http服务(nginx、apache)停用不安全的SSL协议、TLS1.0和TLS1.1协议/启用TLS1.3
文章目錄
- 一、http服務停用不安全的TLS1.0和TLS1.1協議
- nginx
- Apache
- apache要支持TLS1.2 版本要求
- 工作中遇到問題整理
- [error] No SSL protocols available [hint: SSLProtocol]
- apache 版本支持TLS1.3
- 公網環境驗證站點正在使用ssl/tls 版本
- 二、關于啟用TLS 1.3
- 1. 什么是TLS 1.3?
- 2. 如何確定openssl庫的最新支持的SSL/TLS版本?
- 三、客戶端對ssl/tls支持情況
- 1. curl
- 2. 瀏覽器
- 四、參考
一、http服務停用不安全的TLS1.0和TLS1.1協議
TLS 1.0 和 TLS 1.1 是分別于 1996 年和 2006 年發布的老版協議,使用的是弱加密算法和系統。比如 SHA-1 和 MD5,這些算法和系統十分脆弱,存在重大安全漏洞,容易受到降級攻擊的嚴重影響,而在 2008 年和 2017 年分別發布了協議的新版本,即 TLS 1.2 和 TLS 1.3,無疑更優于舊版本,使用起來也更安全。
nginx
我假設你有Nginx 1.13+
SSL設置下的默認配置(conf/nginx.conf)應如下所示
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;刪除TLS1.0 TLSv1.1、增加TLS1.3,
TLSv1.3在行的末尾添加,因此它看起來如下所示
重啟Nginx使配置生效
nginx -s reloadApache
通常Apache的配置如下
SSLProtocol -ALL +TLSv1 +TLSv1.1 +TLSv1.2- 基于RedHat的發行版(CentOS,Fedora)配置文件/etc/httpd/conf/httpd.conf
- 基于Debian的發行版(Ubuntu)配置文件/etc/apache2/sites-enabled/目錄下
刪除+TLSv1 +TLSv1.1、增加TLSv1.3
SSLProtocol -ALL +TLSv1.2 +TLSv1.3這個 應該是排除所有(注意ALL前面有個減號),只用 1.2 或 1.3
重啟Apache使配置生效
# 基于RedHat的發行版(CentOS,Fedora) systemctl restart httpd# 基于Debian的發行版(Ubuntu) service apache2 restart實戰demo:
使用了更早的apache(2.2)版本,默認的內容如下:
在其后增加-TLSv1 -TLSv1.1并保存
apache要支持TLS1.2 版本要求
apache默認支持SSLv3,TLSv1,TLSv1.1,TLSv1.2協議
為了獲得最佳的安全性,您將設置
SSLProtocol -all +TLSv1.2SSLProtocol -all +TLSv1.2
的 ‘-all’ 參數刪除其他SSL/TLS協議(SSLv1,的SSLv2,SSLv3和TLS1)。
'+ TLSv1.2’參數添加TLSv1.2。
工作中遇到問題整理
[error] No SSL protocols available [hint: SSLProtocol]
Apache error: No SSL protocols available [hint: SSLProtocol]
參考URL: https://stackoverflow.com/questions/35492334/apache-error-no-ssl-protocols-available-hint-sslprotocol
如果排除很多低版本,報錯No SSL protocols available, 考慮升級httpd、openssl版本或者 你配置是否有問題是否你把所有支持的版本都排除了。
apache 版本支持TLS1.3
安裝的Apache版本與Systems openssl庫相連,即openssl 1.0.2k。該庫沒有TLS 1.3支持,也意味著配置TLS 1.3所需的必要功能不可用,因此不能從Apache中使用。
公網環境驗證站點正在使用ssl/tls 版本
- https://www.ssllabs.com/ssltest
此免費在線服務對公共Internet上的任何SSL Web服務器的配置進行深入分析。請注意,您提交的信息僅用于為您提供服務。我們不使用域名或測試結果,我們永遠不會。
我們試試輸入谷歌 www.google.com
我們試試百度 www.baidu.com
在SSL Server Test掃描一些測試網站,評分只能到B,而原因是服務器開啟了TLS1.0和1.1的支持,這些主要都是針對一些很久的瀏覽器使用的,目前新版都已經支持1.2和1.3了,如果訪問者幾乎不會使用TLS1.0和1.1的,則可以考慮關閉。
- https://myssl.com
當然這些檢測,一般用于公網環境檢測,那么我們內網環境,我們怎么檢測我ssl協議呢?
二、關于啟用TLS 1.3
1. 什么是TLS 1.3?
當ssl更新到3.0版本后,IETF(互聯網工程任務組)對ssl3.0進行了標準化,標準化后的協議就是TLS1.0,所以說TLS是SSL的標準化后的產物,TLS當前有1.0 ,1.1,1.2三個版本,默認使用1.0。
TLS(傳輸層安全性)1.3基于現有的1.2規范。它是最新的TLS版本協議,旨在提高性能和安全性。
TLS 1.3 由 IETF 于 2018 年 8 月正式發布。
TLS(Transport Layer Security)是一種加密協議,旨在通過 IP 網絡提供安全通信。它是當今非常常見的協議,用于保護 Web 瀏覽器和 Web 服務器之間的 HTTP 通信。當使用 TLS 保護 HTTP 時,它通常被稱為 HTTPS(HTTP Secure)。TLS/SSL 是安全傳輸層協議,是介于 TCP 和 HTTP 之間的一層安全協議,不影響原有的 TCP 協議和 HTTP 協議。
TLS 1.3 是時隔九年對 TLS 1.2 等之前版本的新升級,也是迄今為止改動最大的一次。 針對目前已知的安全威脅,IETF(Internet Engineering Task Force,互聯網工程任務組)制定 TLS 1.3 的新標準,使其有望成為有史以來最安全,但也最復雜的 TLS 協議。
TLS 1.3 與之前的協議有較大差異,主要在于:
- 相比過去的的版本,引入了新的密鑰協商機制 — PSK
- 支持 0-RTT 數據傳輸,在建立連接時節省了往返時間
- 廢棄了 3DES、RC4、AES-CBC 等加密組件,廢棄了 SHA1、MD5 等哈希算法
- ServerHello 之后的所有握手消息采取了加密操作,可見明文大大減少
- 不再允許對加密報文進行壓縮、不再允許雙方發起重協商
- DSA 證書不再允許在 TLS 1.3 中使用
對比舊協議中的不足,TLS 1.3 確實可以稱得上是向前邁了一大步。既避免之前版本出現的缺陷,也減少了 TLS 握手的時間。
TLS 1.3 與以前的版本相比具有如下兩個大的優勢:更快的訪問速度和更強的安全性!
2. 如何確定openssl庫的最新支持的SSL/TLS版本?
openssl s_client -help 2>&1 | awk '/-(ssl|tls)[0-9]/{print $1}'現在許多網站,都要求tls1.2協議以上,像github、 pip3安裝包網站https://pip.pypa.io/等。
openssl現有版本不支持。需要升級openssl。
現在版本openssl 1.0.0e,不支持tls1.2。
[root@banel64 gvmd-8]# openssl
OpenSSL> version
OpenSSL 1.0.0e-fips 6 Sep 2011
OpenSSL>
查看官網說明,從1.0.1版本開始支持TLS1.1及TLS1.2
來自官網說明:
https://www.openssl.org/news/changelog.html
Openssl 版本一直到 1.0.0h 都支持 SSLv2、SSLv3 和 TLSv1.0.從 Openssl 1.0.1 開始,添加了對 TLSv1.1 和 TLSv1.2 的支持.
三、客戶端對ssl/tls支持情況
1. curl
curl 是請求訪問 Web 服務器的命令行工具,7.52.0 & + 版本支持 TLSv1.3。
7.52.0 - December 21 2016,curl: introduce the --tlsv1.3 option to force TLS 1.3
使用參數 --tlsv1.3,可以通過 curl --help 查看是否支持該參數
2. 瀏覽器
TODO
四、參考
如何在Apache,Nginx和Cloudflare中啟用TLS 1.3?
參考URL: https://www.pianshen.com/article/5379403796/
總結
以上是生活随笔為你收集整理的http服务(nginx、apache)停用不安全的SSL协议、TLS1.0和TLS1.1协议/启用TLS1.3的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: python卡通滤镜_纯Python综合
- 下一篇: 如来分形 大圣败北 ——如来会分形的取证