nginx 关闭低版本tls协议

最新推荐文章于 2024-08-17 03:13:53 发布
最新推荐文章于 2024-08-17 03:13:53 发布
阅读量4.3k 收藏 8
点赞数 2
文章标签: nginx https tls openssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yscisco/article/details/121437215
版权

昨天一早,客户联系到我,说他们源站https支持tlsv1.0 tlsv1.1 tlsv1.2,因为安全扫描的时候显示tlsv1.0和tlsv1.1存在安全风险,所以源站将tlsv1.0和tlsv1.1关闭了,但再后续扫描发现还是存在tlsv1.0开启的问题,所以联系到我问是不是cdn侧的问题。作为cdn厂商,为了兼容老的浏览器,cdn侧默认是开启了tlsv1.0等低版本的支持。确认问题后,客户要求关闭tlsv1.0。
大家都知道,nginx配置中有关于ssl_protocol的配置,所以开始我以为关闭tlsv1.0非常容易,只需要改一行配置即可。

#ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
ssl_protocols  TLSv1.2;

改完后通过curl测试发现,使用tlsv1.0还是可以正常访问的,感觉比较奇怪。

curl -vo /dev/null "https://www.example.com/client.css" --resolve www.example.com:443:203.0.113.1  --tlsv1.0 #linux
curl -vo /dev/null "https://www.example.com/client.css" --resolve www.example.com:443:203.0.113.1  --tlsv1.0 --tls-max 1.0 #mac

经过进一步分析发现,nginx配置项中的ssl_ciphers项中,如果允许了低版本的加密套件,哪怕ssl_protocols中没有允许低版本的ssl协议,nginx也会开启对低版本的支持,这就是问题所在。
通过更改ssl_ciphers,重新验证,问题修复。

ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;

这里推荐一个工具,大家在配置ssl_ciphers的时候,可能不知道如何配置,可以到SSL Configuration Generator上面根据自己软件类型、版本,openssl版本,以及自己期望的安全等级在线生成建议的配置。

yscisco
关注
Nginx与SSL/TLS:实现HTTPS安全通信的最佳实践
java专栏
09-07 1175
SSL(Secure Sockets Layer)和TLS(Transport Layer Security)是两个加密协议,它们是数字世界中保护信息安全的盾牌。SSL是最初的版本,后来被TLS所取代。不过,人们通常还是习惯将它们统称为SSL。SSL/TLS的作用是为数据传输提供一个安全层,确保数据在传输过程中不被窃听或篡改。它们通过使用加密算法来实现这一点,只有拥有正确密钥的人才能解读加密后的数据。
【HMS Core】关于推送服务相关域名的TLS1.0和TLS1.1协议关闭相关问题
华为开发者联盟
02-09 563
华为平台推送消息时,报 Error while calling HCM backend service 错误。推送报错:Error while calling HCM backend service.推送报错:Received fatal alert: protocol_version。华为平台推送消息时,请求被中止: 未能创建 SSL/TLS 安全通道。以上四个问题,均由于使用的TLS协议版本低于1.2导致。确认TLS为1.0或1.1,如何升级?欲了解更多更全技术文章,欢迎访问。
SSL/TLS概述
Eight ZERO
08-08 498
SSL/TLS TLS协议分为两层 底层(Record Layer) 上层(ChangeCipherSpec Protocol<20>, Alert Protocol<21>, Handshake Protocol<22>, Application Data Protocol<23>) Record Layer处于TLS协议
探索TLS协议版本演进与Nginx配置小指南
最新发布
weixin_40803183的博客
08-17 118
引言传输层安全协议(Transport Layer Security,简称TLS)是互联网安全通信的基础。TLS提供了数据加密、数据完整性和身份验证,确保数据在传输过程中不被窃取或篡改。本文将详细介绍TLS的各种版本、它们的技术细节与区别、如何在Nginx中配置TLS,以及不同应用场景下的最佳实践。TLS版本概述SSL 1...
NGINX关闭低版本tls协议 禁用 tls1.0 tls1.1等协议
老刀专栏
11-04 5744
NGINX关闭低版本tls协议 禁用 tls1.0 tls1.1等协议
Nginx禁用TLSv1.0 1.1,改为TLSv1.2 1.3
热门推荐
qq_42287535的博客
07-28 1万+
nginx代理禁用网站TLSv1.0 TLSv1.1,只启用TLSv1.2 TLSv1.3
Nginx禁用TLS 1.0和TLS 1.1
zyy247796143的博客
07-01 1万+
传输层安全性协议(英语:Transport Layer Security,缩写:TLS)及其前身安全套接层(英语:Secure Sockets Layer,缩写:SSL)是一种安全协议,目的是为互联网通信提供安全及数据完整性保障。网景公司(Netscape)在1994年推出首版网页浏览器-网景导航者时,推出HTTPS协议,以SSL进行加密,这是SSL的起源。IETF将SSL进行标准化,1999年公布TLS 1.0标准文件(RFC 2246)。随后又公布TLS 1.1(RFC 4346,2006年)、TLS
Nexus使用nginx代理实现支持HTTPS协议
09-29
但是,直接让Nexus支持HTTPS协议并不容易,因此,通常的做法是在Nexus前面加入nginx作为代理服务器,并配置nginx支持HTTPS协议。本文将详细讲解Nexus如何通过nginx代理来实现支持HTTPS协议的配置过程。 首先,要...
apache和nginxTLS1.0和TLS1.1禁用处理方案
fwdwqdwq的博客
08-01 4261
先自我介绍一下,小编13年上师交大毕业,曾经在小公司待过,去过华为OPPO等大厂,18年进入阿里,直到现在。比较容易受攻击,目前新版本TLS协议已经更新到TLS1.2、TLS1.3,高版本TLS协议会对一些浏览器和系统兼容有影响,但是从互联网通信安全考虑,建议还是禁用TLS1.0和TLS1.1,启用TLS1.2和TLS1.3.TLS协议其实就是网络安全传输层协议,用于在两个通信应用程序之间提供保密性和数据完整性,TLS1.0和TLS1.1是分别是96年和06年发布的协议。...
linux上关闭tls1.0协议,NGINX禁用TLS1.0和TLS1.1使网站更安全
05-24
在 Linux 上关闭 TLS1.0 协议,可以通过修改 OpenSSL 配置文件来实现。以下是具体步骤: 1. 打开 OpenSSL 配置文件 `/etc/ssl/openssl.cnf`。 2. 找到 `[system_default_sect]` 部分,添加以下两行代码: ``` ...
服务器系列:服务器禁用TLS1.0和TLS1.1协议使网站更安全
行成于思,形之于文
03-06 4083
1-1. 基于RedHat的发行版(CentOS,Fedora)配置文件/etc/httpd/conf/httpd.conf。1-2. 基于Debian的发行版(Ubuntu)配置文件/etc/apache2/sites-enabled/目录下。
开发日志:windows 服务器禁用TLS1.0和TLS1.1协议使网站更安全
老罗传奇
01-30 1824
SSL/TLS版本 协议 发布时间 状态 SSL 1.0 未公布 未公布 SSL 2.0 1995 年 已于 2011 年弃用 SSL 3.0 1996 年 已于 2015 年弃用 TLS 1.0 1999 年 计划于 2020 年弃用 TLS 1.1 2006 年 计划于 2020 年弃用 TLS 1.2 2008 年 TLS 1.3 2018...
Nginx 配置禁用TLSv1.0不生效的问题
MRsuibian的博客
06-30 2863
最近公司要求要禁用TLSv1.0协议,首先在网上找在线检测协议工具,地址https://myssl.com/,检测完了以后发现确实支持TLSv1.0协议的,然后开始配置,这个非常简单ssl_protocols TLSv1 TLSv1.1 TLSv1.2改为ssl_protocols TLSv1.1 TLSv1.2TLSv1.3,然后nginx -s reload,刷新一下页面,发现结果没变化,一脸懵,难道配置有问题?反复检查了确实没问题,还是系统有问题?最后搞了半天才发现是https://myssl.c..
win服务器 Nginx配置TLS1.2一直不生效
qq_35594465的博客
10-14 1220
楼主被这个问题困扰了很久。配置证书。先简单的说一下楼主的操作 1.配置Nginx HTTPS(这里主要说的是配置TLS1.2一直不生效的问题。如何配置HTTPS请百度) 2.配置Nginx ssl_protocols TLSv1.2; 3.重启Nginx(有意思的就是这一步了) 3.1楼主是直接写的脚本,将nginx目录下的log中的pid文档中的进程杀死的。 3.2这样是不行的。n...
服务器支持低版本SSL/TLS协议 支持SSL弱密码套件
weixin_45596492的博客
03-24 7216
服务器支持低版本SSL/TLS协议 漏洞描述 在测试中发现服务器支持低版本TLS1.0和 TLS1.1协议,这些协议存在公开的漏洞建议,应该禁止使用。 漏洞影响 TLS 1.0和 TLS 1.1可能会受到FREAK、POODLE、BEAST和CRIME等漏洞的影响。 关于漏洞的详情可以查看: https://www.acunetix.com/blog/articles/tls-vulnerabilities-attacks-final-part/ 修复建议 可参考如下链接进行配置:
解决 Nginx 配置TLS1.2使用不生效,总是TLS1.0的问题
dabao87的博客
12-09 6723
1、为了提高证书的加密安全,启用TLS1.2,但配置完后显示仍然是TLS1.0,后来发现,Nginx上面配置了很多vhost,只将一个站点修改为TLS1.2是不起作用的,于是,将所有站点的配置都加上了TLS1.2的支持,问题解决。 同时,禁用已经废弃的SSLv2和SSLv3协议。 # 启用所有协议,禁用已废弃的不安全的SSLv2和SSLv3 ssl_protocols TLSv1.2 TLSv1.1 TLSv1; 2、如果需要支持1.2的话. 注:OpenSSL版本要求 &..
linux显示tlsv版本号,如何在Nginx中禁用TLSv1.0和TLSv1.1
weixin_32247455的博客
05-14 2712
nginx documentation for ssl_protocols指令:The TLSv1.1 and TLSv1.2 parameters are supported starting from versions 1.1.13 and 1.0.12, so when the OpenSSL version 1.0.1 or higher is used on older nginx v...
web安全测试之appscan – TLS1.0 is enabled - 猿码设计师
Programming
06-06 1642
web安全测试之appscan – TLS1.0 is enabled - 猿码设计师https://www.yuanmadesign.com/ymdesign/web-appscan-tlsAppScan发现服务器支持TLS 版本TLSv1.0 或 TLSv1.1)。服务器端配置的TLS版本比较,需要更改。以Nginx配置为例:server {...ssl_protocols TLSv1.2 TLSv1.3;...}版本TLS有安全漏洞,虽然客户端支持,但是最好还是不要使用。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值