安全修复之Web——【中危】启用了不安全的TLS1.0、TLS1.1协议

最新推荐文章于 2025-10-28 22:00:23 发布
原创 最新推荐文章于 2025-10-28 22:00:23 发布 · 3.3k 阅读 · 2 ·
CC 4.0 BY-SA版权
https://creativecommons.org/licenses/by-nc/4.0/
文章标签:

#安全 #ssl #网络协议 #网络

本文探讨了一个开发者在使用Golang开发时遇到的安全隐患,即服务器默认启用的不安全的TLS 1.0和1.1协议。作者提供了在Nginx中通过配置禁止这些旧协议并强制使用TLS 1.2的方法,以确保应用与现代浏览器兼容且提高安全性。

安全修复之Web——【中危】启用了不安全的TLS1.0、TLS1.1协议

背景

日常我们开发时,会遇到各种各样的奇奇怪怪的问题(踩坑o(╯□╰)o),这个常见问题系列就是我日常遇到的一些问题的记录文章系列,这里整理汇总后分享给大家,让其还在深坑中的小伙伴有绳索能爬出来。
同时在这里也欢迎大家把自己遇到的问题留言或私信给我,我看看其能否给大家解决。

开发环境

  • 系统:windows10
  • 语言:Golang
  • golang版本:1.18

内容

安全预警

【中危】启用了不安全的TLS1.0、TLS1.1协议

安全限定:

TLS1.0、TLS1.1协议存在弱加密支持,当前很多主流浏览器已在之前进行了废弃,当前主流支持的是TLS1.2版本协议,当然如果启用了TLS1.2协议,一些壳子浏览器的兼容模式就没有办法正常使用了,这也是兼容性向安全性的一个妥协。

解决办法:

nginx中增加如下配置:

server {
        ...
        # 支持的协议
    ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;                        
    # 支持的加密算法,冒号分隔,感叹号废弃
    ssl_ciphers TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:TLS13-AES-128-CCM-8-SHA256:TLS13-AES-128-CCM-SHA256:EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+ECDSA+AES128:EECDH+aRSA+AES128:RSA+AES128:EEC
最低0.47元/天 解锁文章
HSTS漏洞(缺少Strict-Transport-Security头)
墨痕诉清风的博客
05-17 3799
HTTP严格传输安全性(HSTS)告诉浏览器只能使用HTTPS访问网站。检测到您的Web应用程序未实现HTTP严格传输安全性(HSTS),因为响应中缺少严格传输安全性标头。理想回复响应头因存在:Strict-Transport-Security: max-age=31536000信息。nginx添加响应头。
《Python星球日记》第34天:Web 安全基础
Code_流苏:在代码中寻诗意,在实践中觅真知
05-06 966
《Python星球日记》第34天:Web 安全基础,今天,我们将深入探讨Web安全的基础知识,这对于任何一个Web开发者来说都是至关重要的内容。
漏洞修复启用安全TLS1.0TLS1.1协议
heike_Ch的博客
05-09 2271
default_server中才能生效,且其他server块都会读取default_server中的配置。TLS 1.0TLS1.1协议使用了脆弱的加密算法,存在重大安全漏洞,容易受到降级攻击的严重影响。表示启用TLSv1.2 TLSv1.3 禁用其他TLS协议,注意此配置只能配置在http块或者。启用TLS 1.2或1.3的支持,并禁用对TLS 1.0TLS 1.1的支持。nginx修改配置文件。出现下图则表示禁用成功。出现下图则表示禁用失败。
安全修复Web——HTTP Strict-Transport-Security缺失
CN華少的博客
04-30 3165
安全修复Web——HTTP Strict-Transport-Security缺失 背景 日常我们开发时,会遇到各种各样的奇奇怪怪的问题(踩坑o(╯□╰)o),这个常见问题系列就是我日常遇到的一些问题的记录文章系列,这里整理汇总后分享给大家,让其还在深坑中的小伙伴有绳索能爬出来。 同时在这里也欢迎大家把自己遇到的问题留言或私信给我,我看看其能否给大家解决。 开发环境 系统:windows10 ...
目标使用过期的TLS1.0协议
最新发布
oneslide
10-28 502
摘要:检测到目标主机服务使用过期的TLS 1.0协议和RSA密钥交换,存在安全风险。建议禁用TLS 1.0启用TLS 1.2/1.3,并配置支持前向保密的ECDHE算法。提供了Nginx配置示例及测试方法,包括openssl和curl验证,同时提醒需注意Nginx/OpenSSL版本要求及兼容性影响。禁用RSA密钥交换可增强会话安全性,推荐使用ECDHE_RSA等临时密钥交换算法。
windows 启用TLS1.2和1.3的支持,并禁用对TLS1.0的支持
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
07-24 2万+
TLS1.0的现代实现减轻了这些问题,但是像1.2和1.3这样的TLS的新版本是针对这些缺陷设计的,应该尽可能地使用。PCIDSSv3.2要求在2018年6月30日前完全禁用TLS1.0,但POSPOI终端(以及它们连接的SSL/TLS终端点)除外,这些终端可以被验证为受任何已知的漏洞的影响。ProfileList文件夹下的每个SID的ProfileImagePath值内,您可以找到所需的SID和其他详细信息。修复建议启用TLS1.2和1.3的支持,并禁用对TLS1.0的支持。...
【中启用安全TLS1.0TLS1.1协议
热门推荐
默默提升实验室
08-13 5万+
TLS1.0协议漏洞检测复现
testssl.sh:检测任意端口SSL/TLS加密安全性的命令行工具
例如,它可以识别 TLS 1.0/1.1 的禁用状态、检查前向保密(PFS)是否启用、验证证书链有效性、检测 SNI 支持情况、分析 HSTS 策略头等。 隐私保护也是该工具的重要设计理念之一。所有扫描过程均在本地完成,结果...
WinXP系统实现TLS1.1TLS1.2支持的完整方案
随着现代网络安全标准的断提升,越来越多的HTTPS网站已逐步弃用早期安全SSLTLS 1.0协议,转而强制启用安全TLS 1.1及以上版本。这导致运行在Windows XP上的Internet Explorer浏览器(IE)在访问这些现代...
AI安全开发:架构师必须遵循的SDL流程
AI天才研究院
07-26 955
面对AI安全的严峻挑战,传统的"事后修补"模式早已失效。架构师需要从源头构建安全防线——AI安全开发生命周期(AI-SDL,AI Secure Development Lifecycle)。这是一套专为AI系统设计的安全开发框架,在传统SDL基础上,针对AI特有的数据、模型、算法风险,将安全活动嵌入从需求分析到系统退役的全流程。将"安全"从被动合规要求转化为主动设计目标。
nginx-http-hsts:Nginx 模块添加适当的 Strict-Transport-Security 标头
05-30
nginx HSTS 模块 ngx_http_hsts 模块为 nginx 中的 HTTP 严格传输安全提供支持。 依赖关系 nginx 1.xx 的来源及其依赖项。 建造 解压 nginx_ 源代码: $ tar zxvf nginx-1.x.x.tar.gz 解压缩摘要模块的源代码: $ unzip master.zip 切换到包含 nginx_ 源的目录,使用所需的选项运行配置脚本,并确保放置一个--add-module标志指向包含摘要模块源的目录: $ cd nginx-1.x.x $ ./configure --add-module=../nginx-http-hsts-master [other configure options] 构建并安装软件: $ make && sudo make install 使用模块的配置配置nginx。 例子 您可以通过将以下行添加到
检测到目标Strict-Transport-Security响应头缺失
lxyoucan的博客
07-14 7280
其可选的值有: max-age=SECONDS,表示本次命令在未来的生效时间 includeSubDomains,可以用来指定是否对子域名生效 漏洞害: Web 服务器对于 HTTP 请求的响应头中缺少 Strict-Transport-Security,这将导致浏览器提供的安全特性失效,更容易遭受 Web 前端黑客攻击的影响。
漏洞修复启用安全TLS1.0协议/TLS1.1协议
yjfkeifk的博客
02-10 1万+
摘要:针对IIS+ASP.NET网站的安全漏洞,通过修改注册表禁用TLS 1.01.1协议(设置DisabledByDefault=1和Enabled=0)。但需注意这可能导致SQL Server无法启动,需同时启用TLS 1.2协议(设置DisabledByDefault=0和Enabled=1)。该修复方案适用于绿盟和苔也扫描发现的漏洞,修改后需要重启服务器生效。 (共150字)
安服小记·1-启用安全TLS1.0协议
杳若的博客
07-23 7565
安服漏洞漫谈
HTTP 响应头 Strict-Transport-Security 缺失漏洞
itScholar001的博客
04-03 1364
这个漏洞就是说明网站的HTTP响应头中没有设置Strict-Transport-Security,没有设置则可以通过将https自己手动改成htttp的方式进行访问。HTTP 响应头 Strict-Transport-Security 缺失漏洞。如果此时你用http去访问的话则会报403 forbidden错误。http去访问的话则会报403 forbidden错误。添加了这个之后请求的响应头就会有这一段。2.手动在代码中设置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

CN華少

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值