TLS版本降级的问题排查

最新推荐文章于 2023-07-25 15:40:43 发布
最新推荐文章于 2023-07-25 15:40:43 发布
阅读量2.2k 收藏
点赞数
分类专栏: 服务器 文章标签: 小程序TLS1.2配置 服务器TLS1.2支持 TLS协议降级排查
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tianc_1988/article/details/97114296
版权

问题背景

小程序发布要求必须符合ATS规范,这就要求发布的服务必须使用https,并且服务器协议不低于tls1.2,否则小程序会访问异常。

排查步骤

首先排查反向代理,以nginx为例

查看ssl版本,以及是否支持tls1.2,具体步骤如下:

进入linux服务器,执行命令:openssl version,一般openssl版本在1.0.1以上的会支持tls1.2,当前版本如下,肯定支持,继续往下查;

OpenSSL 1.0.2k-fips  26 Jan 2017

进入nginx的安装目录,执行命令./sbin/nginx -V,可以看到nginx编译时使用的openssl版本是1.0.1g,竟然不是用的系统默认版本,不过也是支持tls1.2的,继续往下查;

nginx version: openresty/1.13.6.2
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-28) (GCC) 
built with OpenSSL 1.0.1g 7 Apr 2014
TLS SNI support enabled
...

打开nginx配置文件nginx.conf,查看是否配置支持tls1.2协议,以下配置项添加了tls1.2的支持;

ssl_protocols TLSv1.2 TLSv1.1;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
ssl_prefer_server_ciphers on;

测试当前服务器是否支持TLS1.2协议,执行命令:openssl s_client -connect localhost:443 -tls1_2,响应了CONNECTED(00000003),就表示成功;

CONNECTED(00000003)
depth=2 C = CN, O = China Financial Certification Authority, CN = CFCA EV ROOT
verify return:1
depth=1 C = CN, O = China Financial Certification Authority, CN = CFCA OV OCA
verify return:1
...

通过以上检查,基本确定nginx目前看来是支持tls1.2的。

其次排查网络中其他安全应用,以WAF防火墙为例

页面验证tls协议版本,通过测试发现,通过外网接入的请求,使用的都是tls1.0版本,通过内网接入的请求,使用的都是tls1.2版本,这说明,服务器的tls协议是支持tls1.2的,只是在网络链路中被降级为tls1.0,忽然想到,在给https域名添加防护的时候,被要求安装证书,基本上很大概率问题出在这里;

来到防火墙的配置页面,经过一顿查,发现防火墙在配置https证书的时候,会默认只给ssl3.0和tls1.0两个协议版本,问题就在这,将tls1.2添加到支持列表中,保存;

再次验证,ATS验证通过。

总结

在确保服务器的tls协议版本正确的情况下,考虑网络链路中其他节点协议降级的可能,本次折腾了很久,最后发现是防火墙的协议版本配置过低导致,经验分享给大家,以免走弯路。

DrRe
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
TLS与SSL的关系
Focus
12-29 1091
TLS与SSL的关系 本文简要记录了TLS与SSL的关系,包括发展、相同点与不同点,没有技术细节。 发展历史 摘自百度百科,还有这里 1994年Netscape公司推出HTTPS,使用SSL1.0加密,这是起源。 1995年,SSL2.0,被发现有严重漏洞。 1996年,SSL3.0,得到大规模应用。 1999年,IETF将SSL3.0进行标准化,基于SSL3.0制定了TLS1.0标准。 TLS1.0 通常被标示为SSL 3.1,对应的TLS1.1是SSL3.2,TLS1.2是SSL3.3。 所以也就是说,
查看linux版本主要有三种方法
eysunglow
03-06 1715
查看linux版本主要有三种方法:1) 登录到服务器执行 lsb_release -a ,即可列出所有版本信息,例如:[root@3.5.5Biz-46 ~]# lsb_release -a LSB Version: 1.3Distributor ID: RedHatEnterpriseASDescription: Red Hat Enterprise Linux AS release 4
【物联网】Linux平台OpenSSL安装教程
C/C++软件工程师、嵌入式软件工程师、物联网研发工程师、C/C++讲师、物联网讲师、嵌入式讲师---欢迎大家一起交流(私信添加博主微信)
06-10 7221
OpenSSL是一个安全套接字层密码库,囊括主要的密码算法、常用密钥、证书封装管理功能及实现ssl协议OpenSSL整个软件包大概可以分成三个主要的功能部分:SSL协议库libssl、应用程序命令工具以及密码算法库libcrypto。SSL:Secure Socket Layer,安全套接字层协议,分为SSLv2和SSLv3两个版本TSL在SSL3.0基础之上提出的安全通信标准化版。
TLS协议版本
夜行者的博客
02-18 6116
检测方法: 使用nmap进行扫描,命令如下:nmap-sV--script ssl-enum-ciphers -p 443 x.x.x.x,若出现以下所示图片,则存在漏洞 解决方法(强制使用TLS1.2协议): 1.weblogic在weblogic的setDomainEnv.sh中增加限制参数-Dweblogic.security.SSL.minimumProtocolVersion=TLSv1.2 2.Nginx在nginx配置文件中增加配置:ssl_protoc...
TLS 版本查询
天泽岁月
06-04 1万+
TLS查询
查看当前jvm支持的通信协议
#朱松涛帅气出击JJJ
02-26 311
//查看当前jvm支持的通信协议: public static void main(String[] args) throws Exception { SSLContext context = SSLContext.getInstance("TLS"); context.init(null, null, null); SSLSocketFactory factory = (SSLSocketFactory) context.getSocketFactory(); SSLSo
aviasales:Aviasales测试任务https
03-14
7. **HTTPS的安全最佳实践**:这包括使用最新的TLS版本,定期更新证书,禁用不安全的加密套件,以及正确配置HSTS(HTTP严格传输安全)头,以防止降级攻击。 8. **Web安全框架和库**:有许多JavaScript库,如axios、...
tcnative-1.dll 1.1.12、1.1.17、1.1.19、1.1.20
09-10
不兼容的版本可能会导致启动失败或运行时异常,所以在遇到问题时,检查并升级或降级到兼容的tcnative-1.dll版本是解决这类问题的常见方法。 3. **安装与配置**:tcnative-1.dll通常需要放置在系统路径下的特定目录...
阿里云 专有云企业版 V3.9.0 API 网关 技术白皮书 20191017.pdf
06-16
- 日志记录:记录所有API调用,以便于问题排查和审计。 5. **集成能力**: - 后端服务集成:支持多种协议,如HTTP/HTTPS、TCP、UDP等,与各种后端服务无缝对接。 - API生命周期管理:从开发、测试到生产环境的...
dubbox2.8.4.rar
12-06
Dubbox 是一个基于 Spring 和...通过研究这些内容,你可以深入了解 Dubbox 的工作原理,定制化自己的服务治理框架,或者排查和解决在使用过程中遇到的问题。记得在使用前先阅读官方文档,以便更好地理解和运用 Dubbox。
服务器证书配置指南之Jetty-61-CNNIC.pdf
11-14
如果遇到问题,可以通过查看Jetty日志或使用SSL诊断工具进行排查。 7. **证书更新**:证书通常有有效期,到期前需重新申请并更新配置。过期的证书可能导致浏览器警告,影响用户体验。 8. **HSTS...
检查网站的TLS版本
weixin_44093655的博客
06-09 3191
以上分别检查了,和``tls1`。如果握手失败的话,那么就是不支持了。依赖于 结果如下: PowerShell 可以用如下的函数,来源:Test web server SSL/TLS protocol support with PowerShell - PKI Extensions
多种方法在Linux上检查tls版本
nb1253587023的博客
07-25 7760
在这个例子中,我们连接到example.com的443端口,并指定使用TLS 1.2版本。无论使用哪种方法,检查TLS版本是确保系统安全和加密通信的重要步骤。确保系统上使用的TLS版本是最新且安全的,以保护你的数据和隐私。这个Python脚本使用socket和ssl模块来连接到example.com的443端口,并输出所使用的TLS版本。这将扫描example.com的443端口,并列出支持TLS版本。在输出中,你可以看到连接信息,其中包括所使用的TLS版本
Charles全套教程
weixin_51084345的博客
04-28 8403
Charles 是一款常用的网络代理工具,可以用来监控、调试和分析网络请求和响应数据。它可以截取 HTTP 和 HTTPS 流量,在代理服务器和目标服务器之间建立连接,允许用户便捷地查看和记录网络通信数据,包括请求 URL、请求头部、请求体、响应头部、响应体等信息。 使用 Charles 可以有助于调试和优化网络应用程序,例如通过重放网络请求来进行性能测试、诊断慢请求、查找代码中的 bug 等等。此外,Charles 还提供了其他一些功能,如 Map Remote、Throttling、Breakpoin
TLS版本及CipherSuites确认及设置
EDI电子数据交换 | 知行软件
12-02 7523
这些报错,有时是因为数据传输双方设置的TLS版本不一致导致,所以如果出现上述报错我们可在确认网络正常的情况下,排除是否是TLS问题,一般交易伙伴双方确认下彼此使用的TLS版本和Cipher Suites,然后不支持的一方进行设置即可。如果确认是TLS版本和Cipher Suites不支持问题,我们该如何查看知行之桥支持TLS版本TLS Cipher Suites,并进行修改或者设置呢?在这里可以删除不安全的SSL Cipher Suite,添加安全的SSL Cipher Suite,进行应用。
查询JDK默认支持的SSL/TSL版本
02-16 7651
public static void main(String[] args) throws Exception {           SSLContext context = SSLContext.getInstance("TLS");           context.init(null, null, null);              SSLSocketFactory fac...
SSL 版本TSL 版本 问题合集
zam183的博客
12-20 1845
解决 The client and server can not communicate, because they do not possess a common algorithm 问题
查询 HTTPS 网站 TLS 版本
热门推荐
vistaup的博客
10-12 1万+
查询 HTTPS 网站 TLS 版本
货拉拉移动端网络优化——协议升级篇
Android技术之家
03-25 1779
作者:货拉拉技术 链接:https://juejin.cn/post/7194627379656917047一、背景 网络能力是互联网App的基本能力,一个app只有联网才具有生命力。为了提升货拉拉移动端的网络请求速度、安全性,节省流量,成立了网络专项,对货拉拉的移动端从业务层、协议层、SDK等多个技术层面进行了全方位优化。经过一年多的改造,货拉拉的多个客户端网络速度提升明显,优化前后耗时如...
linux查看tls版本
最新发布
06-07
Linux系统中,你可以使用`openssl`工具来检查TLS(Transport Layer Security)协议版本。`openssl`是一个强大的加密和安全工具包,常用于SSL/TLS通信测试。如果你想要查看连接到某个服务器TLS版本,可以执行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值