It is recommended to disable TLS 1.1 and replace it with TLS 1.2 or higher.修复方案

最新推荐文章于 2025-05-31 11:53:58 发布
最新推荐文章于 2025-05-31 11:53:58 发布
阅读量809 收藏 13
点赞数 9
文章标签: 漏洞修复 ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/JavaAlpha/article/details/148336509
版权

修复方案:禁用 TLS 1.1,强制使用 TLS 1.2 或更高版本

TLS 1.1(RFC 4346, 2006)已过时,存在安全风险(如 BEASTPOODLE 等攻击)。应升级至 TLS 1.2+(推荐 TLS 1.3)。以下是具体修复步骤:

1. 检测当前支持的 TLS 版本

(1)使用 OpenSSL 测试

openssl s_client -connect your-server.com:443 -tls1_1  # 测试 TLS 1.1 是否支持
openssl s_client -connect your-server.com:443 -tls1_2  # 测试 TLS 1.2 是否支持
  • 如果 TLS 1.1 连接成功,说明需要禁用。
  • 如果报错 no peer certificate availableunsupported protocol,说明已禁用。

(2)使用 nmap 检测

nmap --script ssl-enum-ciphers -p 443 your-server.com | grep "TLSv1.1"

如果显示 TLSv1.1: No supported ciphers found,说明已禁用。

(3)使用 Qualys SSL Labs 在线检测

访问 https://www.ssllabs.com/ssltest/,输入域名查看 Protocol Support 部分,确保 TLS 1.1 被标记为 No

2. 禁用 TLS 1.1,强制使用 TLS 1.2+

(1)Nginx 配置

修改 nginx.conf 或站点 SSL 配置:

ssl_protocols TLSv1.2 TLSv1.3;  # 仅允许 TLS 1.2 和 TLS 1.3
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305';
ssl_prefer_server_ciphers on;

重启 Nginx

nginx -t && systemctl restart nginx

(2)Apache 配置

修改 ssl.conf 或虚拟主机配置:

SSLProtocol TLSv1.2 TLSv1.3  # 禁用 TLS 1.0/1.1
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384
SSLHonorCipherOrder on

重启 Apache

systemctl restart apache2

(3)Tomcat(server.xml)

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
           sslEnabledProtocols="TLSv1.2,TLSv1.3"
           ciphers="TLS_AES_256_GCM_SHA384,ECDHE-RSA-AES256-GCM-SHA384" />

重启 Tomcat

systemctl restart tomcat

(4)Java(JVM 参数)

在启动时禁用 TLS 1.1:

java -Djdk.tls.client.protocols="TLSv1.2,TLSv1.3" -jar your-app.jar

或在 java.security 文件($JAVA_HOME/conf/security/java.security)中修改:

jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1, DES, 3DES, RC4

(5)IIS(Windows Server)

  1. 打开 组策略编辑器gpedit.msc)。
  2. 导航至:
    计算机配置 → 管理模板 → 网络 → SSL 配置设置
  3. 修改 SSL 协议版本,禁用 TLS 1.0/1.1,仅启用 TLS 1.2/1.3
  4. 重启服务器生效。

3. 验证修复是否成功

(1)OpenSSL 测试 TLS 1.1 是否被禁用

openssl s_client -connect your-server.com:443 -tls1_1

预期结果

  • 如果返回 no protocols availableunsupported protocol,说明 TLS 1.1 已禁用。
  • 如果仍然支持,检查配置是否正确并重启服务。

(2)使用 nmap 重新检测

nmap --script ssl-enum-ciphers -p 443 your-server.com | grep "TLSv1.1"

预期结果TLSv1.1: No supported ciphers found

(3)使用 Qualys SSL Labs 测试

确保 TLS 1.1 显示为 No,且 TLS 1.2/1.3 显示为 Yes

4. 额外加固建议

优先使用 TLS 1.3(更安全、更高效)
禁用 CBC 模式密码(改用 AES-GCM 或 CHACHA20)
启用 HSTS(强制 HTTPS)
定期更新 OpenSSL/Nginx/Apache

📌 总结

  1. 检测:使用 opensslnmap 检查 TLS 1.1 是否启用。
  2. 修复:在 Nginx/Apache/Tomcat/Java/IIS 中禁用 TLS 1.1,仅允许 TLS 1.2+。
  3. 验证:使用 openssl s_client 或 SSL Labs 确认修复成功。

修复后,服务器将仅支持 TLS 1.2/1.3,安全性大幅提升! 🚀

JavaAlpha
关注
服务器不支持tls1.0,如何解决:对应的服务器 tlstls 1.0,小程序要求的TLS版本必须大于等于1.2问题...
weixin_42306501的博客
07-29 1027
Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCH...
TLS/SSL在Node.js中的关键部分,包括模块导入、服务器和客户端创建、密码套件配置、证书生成以及相关API的使用
BLOG域名:programb.blog.youkuaiyun.com
04-16 882
正式环境建议使用可信CA机构颁发的证书(如阿里云免费SSL证书申请流程参考引用[1])。Node.js 内置。(类似服务器步骤)。
apache和nginx的TLS1.0和TLS1.1禁用处理方案
05-17 8011
1TLS1.0和TLS1.1是什么? TLS协议其实就是网络安全传输层协议,用于在两个通信应用程序之间提供保密性和数据完整性,TLS 1. 0 和TLS 1. 1 是分别是96 年和 06 年发布的老版协议。 2、为什么要禁用TLS1.0和TLS1.1传输协议 TLS1.0和TLS1.1协议使用的是弱加密算法,比如DES、SHA-1、MD5、RC4等。比较容易受攻击,目前新版本的TLS协议已经更新到TLS1.2TLS1.3 ,高版本的TLS协议会对一些浏览器和系统兼容有影响,但...
Nginx禁用TLSv1.0 1.1,改为TLSv1.2 1.3
热门推荐
qq_42287535的博客
07-28 1万+
nginx代理禁用网站TLSv1.0 TLSv1.1,只启用TLSv1.2 TLSv1.3
The POODLE attack (SSLv3 supported) 漏洞修复
wolf
11-05 2256
ssl是haproxy配置,上线后扫描发现以下漏洞 Vulnerability description Websites that support SSLv3 and CBC-mode ciphers are potentially vulnerable to an active MITM (Man-in-the-middle) attack. This attack, called POODL...
TLS(Transport Layer Security)是一种用于在网络上提供安全通信的协议
BLOG域名:programb.blog.youkuaiyun.com
04-22 1407
TLS(传输层安全协议)是设计用于支持基于TCP的可靠传输协议,它通过在TCP连接上提供加密、认证和数据完整性保护,确保了数据传输的安全性。总结来说,TLS作为传输层安全协议,是基于TCP等可靠传输协议之上的安全增强层。它通过加密、认证和数据完整性保护等机制,确保了数据传输的安全性。在实际应用中,需要根据具体需求和环境选择合适的TLS版本和配置,并加强证书管理和安全防护措施。
基于Ubuntu 14.04系统下MQTT协议-mosquttio服务器的SSL/TLS加密传输(一 单向加密)
嫌疑人X的解忧杂货店
04-27 2948
    在踩了一天的坑之后,向迫不及待的写下这篇博客,以防后面的不时之需。    首先,强调一下,本次主要讲的是MQTT协议下mosquitto-server的TLS单向加密过程,也就是只认证服务器不认证客户端的过程。    在讲之前,还有一点需要说清楚的是,作为SSL加密传输方式,双向加密的这个过程,苛刻一点的话,对于客户端的加密是有一定的前提限制---------&gt;客户端数量非常的小(个...
SSL/TLS 双向认证(二) -- 基于mosquittto的MQTT双向认证
乐呵乐呵
11-02 938
本文介绍了MQTT的环境搭建,以及Ubuntu上基于SSL的MQTT双向认证
SSL-TLS 双向认证:基于 mosquittto 的 MQTT 双向认证
乐鑫 Espressif
11-15 8680
你将看到在Ubuntu中, 我们选用 mosquitto 作为 MQTT broker,介绍了 MQTT 协议相关的原理性知识和工作流,以及按步骤来描述如何搭建一个基于 SSL/TLS 的 MQTT broker,同时演示了订阅端和发布端该如何操作,并附上一个实例来展示结果。最后我们附上源码,给读者参考使用。
docker-compose使用wait-for-it
zsj777的专栏
03-14 1905
1、构建jdk镜像,jdk版本jdk-8u201-linux-x64.tar.gz Dockerfile_jdk # 基础镜像为 centos FROM centos:7 # 维护者 MAINTAINER luding # 添加jdk8压缩包至 /usr/local 目录,压缩包会自动解压,解压后目录名称为jdk1.8.0_281 ADD jdk-8u201-linux-x64.tar.gz /usr/local/jdk8/ # 配置JAVA_HOME环境变量 ENV JAVA_HOME /usr/
使用 Let‘s Encrypt 和 Certbot 为 Cloudflare 托管的域名申请 SSL 证书
最新发布
轩辕霸天L
05-31 1023
在你的服务器上安装 Certbot 和 Cloudflare 插件。的 DNS 记录已经正确配置在 Cloudflare 中,并且状态为。,确保网站能够通过 HTTPS 正常访问,并且没有证书错误。找到你的 Nginx 配置文件,通常位于。如果 DNS 验证失败,可以尝试增加。例如,你的配置文件可能是。在文件中添加以下内容(替换。
PostgreSQL数据库配置SSL操作说明书
m0_54138989的博客
05-29 694
【代码】PostgreSQL数据库配置SSL操作说明书。
从Homebrew找到openssl.cnf文件并拷贝到Go项目下使用
2202_75331338的博客
05-29 782
这意味着您需要手动配置您的 shell 环境,以便程序能够找到 Homebrew 安装的 OpenSSL。这样,您的 macOS 系统就成功安装了 OpenSSL,并且您的开发环境也配置好了,以便在编译需要 OpenSSL 的其他软件时能够找到它。安装完成后,它会告诉您 OpenSSL 的安装路径,通常是。首先,确定 Homebrew 安装的 OpenSSL 的具体路径。然而,在 macOS 上,使用 Homebrew 安装的 OpenSSL (例如。在 Windows 上,当您安装 OpenSSL 时,
Nginx代理SSL 到Spring boot
雅心小筑
05-28 528
含义: 依赖于底层内嵌的 Web 服务器(如 Tomcat 的 RemoteIpValve、Jetty 的 ForwardedRequestCustomizer、Undertow 的 ProxyHandler)来处理转发头。何时使用: 这是推荐的方式,因为它将转发头的解析职责交给了 Web 服务器本身,通常性能更好,也更符合 Servlet 容器的规范。何时使用: 只有当你确定不需要处理任何转发头,或者你自己有自定义的、更高优先级的过滤器来处理这些头时才使用。
QNAP MEMOS 域名访问 SSL(Lucky)
仒雨的专栏
05-30 501
看到后面出现ip地址了,那就是域名解析成功了,至于域名解析,不管用ddnsgo还是lucky,结果达到了就行,同样,反代也是(ngx也行)用“#”号标识的,在保存文件的时候建议去掉,不然有时候会出现什么字符不兼容的问题,目前没有空去深究啥原因,反正是删掉就没问题了。关于lucky和域名的部分,不管是托管还是啥,就不过多介绍了,毕竟,我了解的也不多,只能说,按这么操作下来,是可以成功的。我的是威联通的,所以,直接用的这个指令。然后,把之前保存的yml文件拖到memos的目录。这里先创建自己的账号,登陆。
ubuntu 22.04 编译安装nignx 报错 openssl 问题
fruge365的博客
05-29 571
ubuntu 22.04 编译安装nignx 报错 openssl 问题
openfeignFeign 客户端禁用 SSL
一身都是月
05-29 524
/ 创建信任所有证书的SSL上下文 SSLContext sslContext = SSLContexts . custom() . loadTrustMaterial(null , new TrustSelfSignedStrategy()) . build();// 创建自定义Socket工厂 SSLSocketFactory socketFactory = sslContext . getSocketFactory();
openssl-aes-ctr使用openmp加速
chnming1987的博客
05-30 636
可以提前计算好ivec,ivec+1,ivec+2,…,ivec+255;组与组之间不存在关联,下一组便跟的只有ivec,所以对其进行加速处理,可以考虑并行处理的方式进行并行处理。从测试结果看,确实能提高一定的性能,但效果不是很显著,大概可能和加解密时长,占openssl enc整个命令调用时长的占比不是很高,所以没有显著的性能提升。经过以上处理后,需要进行测试,本文采用给openssl,增加enc子命令的方式进行处理,通过增加aria-128-ctrm的方式,而后进行测试验证。
随记 配置服务器的ssl整个过程
zqx_7的博客
05-30 1362
本文总结了在服务器上获取SSL证书的实践过程。作者尝试了Certbot、snap安装等多种方式,均因服务器环境限制失败。最终通过离线下载acme.sh工具,使用ZeroSSL服务(需注册账号获取EAB凭证)成功生成证书,采用standalone模式完成验证。虽然解决了证书获取问题,但当前方案缺少自动续期功能。整个流程涉及工具安装、服务配置、Nginx操作等环节,反映了在特定服务器环境下部署HTTPS的实际挑战和替代方案选择。
Disable SSL 3.0 and use TLS 1.2 (or higher) instead.
10-12
SSL 3.0是一种早于TLS(Transport Layer Security)协议的安全协议版本,它存在一些安全漏洞,比如BEAST攻击和POODLE攻击。由于这些漏洞,许多现代浏览器和服务器已经不再支持SSL 3.0,而是推荐使用更安全、更稳定的TLS 1.2及以上版本。 禁止SSL 3.0并启用TLS 1.2的主要原因有: 1. **增强安全性**:TLS 1.2及其后续版本修复SSL 3.0中的问题,提供更好的加密算法和更强的身份验证机制,能更好地保护数据传输不受中间人攻击等威胁。 2. **兼容性和性能**:虽然一些旧设备可能不支持较新的TLS版本,但在大多数现代系统上,选择支持范围广泛的TLS 1.2可以确保广泛兼容,同时保持较高的网络性能。 3. **法规遵从**:某些行业标准和法规可能要求使用特定的加密套件,而TLS 1.2通常能满足这些要求。 为了实施这个策略,你需要配置Web服务器(如Apache、Nginx等)或应用服务器的SSL/TLS设置,明确指定只允许TLS 1.2或更高版本的连接。具体的步骤会因所使用的软件和操作系统不同而异,但一般涉及编辑配置文件,添加类似下面的行: ```shell ssl_protocols TLSv1.2 TLSv1.3; ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值