apache和nginx的TLS1.0和TLS1.1禁用处理方案

news/2024/11/27 4:44:58/

1、TLS1.0和TLS1.1是什么?

TLS协议其实就是网络安全传输层协议,用于在两个通信应用程序之间提供保密性和数据完整性,TLS 1. 0 和TLS 1. 1 是分别是96 年和 06 年发布的老版协议。

2、为什么要禁用TLS1.0和TLS1.1传输协议

TLS1.0和TLS1.1协议使用的是弱加密算法,比如DES、SHA-1、MD5、RC4等。比较容易受攻击,目前新版本的TLS协议已经更新到TLS1.2、TLS1.3 ,高版本的TLS协议会对一些浏览器和系统兼容有影响,但是从互联网通信安全考虑,建议还是禁用TLS1.0和TLS1.1,启用TLS1.2和TLS1.3

3、Apache禁用TLS1.0和TLS1.1处理方案

一般Apache都是配置在http-ssl.conf配置文件里,也有在自定义配置文件*.conf配置文件。将SSLProtocol配置为以下内容:
SSLProtocol -ALL +TLSv1.2 +TLSv1.3

屏蔽不安全的加密套件,提供通讯安全性,配置如下:

SSLCipherSuite DHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4:!3DES:!DH:!DHE

修改完成后重启Apache即可。

4、nginx禁用TLS1.0和TLS1.1处理方案

在nginx安装目录/usr/local/nginx/conf中找到所的主机的Nginx 配置文件,打开找到ssl_protocols这行只保留TLSv1.2 TLSv1.3。例如:
ssl_protocols TLSv1.2 TLSv1.3;

屏蔽不安全的加密套件,提供通讯安全性。nginx配置文件中的ssl_ciphers决定服务器使用的加密套件,减少非安全 ciphers 能够提高安全性,但是对老的系统、设备兼容性下降,甚至握手失败。mozilla 的站点 Security/Server Side TLS,里面有官方推荐的 tls ciphers 组合。可以根据实际使用配置,我配置的ssl_ciphers如下:

ssl_ciphers TLS_CHACHA20_POLY1305_SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:!MD5:!RC4;

修改完成后重启Nginx即可。

5、第三方评测网站

1、MySSL

在这里插入图片描述

2、SSL在线工具

在这里插入图片描述

3、SSL Server Test

在这里插入图片描述

4、SSL/TLS检查器

在这里插入图片描述


http://www.ppmy.cn/news/24011.html

相关文章

leetcode: Two Sum

leetcode: Two Sum1. 题目1.1 题目描述2. 解答2.1 baseline2.2 基于baseline的思考2.3 优化思路的实施2.3.1 C中的hashmap2.3.2 实施2.3.3 再思考2.3.4 最终实施3. 总结1. 题目 1.1 题目描述 Given an array of integers nums and an integer target, return indices of the …

网络流量传输MTU解析

基本概念 以太网的链路层对数据帧的长度会有一个限制,其最大值默认是1500字节,链路层的这个特性称为MTU,即最大传输单元 Maximum Transmission Unit,最大传输单元,指的是数据链路层的最大payload,由硬件网…

java数据类型

数据类型 类型分类,存储范围,字面量,默认值,类型转换 类型分类 存储范围 数据类型字节数表示范围byte1-128~127short2-32768~32767,正负3万左右int4-2147483648~2147483647,正负21亿左右long8-922337203…

CrossOver2023mac跨系统互通切换win虚拟机

CrossOver2023版是在Mac上运行Win软件的最简单方法,有了它,你无须 Win许可、重新启动或使用虚拟机即可在mac上使用Win软件。CrossOver23可以轻松地从Dock本地启动Win程序。CrossOver版还集成了macOS 功能,例如跨平台复制和粘贴,以…

【C++详解】——vector类

📖 前言:本期介绍vector类。 目录🕒 1. vector的介绍🕒 2. vector的使用🕘 2.1 定义🕘 2.2 iterator🕘 2.3 空间增长🕘 2.4 增删查改🕒 2. vector的模拟实现&#x1f558…

【linux】线程概念

概念 什么是线程 在一个程序里的一个执行路线就叫做线程(thread)。更准确的定义是:线程是“一个进程内部的控制序列” 一切进程至少都有一个执行线程,线程在进程内部运行,本质是在进程地址空间内运行 在Linux系统中&a…

【大数据Hadoop】Hadoop 3.x 新特性总览

Hadoop 3.x 新特性剖析系列11. 概述2. 内容2.1 JDK2.2 EC技术2.3 YARN的时间线V.2服务2.3.1 伸缩性2.3.2 可用性2.3.3 架构体系2.4 优化Hadoop Shell脚本2.5 重构Hadoop Client Jar包2.6 支持等待容器和分布式调度2.7 支持多个NameNode节点2.8 默认的服务端口被修改2.9 支持文件…

实战打靶集锦-004-My-Cmsms

**写在前面:**记录一次艰难曲折的打靶经历。 目录1. 主机发现2. 端口扫描3. 服务枚举4. 服务探查4.1 WEB服务探查4.1.1 浏览器访问4.1.2 目录枚举4.1.3 控制台探查4.1.4 其他目录探查4.2 阶段小结5. 公共EXP搜索5.1 CMS搜索5.2 Apache搜索5.3 PHP搜索5.4 MySQL搜索5…