當(dāng)前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

[转帖]TLS 版本问题

發(fā)布時間：2024/8/26 编程问答 32 豆豆

生活随笔收集整理的這篇文章主要介紹了 [转帖]TLS 版本问题小編覺得挺不錯的,現(xiàn)在分享給大家,幫大家做個參考.

轉(zhuǎn)帖 From?

https://www.cnblogs.com/xjnotxj/p/7252043.html

一、環(huán)境：

CentOS 6.8
nginx 1.6.0
php 7.0.10

二、背景

最近開發(fā)一個小程序，而小程序?qū)笈_接口服務(wù)器的要求是：

1、請求域名在request合法域名中
2、基于 https 協(xié)議
3、TLS 版本 1.2+

1、2 兩條都滿足了，但是第三條亟待解決，導(dǎo)致小程序調(diào)用接口時報錯：

三、正文

（1）為什么要滿足 TLS 版本 1.2+ ？

2017年1月1日起，蘋果強制所有 app 滿足 HTTPS，即 iOS9 推出的 App Transport Security (ATS) 特性。

訪問?https://www.qcloud.com/product/ssl#userDefined10?，
輸入域名，檢查您的 iOS app 是否滿足 ATS 特性：

報錯了，提示不支持 TLS1.2。

（2）如何滿足 TLS 版本 1.2+ ？

1、openSSL 版本 1.0.1+

查看 openSSL 版本：

openssl version -a

2、nginx 版本為 0.7.65，0.8.19 及更高版本

查看 nginx 版本：

nginx -V

結(jié)果是，我的版本都符合要求。

（3）nginx 配置 TLS1.2

本人申請的是騰訊云的安全證書，官方有提供 nginx 如何配置的文檔：
https://www.qcloud.com/document/product/400/6973#1.nginx-.E8.AF.81.E4.B9.A6.E9.85.8D.E7.BD.AE

配置?nginx.conf?支持 TLS1.2 的方法如下（看?ssl_protocols?參數(shù)）：

server {listen 443;server_name www.domain.com; #填寫綁定證書的域名 ssl on; ssl_certificate 1_www.domain.com_bundle.crt; ssl_certificate_key 2_www.domain.com.key; ssl_session_timeout 5m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #按照這個協(xié)議配置 ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;#按照這個套件配置 ssl_prefer_server_ciphers on; location / { root html; #站點目錄 index index.html index.htm; } }

四、遇到的問題

按照上文一切都做完之后，發(fā)現(xiàn)還是不行。

折騰好久之后。

發(fā)現(xiàn)，原來是 nginx 之前有配另一個 https 的 server，關(guān)于
ssl_protocols?的參數(shù)值為：

ssl_protocols SSLv2 SSLv3 TLSv1;

里面根本沒有包含 TLSv1.2！從而影響了我們這個 server！

所以把改成：

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

再測試：

完美。

以及啟用的方法更高級別安全性的方法 The DEFAULT System.Net.ServicePointManager.SecurityProtocol in both .NET 4.0/4.5 is:SecurityProtocolType.Ssl3 | SecurityProtocolType.Tls..NET 4.0 supports up to TLS 1.0 while .NET 4.5 supports up to TLS 1.2However, an application targeting .NET 4.0 can still support up to TLS 1.2 if .NET 4.5 is installed in the same environment. .NET 4.5 installs on top of .NET 4.0, replacing System.dll.I've verified this by observing the correct security protocol set in traffic with fiddler4 and by manually setting the enumerated values in a .NET 4.0 project: ServicePointManager.SecurityProtocol = (SecurityProtocolType)192 |(SecurityProtocolType)768 | (SecurityProtocolType)3072;

轉(zhuǎn)載于:https://www.cnblogs.com/jinanxiaolaohu/p/9677762.html

總結(jié)

以上是生活随笔為你收集整理的[转帖]TLS 版本问题的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。