在Windows服务器上启用TLS 1.2及TLS 1.2基本原理
最近由于Chrome40不再支持SSL 3.0了,GOOGLE认为SSL3.0已经不再安全了。所以也研究了一下SSL TLS加密。
首先在这个网站上测试一下自己的服务器究竟处于什么水平。
https://www.ssllabs.com/ssltest/
测试结果显示是支持SSL3.0的并且不支持TLS 1.2。证书使用SHA1签名算法不够强。这点比较容易接受,因为Windows服务器默认并没有开启TLS1.2。
要提高服务器的评级,有3点需要做。
-
使用SHA256签名算法的证书。
-
禁用SSL3.0,启用TLS1.2
-
禁用一些弱加密算法。
由于目前服务器使用的证书是近3年前购买的,正好需要重新购买,顺便就可以使用SHA256签名算法来买新的证书就可以了。在生产环境部署之前,先用测试机测试一下。
根据这篇文章中的3条命令把证书颁发机构的签名算法升级上去。测试环境是Windows2012 R2,默认的签名算法是SHA1