种使用iis工具直觉修改。简单粗暴!https说明:SSL/TLS 系列中有五种协议SSL v2SSL v3,TLS v1.0,TLS v1.1TLS v1.2SSL v2 是不安全的,不能使用。当与 HTTP(POODLE 攻击)一起使用时,SSL v3 是不安全的,当与其他协议一起使用时,S...
脆弱的SSL加密算法漏洞原理以及修复方法_检测到目标服务支持ssl弱加密算法漏洞修复
2401_84139963的博客
04-09 3524
可以这样建立一个仅使用SSLv2协议及其密码算法的服务器:httpd.conf3、 如何建立一个仅接受强加密求的SSL服务器:如下设置为仅使用最强的七种密码算法:httpd.conf4、 如何建立一个仅接受强加密求的SSL服务器,而又允许对外浏览器使用更强的加密:这个功能被称为以服务器为网关的加密(Server Gated Cryptography[SGC]), 在README.GlobalID文档中有详细说明。
第三方对接时,协议版本TLSv1.2TLSv1.1与自己系统的协议版本TLSv1.0不兼容
weixin_44678330的博客
07-13 1053
appscan无法连接到服务器_此网站无法提供安全连接 ,客户端服务器不支持一般 SSL 协议版本或加密套件。...
weixin_39856630的博客
11-24 2225
记录一次配置阿里云CDN的故障:配置CDNCNAME后,网站时不时无法访问,报错提示:此网站无法提供安全连接 https://www.yunglobe.com/ 使用了不受支持的协议。 ERR_SSL_VERSION_OR_CIPHER_MISMATCH 协议不受支持 客户端服务器不支持一般 SSL 协议版本或加密套件。 咨询官方回复:源站配置https没有的,因为您域名使用了cdn加速,用户...
目标主机使用了不受支持的SSL加密算法
03-20
### 解决目标主机不受支持的SSL加密算法问题 当目标主机使用SSL加密算法不再受支持时,可以通过升级到更现代、更安全的协议算法来解决问题。以下是具体的替代方案升级方法: #### 1. **升级至TLS协议** 由于SSL协议已被证明存在多个安全性漏洞(如POODLE攻击),建议完全弃用SSL协议版本[^4]。可以启用最新的TLS版本(如TLS 1.2或更高版本)。配置如下所示: ```bash ssl_tlsv1=YES # 启用 TLS 1.0 (如果必要) tls_v1_1=YES # 启用 TLS 1.1 tls_v1_2=YES # 推荐:启用 TLS 1.2 tls_v1_3=YES # 如果支持,推荐启用 TLS 1.3 ssl_sslv2=NO # 禁用 SSL 2.0 ssl_sslv3=NO # 禁用 SSL 3.0 ``` #### 2. **更新加密套件** 为了增强安全性,应禁用弱加密算法(如RC4、DES等),并切换到更强的加密算法组合。推荐使用AES-GCM或ChaCha20-Poly1305作为对称加密算法,并结合ECDHE进行密钥交换[^3]。 以下是一个典型的强加密套件示例: ```plaintext ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:!DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA ``` #### 3. **获取并安装可信证书** 确保服务器上的数字证书是由可信赖的CA签发的。这不仅验证了身份的真实性,还保护了公钥免遭篡改。此外,考虑使用带有扩展验证(EV)功能的证书以提高信任度。 #### 4. **测试与监控** 完成上述更改后,需利用工具检测新设置的有效性兼容性。例如,`openssl s_client`命令可用于手动检查连接状态;在线服务如Qualys SSL Labs则提供全面评估报告。 --- ### 示例代码片段 以下是如何通过OpenSSL库建立基于TLS的安全连接的一个简单Python实现: ```python import socket import ssl context = ssl.create_default_context() context.options |= ssl.OP_NO_SSLv2 | ssl.OP_NO_SSLv3 | ssl.OP_NO_TLSv1 | ssl.OP_NO_TLSv1_1 # 只允许TLS 1.2及以上 context.set_ciphers('ECDHE-ECDSA-AES128-GCM-SHA256') # 设置高强度加密套件 with socket.create_connection(("example.com", 443)) as sock: with context.wrap_socket(sock, server_hostname="example.com") as secure_sock: print(secure_sock.version()) # 输出当前会话所用的TLS版本 ``` ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值