http服务(nginx、apache)停用不安全的SSL协议、TLS1.0和TLS1.1协议/启用TLS1.3

已于 2022-02-09 09:51:08 修改
阅读量1.8w 收藏 26
点赞数 3
分类专栏: 安全相关 文章标签: http SSL TLS openssl
于 2022-02-09 09:50:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/inthat/article/details/122829324
版权

文章目录

一、http服务停用不安全的TLS1.0和TLS1.1协议

TLS 1.0 和 TLS 1.1 是分别于 1996 年和 2006 年发布的老版协议,使用的是弱加密算法和系统。比如 SHA-1 和 MD5,这些算法和系统十分脆弱,存在重大安全漏洞,容易受到降级攻击的严重影响,而在 2008 年和 2017 年分别发布了协议的新版本,即 TLS 1.2 和 TLS 1.3,无疑更优于旧版本,使用起来也更安全。
在这里插入图片描述

nginx

我假设你有Nginx 1.13+

SSL设置下的默认配置(conf/nginx.conf)应如下所示

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

删除TLS1.0 TLSv1.1、增加TLS1.3,
TLSv1.3在行的末尾添加,因此它看起来如下所示

ssl_protocols TLSv1.2 TLSv1.3;

重启Nginx使配置生效

nginx -s reload

Apache

通常Apache的配置如下

SSLProtocol -ALL +TLSv1 +TLSv1.1 +TLSv1.2
  • 基于RedHat的发行版(CentOS,Fedora)配置文件/etc/httpd/conf/httpd.conf
  • 基于Debian的发行版(Ubuntu)配置文件/etc/apache2/sites-enabled/目录下

删除+TLSv1 +TLSv1.1、增加TLSv1.3

SSLProtocol -ALL +TLSv1.2 +TLSv1.3

这个 应该是排除所有(注意ALL前面有个减号),只用 1.2 或 1.3

重启Apache使配置生效

# 基于RedHat的发行版(CentOS,Fedora)
systemctl restart httpd

# 基于Debian的发行版(Ubuntu)
service apache2 restart

实战demo:
使用了更早的apache(2.2)版本,默认的内容如下:
在这里插入图片描述在其后增加-TLSv1 -TLSv1.1并保存

SSLProtocol ALL -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

apache要支持TLS1.2 版本要求

在这里插入图片描述apache默认支持SSLv3,TLSv1,TLSv1.1,TLSv1.2协议

为了获得最佳的安全性,您将设置

SSLProtocol -all +TLSv1.2

SSLProtocol -all +TLSv1.2
的 ‘-all’ 参数删除其他SSL/TLS协议(SSLv1,的SSLv2,SSLv3和TLS1)。

'+ TLSv1.2’参数添加TLSv1.2。

工作中遇到问题整理

[error] No SSL protocols available [hint: SSLProtocol]

Apache error: No SSL protocols available [hint: SSLProtocol]
参考URL: https://stackoverflow.com/questions/35492334/apache-error-no-ssl-protocols-available-hint-sslprotocol

如果排除很多低版本,报错No SSL protocols available, 考虑升级httpd、openssl版本或者 你配置是否有问题是否你把所有支持的版本都排除了。

apache 版本支持TLS1.3

安装的Apache版本与Systems openssl库相连,即openssl 1.0.2k。该库没有TLS 1.3支持,也意味着配置TLS 1.3所需的必要功能不可用,因此不能从Apache中使用。

公网环境验证站点正在使用ssl/tls 版本

  • https://www.ssllabs.com/ssltest
    在这里插入图片描述此免费在线服务对公共Internet上的任何SSL Web服务器的配置进行深入分析。请注意,您提交的信息仅用于为您提供服务。我们不使用域名或测试结果,我们永远不会。

我们试试输入谷歌 www.google.com
在这里插入图片描述我们试试百度 www.baidu.com
在这里插入图片描述
在SSL Server Test扫描一些测试网站,评分只能到B,而原因是服务器开启了TLS1.0和1.1的支持,這些主要都是針對一些很久的浏览器使用的,目前新版都已经支持1.2和1.3了,如果访问者几乎不会使用TLS1.0和1.1的,则可以考虑关闭。

  • https://myssl.com
    在这里插入图片描述

当然这些检测,一般用于公网环境检测,那么我们内网环境,我们怎么检测我ssl协议呢?

二、关于启用TLS 1.3

1. 什么是TLS 1.3?

当ssl更新到3.0版本后,IETF(互联网工程任务组)对ssl3.0进行了标准化,标准化后的协议就是TLS1.0,所以说TLS是SSL的标准化后的产物,TLS当前有1.0 ,1.1,1.2三个版本,默认使用1.0。

TLS(传输层安全性)1.3基于现有的1.2规范。它是最新的TLS版本协议,旨在提高性能和安全性。

TLS 1.3 由 IETF 于 2018 年 8 月正式发布。

TLS(Transport Layer Security)是一种加密协议,旨在通过 IP 网络提供安全通信。它是当今非常常见的协议,用于保护 Web 浏览器和 Web 服务器之间的 HTTP 通信。当使用 TLS 保护 HTTP 时,它通常被称为 HTTPS(HTTP Secure)。TLS/SSL 是安全传输层协议,是介于 TCP 和 HTTP 之间的一层安全协议,不影响原有的 TCP 协议和 HTTP 协议。

TLS 1.3 是时隔九年对 TLS 1.2 等之前版本的新升级,也是迄今为止改动最大的一次。 针对目前已知的安全威胁,IETF(Internet Engineering Task Force,互联网工程任务组)制定 TLS 1.3 的新标准,使其有望成为有史以来最安全,但也最复杂的 TLS 协议。

TLS 1.3 与之前的协议有较大差异,主要在于:

  • 相比过去的的版本,引入了新的密钥协商机制 — PSK
  • 支持 0-RTT 数据传输,在建立连接时节省了往返时间
  • 废弃了 3DES、RC4、AES-CBC 等加密组件,废弃了 SHA1、MD5 等哈希算法
  • ServerHello 之后的所有握手消息采取了加密操作,可见明文大大减少
  • 不再允许对加密报文进行压缩、不再允许双方发起重协商
  • DSA 证书不再允许在 TLS 1.3 中使用

对比旧协议中的不足,TLS 1.3 确实可以称得上是向前迈了一大步。既避免之前版本出现的缺陷,也减少了 TLS 握手的时间。

TLS 1.3 与以前的版本相比具有如下两个大的优势:更快的访问速度和更强的安全性!

2. 如何确定openssl库的最新支持的SSL/TLS版本?

openssl s_client -help 2>&1 | awk '/-(ssl|tls)[0-9]/{print $1}'

现在许多网站,都要求tls1.2协议以上,像github、 pip3安装包网站https://pip.pypa.io/等。

openssl现有版本不支持。需要升级openssl。

现在版本openssl 1.0.0e,不支持tls1.2。

[root@banel64 gvmd-8]# openssl

OpenSSL> version

OpenSSL 1.0.0e-fips 6 Sep 2011

OpenSSL>

查看官网说明,从1.0.1版本开始支持TLS1.1及TLS1.2

来自官网说明:
https://www.openssl.org/news/changelog.html

Openssl 版本一直到 1.0.0h 都支持 SSLv2、SSLv3 和 TLSv1.0.从 Openssl 1.0.1 开始,添加了对 TLSv1.1 和 TLSv1.2 的支持.

三、客户端对ssl/tls支持情况

1. curl

curl 是请求访问 Web 服务器的命令行工具,7.52.0 & + 版本支持 TLSv1.3。

7.52.0 - December 21 2016,curl: introduce the --tlsv1.3 option to force TLS 1.3

使用参数 --tlsv1.3,可以通过 curl --help 查看是否支持该参数

2. 浏览器

TODO

四、参考

如何在Apache,Nginx和Cloudflare中启用TLS 1.3?
参考URL: https://www.pianshen.com/article/5379403796/

西京刀客
关注
  • 3
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
apachenginxTLS1.0TLS1.1禁用处理方案
Bertram的博客
02-10 5857
apachenginxTLS1.0TLS1.1禁用处理方案
tomcat加上了https后访问不了_西部数码使用指南:部署https后访问提示存在安全隐患的排查解决方法...
weixin_39730911的博客
12-06 1508
版权归西部数码所有,原文链接:https://www.west.cn/faq/list.asp?unid=2374部署https后访问域名出现如下提示:您的连接存在安全隐患此网站使用的安全性配置已过时,这可能会导致您的信息(例如密码、消息或信用卡卡号)在发送至此网站的过程中遭到泄露。NET::ERR_SSL_OBSOLETE_VERSION原因是服务openssl版本过低,较新版本的浏览器会提示...
微信小程序Server端环境配置详解(SSLNginx HTTPS,TLS 1.2 升级)
01-03
微信小程序Server环境配置详解 主要内容: 1. SSL免费证书申请步骤 2. Nginx HTTPS 配置 3. TLS 1.2 升级过程 微信小程序要求使用 https 发送请求,那么Web服务器就要配置成支持 https,需要先申请SSL证书 小程序也要求 TLS(传输层安全协议)的版本至少为 1.2,在配置好 https之后,如果 TLS 的版本较低,就涉及到升级问题 所以 Server端环境配置的主要步骤: 申请 SSL 证书 配置web服务器支持https(我使用的是nginx) 升级到 TLS 1.2  SSL证书申请 https 需要使用SSL证书,这个证书的
漏洞修复启用了不安全TLS1.0TLS1.1协议
Karka_的博客
06-02 423
default_server中才能生效,且其他server块都会读取default_server中的配置。TLS 1.0TLS1.1协议使用了脆弱的加密算法,存在重大安全漏洞,容易受到降级攻击的严重影响。表示启用TLSv1.2 TLSv1.3 禁用其他TLS协议,注意此配置只能配置在http块或者。启用TLS 1.2或1.3的支持,并禁用对TLS 1.0TLS 1.1的支持。nginx修改配置文件。出现下图则表示禁用成功。出现下图则表示禁用失败。
如何让Nginx快速支持TLS1.3协议详解
09-30
主要给大家介绍了如何让Nginx快速支持TLS1.3协议的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧。
【中危】启用了不安全TLS1.0TLS1.1协议
热门推荐
天泽岁月
08-13 4万+
TLS1.0协议漏洞检测复现
如何配置TLSv1.2版本的ssl
XiaoXiao_RenHe的专栏
12-26 2007
tomcat、nginx如何配置TLSv1.2版本,如何验证TLSv1.2版本是否生效。
SSL/TLS协议详解以及配置实战
swadian2008的博客
04-17 9184
SSL/TLS协议是一种安全通信协议,用于在计算机网络上保护数据传输的机密性、完整性和身份验证。SSL代表安全套接字层(Secure Socket Layer)TLS代表传输层安全性(Transport Layer Security),它是SSL的继任者。// 实际上还是非对称加密的算法客户端发送一个SSL/TLS连接请求到服务器。服务器发送一个数字证书给客户端。数字证书包含服务器的公钥和其他信息。客户端验证数字证书,以确保证书来自可信的证书颁发机构,没有被篡改。
Apache安装SSL证书后显示网站网站无法提供安全连接(ERR_SSL_PROTOCOL_ERROR)?And Apache安装SSL证书配置https
wwz123124的博客
07-27 8589
两个话题: 1.Apache如何安装SSL证书以及配置https访问 2.正确安装证书后通过https访问,提示此网站无法提供安全连接(ERR_SSL_PROTOCOL_ERROR) 问题1. 1.购买证书 很简单的一步,去阿里云或者腾讯云搞一个免费的ssl证书。基本步骤是购买SSL证书,然后选择免费的证书即可(不会买东西的百度一哈)。 2.验证域名,申请证书 要验证域名是你的...
安全TLS协议漏洞修复
SmallBull的博客
02-07 3801
TLS安全漏洞
nginx-1.16.1-TLS1.3-http2
01-05
综上所述,`nginx-1.16.1-TLS1.3-http2` 是一个优化了性能和安全性的 Nginx 实例,对于追求高效、安全网站服务的用户来说,这是一个理想的选择。正确配置和使用这一版本的 Nginx,可以显著提升网站的访问速度和安全...
SSLTLS证书管理:在Linux上用ApacheNginx守护网络安全
最新发布
07-14
3. **Web开发**:使用Linux作为服务器操作系统进行Web开发,包括后端服务的搭建和维护,如使用LAMP(Linux, Apache, MySQL, PHP)或LEMP(Linux, Nginx, MySQL, PHP/Python/Perl)等技术栈。 4. **数据库开发**:在...
SSL/TLS加密:Nginx的网络安全之盾
07-08
4. **SSL/TLS终端**:Nginx支持SSLTLS协议,可以作为SSL终端,为HTTP流量提供加密。 5. **模块化设计**:Nginx具有模块化的设计,可以通过添加第三方模块来扩展其功能。 6. **缓存机制**:Nginx支持HTTP缓存,可以...
安全修复之Web——HTTP Strict-Transport-Security缺失
CN華少的博客
04-30 2761
安全修复之Web——HTTP Strict-Transport-Security缺失 背景 日常我们开发时,会遇到各种各样的奇奇怪怪的问题(踩坑o(╯□╰)o),这个常见问题系列就是我日常遇到的一些问题的记录文章系列,这里整理汇总后分享给大家,让其还在深坑中的小伙伴有绳索能爬出来。 同时在这里也欢迎大家把自己遇到的问题留言或私信给我,我看看其能否给大家解决。 开发环境 系统:windows10 ...
nginx https配置tls1.2
wudinaniya的博客
11-27 1万+
nginx 配置文件(一般默认为nginx.conf)的server下配置如下代码: ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 具体举例如下 server { listen 443 ssl; server_name www.xxx.com; ssl_certificate ...
Nginx 修复TLS1.0漏洞并扫描TLS协议
weixin_42258548的博客
04-06 1万+
Nigx 修复TLS1.0漏洞并扫描TLS协议1.服务器报警:启用了不安全TLS1.0协议2.配置好后重启服务器3.扫描TLS协议4.完 1.服务器报警:启用了不安全TLS1.0协议 解决方法: 找到主机的Ngix配置文件所在目录 如:/alidata/server/nginx/conf/vhosts 将该目录下所有配置文件的 ssl_protocols 改为 TLSv1.2 TLSv1.3 ssl_protocols TLSv1.2 TLSv1.3; 若配置文件里面没有ssl_protocols
SSL3、TLS1.0、TSL1.1TLS1.2TLS 1.3协议版本间的差异
SSL加密技术
11-20 2万+
下面主要为大家介绍SSLTLS协议的各版本之间的差异。自SSL3以来,协议核心并没有大幅改变。TLS1.0为了迎合使用另一个名称进行了有限的改变,发布TLS1.1的首要目标是为了解决几个安全性问题。TLS1.2引了已验证加密,清理了散列,另外去掉了协议中的硬编码基元。TLS1.3是目前最新协议,有望成为有史以来最安全版本。 1、SSL3 SSL3于1995年末发布,为了弥补先前协议版本的诸多弱点,SSL3从头开始设计了一套协议,并一直沿用到了最新版本的TLS。 2、TLS1.0 TLS1.0于19
mybatis插入唯一异常_MyBatis-基础篇(一)
08-26
### 回答1: MyBatis是一个流行的持久层框架,它可以将SQL语句和Java对象之间的映射关系定义在XML文件或注解中,并提供了丰富的查询语言和灵活的参数绑定方式。在使用MyBatis进行数据操作时,有时会遇到插入唯一异常的问题,下面让我们一起来看看如何解决这个问题。 1. 异常描述 当我们向数据库插入一条记录时,如果违反了唯一性约束,就会抛出插入唯一异常,如下所示: ``` ### Error updating database. Cause: com.mysql.jdbc.exceptions.jdbc4.MySQLIntegrityConstraintViolationException: Duplicate entry 'xxx' for key 'name_unique' ### The error may involve com.example.mapper.UserMapper.insert-Inline ### The error occurred while setting parameters ### SQL: insert into user(name, age) values (?, ?) ### Cause: com.mysql.jdbc.exceptions.jdbc4.MySQLIntegrityConstraintViolationException: Duplicate entry 'xxx' for key 'name_unique' ``` 其中,'xxx'表示违反唯一性约束的值,'name_unique'表示违反唯一性约束的字段名。 2. 解决方法 为了避免插入唯一异常,我们可以采取以下两种解决方法: 2.1 使用INSERT IGNORE语句 在MySQL中,可以使用INSERT IGNORE语句来向表中插入记录,如果遇到违反唯一性约束的情况,就会忽略该记录,而不是抛出异常。因此,我们可以将MyBatis的插入语句改为INSERT IGNORE语句,如下所示: ``` <insert id="insertUser" parameterType="com.example.entity.User"> INSERT IGNORE INTO user(name, age) VALUES (#{name}, #{age}) </insert> ``` 2.2 使用ON DUPLICATE KEY UPDATE语句 在MySQL中,还可以使用ON DUPLICATE KEY UPDATE语句来向表中插入记录,如果遇到违反唯一性约束的情况,就会更新该记录,而不是抛出异常。因此,我们可以将MyBatis的插入语句改为ON DUPLICATE KEY UPDATE语句,如下所示: ``` <insert id="insertUser" parameterType="com.example.entity.User"> INSERT INTO user(name, age) VALUES (#{name}, #{age}) ON DUPLICATE KEY UPDATE age = #{age} </insert> ``` 其中,ON DUPLICATE KEY UPDATE语句指定了更新操作的字段和值,这里我们只更新了年龄字段。 以上就是解决MyBatis插入唯一异常的两种方法,根据具体情况选择适合自己的方法即可。 ### 回答2: 在使用MyBatis进行插入操作时,可能会遇到插入唯一异常。该异常通常是由于数据库表的唯一约束导致的。 当我们向数据库表插入数据时,如果违反了唯一约束,数据库将抛出异常,表示插入失败。常见的唯一约束有主键约束、唯一索引等。 解决这个问题的方法有两种: 1. 在程序中进行唯一性校验:在执行插入操作之前,可以先查询数据库中是否已存在相同的数据。如果已存在,则不进行插入操作,避免了唯一异常的发生。这种方法比较消耗数据库资源,但可以保证数据的唯一性。 2. 使用数据库的"insert ignore"或"insert on duplicate key update"语句:这种方法是在插入操作时,使用特殊的语句来处理唯一异常。"insert ignore"语句会即使发生唯一异常,也不会抛出异常,而是直接忽略这条插入数据;"insert on duplicate key update"语句则是在发生唯一异常时,执行更新操作。这种方法相对较为简洁高效,但需要根据数据库的不同进行调整。 总结来说,解决MyBatis插入唯一异常的方法有多种,可以通过程序中进行唯一性校验,或者使用特殊的数据库插入语句来处理。需要根据具体情况选择最合适的方法来解决唯一异常问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

西京刀客

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值