文章目錄

• 一、http服務(wù)停用不安全的TLS1.0和TLS1.1協(xié)議
• • nginx
  • Apache
  • • apache要支持TLS1.2 版本要求
    • 工作中遇到問題整理
    • • [error] No SSL protocols available [hint: SSLProtocol]
    • apache 版本支持TLS1.3
  • 公網(wǎng)環(huán)境驗(yàn)證站點(diǎn)正在使用ssl/tls 版本
• 二、關(guān)于啟用TLS 1.3
• • 1. 什么是TLS 1.3？
  • 2. 如何確定openssl庫(kù)的最新支持的SSL/TLS版本？
• 三、客戶端對(duì)ssl/tls支持情況
• • 1. curl
  • 2. 瀏覽器
• 四、參考

一、http服務(wù)停用不安全的TLS1.0和TLS1.1協(xié)議

TLS 1.0 和 TLS 1.1 是分別于 1996 年和 2006 年發(fā)布的老版協(xié)議，使用的是弱加密算法和系統(tǒng)。比如 SHA-1 和 MD5，這些算法和系統(tǒng)十分脆弱，存在重大安全漏洞，容易受到降級(jí)攻擊的嚴(yán)重影響，而在 2008 年和 2017 年分別發(fā)布了協(xié)議的新版本，即 TLS 1.2 和 TLS 1.3，無疑更優(yōu)于舊版本，使用起來也更安全。

nginx

我假設(shè)你有Nginx 1.13+

SSL設(shè)置下的默認(rèn)配置（conf/nginx.conf）應(yīng)如下所示

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

刪除TLS1.0 TLSv1.1、增加TLS1.3，
TLSv1.3在行的末尾添加，因此它看起來如下所示

ssl_protocols TLSv1.2 TLSv1.3;

重啟Nginx使配置生效

nginx -s reload

Apache

通常Apache的配置如下

SSLProtocol -ALL +TLSv1 +TLSv1.1 +TLSv1.2

• 基于RedHat的發(fā)行版（CentOS，Fedora）配置文件/etc/httpd/conf/httpd.conf
• 基于Debian的發(fā)行版（Ubuntu）配置文件/etc/apache2/sites-enabled/目錄下

刪除+TLSv1 +TLSv1.1、增加TLSv1.3

SSLProtocol -ALL +TLSv1.2 +TLSv1.3

這個(gè) 應(yīng)該是排除所有（注意ALL前面有個(gè)減號(hào)），只用 1.2 或 1.3

重啟Apache使配置生效

# 基于RedHat的發(fā)行版（CentOS，Fedora） systemctl restart httpd# 基于Debian的發(fā)行版（Ubuntu） service apache2 restart

實(shí)戰(zhàn)demo：
使用了更早的apache（2.2）版本，默認(rèn)的內(nèi)容如下：
在其后增加-TLSv1 -TLSv1.1并保存

SSLProtocol ALL -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

apache要支持TLS1.2 版本要求

apache默認(rèn)支持SSLv3，TLSv1，TLSv1.1，TLSv1.2協(xié)議

為了獲得最佳的安全性，您將設(shè)置

SSLProtocol -all +TLSv1.2

SSLProtocol -all +TLSv1.2
的 ‘-all’ 參數(shù)刪除其他SSL/TLS協(xié)議（SSLv1，的SSLv2，SSLv3和TLS1）。

'+ TLSv1.2’參數(shù)添加TLSv1.2。

工作中遇到問題整理

[error] No SSL protocols available [hint: SSLProtocol]

Apache error: No SSL protocols available [hint: SSLProtocol]
參考URL: https://stackoverflow.com/questions/35492334/apache-error-no-ssl-protocols-available-hint-sslprotocol

如果排除很多低版本，報(bào)錯(cuò)No SSL protocols available， 考慮升級(jí)httpd、openssl版本或者 你配置是否有問題是否你把所有支持的版本都排除了。

apache 版本支持TLS1.3

安裝的Apache版本與Systems openssl庫(kù)相連，即openssl 1.0.2k。該庫(kù)沒有TLS 1.3支持，也意味著配置TLS 1.3所需的必要功能不可用，因此不能從Apache中使用。

公網(wǎng)環(huán)境驗(yàn)證站點(diǎn)正在使用ssl/tls 版本

• https://www.ssllabs.com/ssltest
  此免費(fèi)在線服務(wù)對(duì)公共Internet上的任何SSL Web服務(wù)器的配置進(jìn)行深入分析。請(qǐng)注意，您提交的信息僅用于為您提供服務(wù)。我們不使用域名或測(cè)試結(jié)果，我們永遠(yuǎn)不會(huì)。

我們?cè)囋囕斎牍雀?www.google.com
我們?cè)囋嚢俣?www.baidu.com

在SSL Server Test掃描一些測(cè)試網(wǎng)站，評(píng)分只能到B，而原因是服務(wù)器開啟了TLS1.0和1.1的支持，這些主要都是針對(duì)一些很久的瀏覽器使用的，目前新版都已經(jīng)支持1.2和1.3了，如果訪問者幾乎不會(huì)使用TLS1.0和1.1的，則可以考慮關(guān)閉。

• https://myssl.com
  

當(dāng)然這些檢測(cè)，一般用于公網(wǎng)環(huán)境檢測(cè)，那么我們內(nèi)網(wǎng)環(huán)境，我們?cè)趺礄z測(cè)我ssl協(xié)議呢？

二、關(guān)于啟用TLS 1.3

1. 什么是TLS 1.3？

當(dāng)ssl更新到3.0版本后，IETF（互聯(lián)網(wǎng)工程任務(wù)組）對(duì)ssl3.0進(jìn)行了標(biāo)準(zhǔn)化，標(biāo)準(zhǔn)化后的協(xié)議就是TLS1.0，所以說TLS是SSL的標(biāo)準(zhǔn)化后的產(chǎn)物，TLS當(dāng)前有1.0 ,1.1,1.2三個(gè)版本,默認(rèn)使用1.0。

TLS（傳輸層安全性）1.3基于現(xiàn)有的1.2規(guī)范。它是最新的TLS版本協(xié)議，旨在提高性能和安全性。

TLS 1.3 由 IETF 于 2018 年 8 月正式發(fā)布。

TLS（Transport Layer Security）是一種加密協(xié)議，旨在通過 IP 網(wǎng)絡(luò)提供安全通信。它是當(dāng)今非常常見的協(xié)議，用于保護(hù) Web 瀏覽器和 Web 服務(wù)器之間的 HTTP 通信。當(dāng)使用 TLS 保護(hù) HTTP 時(shí)，它通常被稱為 HTTPS（HTTP Secure）。TLS/SSL 是安全傳輸層協(xié)議，是介于 TCP 和 HTTP 之間的一層安全協(xié)議，不影響原有的 TCP 協(xié)議和 HTTP 協(xié)議。

TLS 1.3 是時(shí)隔九年對(duì) TLS 1.2 等之前版本的新升級(jí)，也是迄今為止改動(dòng)最大的一次。 針對(duì)目前已知的安全威脅，IETF（Internet Engineering Task Force，互聯(lián)網(wǎng)工程任務(wù)組）制定 TLS 1.3 的新標(biāo)準(zhǔn)，使其有望成為有史以來最安全，但也最復(fù)雜的 TLS 協(xié)議。

TLS 1.3 與之前的協(xié)議有較大差異，主要在于：

• 相比過去的的版本，引入了新的密鑰協(xié)商機(jī)制 — PSK
• 支持 0-RTT 數(shù)據(jù)傳輸，在建立連接時(shí)節(jié)省了往返時(shí)間
• 廢棄了 3DES、RC4、AES-CBC 等加密組件，廢棄了 SHA1、MD5 等哈希算法
• ServerHello 之后的所有握手消息采取了加密操作，可見明文大大減少
• 不再允許對(duì)加密報(bào)文進(jìn)行壓縮、不再允許雙方發(fā)起重協(xié)商
• DSA 證書不再允許在 TLS 1.3 中使用

對(duì)比舊協(xié)議中的不足，TLS 1.3 確實(shí)可以稱得上是向前邁了一大步。既避免之前版本出現(xiàn)的缺陷，也減少了 TLS 握手的時(shí)間。

TLS 1.3 與以前的版本相比具有如下兩個(gè)大的優(yōu)勢(shì)：更快的訪問速度和更強(qiáng)的安全性！

2. 如何確定openssl庫(kù)的最新支持的SSL/TLS版本？

openssl s_client -help 2>&1 | awk '/-(ssl|tls)[0-9]/{print $1}'

現(xiàn)在許多網(wǎng)站，都要求tls1.2協(xié)議以上，像github、 pip3安裝包網(wǎng)站https://pip.pypa.io/等。

openssl現(xiàn)有版本不支持。需要升級(jí)openssl。

現(xiàn)在版本openssl 1.0.0e,不支持tls1.2。

[root@banel64 gvmd-8]# openssl

OpenSSL> version

OpenSSL 1.0.0e-fips 6 Sep 2011

OpenSSL>

查看官網(wǎng)說明，從1.0.1版本開始支持TLS1.1及TLS1.2

來自官網(wǎng)說明：
https://www.openssl.org/news/changelog.html

Openssl 版本一直到 1.0.0h 都支持 SSLv2、SSLv3 和 TLSv1.0.從 Openssl 1.0.1 開始，添加了對(duì) TLSv1.1 和 TLSv1.2 的支持.

三、客戶端對(duì)ssl/tls支持情況

1. curl

curl 是請(qǐng)求訪問 Web 服務(wù)器的命令行工具，7.52.0 & + 版本支持 TLSv1.3。

7.52.0 - December 21 2016，curl: introduce the --tlsv1.3 option to force TLS 1.3

使用參數(shù) --tlsv1.3，可以通過 curl --help 查看是否支持該參數(shù)

2. 瀏覽器

TODO

四、參考

如何在Apache，Nginx和Cloudflare中啟用TLS 1.3？
參考URL: https://www.pianshen.com/article/5379403796/

總結(jié)

以上是生活随笔為你收集整理的http服务（nginx、apache）停用不安全的SSL协议、TLS1.0和TLS1.1协议/启用TLS1.3的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。