http服务(nginxapache)停用不安全的SSL协议TLS1.0和TLS1.1协议/启用TLS1.3
Posted 西京刀客
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了http服务(nginxapache)停用不安全的SSL协议TLS1.0和TLS1.1协议/启用TLS1.3相关的知识,希望对你有一定的参考价值。
文章目录
一、http服务停用不安全的TLS1.0和TLS1.1协议
TLS 1.0 和 TLS 1.1 是分别于 1996 年和 2006 年发布的老版协议,使用的是弱加密算法和系统。比如 SHA-1 和 MD5,这些算法和系统十分脆弱,存在重大安全漏洞,容易受到降级攻击的严重影响,而在 2008 年和 2017 年分别发布了协议的新版本,即 TLS 1.2 和 TLS 1.3,无疑更优于旧版本,使用起来也更安全。
nginx
我假设你有Nginx 1.13+
SSL设置下的默认配置(conf/nginx.conf)应如下所示
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
删除TLS1.0 TLSv1.1、增加TLS1.3,
TLSv1.3在行的末尾添加,因此它看起来如下所示
ssl_protocols TLSv1.2 TLSv1.3;
重启Nginx使配置生效
nginx -s reload
Apache
通常Apache的配置如下
SSLProtocol -ALL +TLSv1 +TLSv1.1 +TLSv1.2
- 基于RedHat的发行版(CentOS,Fedora)配置文件/etc/httpd/conf/httpd.conf
- 基于Debian的发行版(Ubuntu)配置文件/etc/apache2/sites-enabled/目录下
删除+TLSv1 +TLSv1.1、增加TLSv1.3
SSLProtocol -ALL +TLSv1.2 +TLSv1.3
这个 应该是排除所有(注意ALL前面有个减号),只用 1.2 或 1.3
重启Apache使配置生效
# 基于RedHat的发行版(CentOS,Fedora)
systemctl restart httpd
# 基于Debian的发行版(Ubuntu)
service apache2 restart
实战demo:
使用了更早的apache(2.2)版本,默认的内容如下:
在其后增加-TLSv1 -TLSv1.1并保存
SSLProtocol ALL -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
apache要支持TLS1.2 版本要求
apache默认支持SSLv3,TLSv1,TLSv1.1,TLSv1.2协议
为了获得最佳的安全性,您将设置
SSLProtocol -all +TLSv1.2
SSLProtocol -all +TLSv1.2
的 ‘-all’ 参数删除其他SSL/TLS协议(SSLv1,的SSLv2,SSLv3和TLS1)。
'+ TLSv1.2’参数添加TLSv1.2。
工作中遇到问题整理
[error] No SSL protocols available [hint: SSLProtocol]
Apache error: No SSL protocols available [hint: SSLProtocol]
参考URL: https://stackoverflow.com/questions/35492334/apache-error-no-ssl-protocols-available-hint-sslprotocol
如果排除很多低版本,报错No SSL protocols available, 考虑升级httpd、openssl版本或者 你配置是否有问题是否你把所有支持的版本都排除了。
apache 版本支持TLS1.3
安装的Apache版本与Systems openssl库相连,即openssl 1.0.2k。该库没有TLS 1.3支持,也意味着配置TLS 1.3所需的必要功能不可用,因此不能从Apache中使用。
公网环境验证站点正在使用ssl/tls 版本
- https://www.ssllabs.com/ssltest
此免费在线服务对公共Internet上的任何SSL Web服务器的配置进行深入分析。请注意,您提交的信息仅用于为您提供服务。我们不使用域名或测试结果,我们永远不会。
我们试试输入谷歌 www.google.com
我们试试百度 www.baidu.com
在SSL Server Test扫描一些测试网站,评分只能到B,而原因是服务器开启了TLS1.0和1.1的支持,這些主要都是針對一些很久的浏览器使用的,目前新版都已经支持1.2和1.3了,如果访问者几乎不会使用TLS1.0和1.1的,则可以考虑关闭。
- https://myssl.com
当然这些检测,一般用于公网环境检测,那么我们内网环境,我们怎么检测我ssl协议呢?
二、关于启用TLS 1.3
1. 什么是TLS 1.3?
当ssl更新到3.0版本后,IETF(互联网工程任务组)对ssl3.0进行了标准化,标准化后的协议就是TLS1.0,所以说TLS是SSL的标准化后的产物,TLS当前有1.0 ,1.1,1.2三个版本,默认使用1.0。
TLS(传输层安全性)1.3基于现有的1.2规范。它是最新的TLS版本协议,旨在提高性能和安全性。
TLS 1.3 由 IETF 于 2018 年 8 月正式发布。
TLS(Transport Layer Security)是一种加密协议,旨在通过 IP 网络提供安全通信。它是当今非常常见的协议,用于保护 Web 浏览器和 Web 服务器之间的 HTTP 通信。当使用 TLS 保护 HTTP 时,它通常被称为 HTTPS(HTTP Secure)。TLS/SSL 是安全传输层协议,是介于 TCP 和 HTTP 之间的一层安全协议,不影响原有的 TCP 协议和 HTTP 协议。
TLS 1.3 是时隔九年对 TLS 1.2 等之前版本的新升级,也是迄今为止改动最大的一次。 针对目前已知的安全威胁,IETF(Internet Engineering Task Force,互联网工程任务组)制定 TLS 1.3 的新标准,使其有望成为有史以来最安全,但也最复杂的 TLS 协议。
TLS 1.3 与之前的协议有较大差异,主要在于:
- 相比过去的的版本,引入了新的密钥协商机制 — PSK
- 支持 0-RTT 数据传输,在建立连接时节省了往返时间
- 废弃了 3DES、RC4、AES-CBC 等加密组件,废弃了 SHA1、MD5 等哈希算法
- ServerHello 之后的所有握手消息采取了加密操作,可见明文大大减少
- 不再允许对加密报文进行压缩、不再允许双方发起重协商
- DSA 证书不再允许在 TLS 1.3 中使用
对比旧协议中的不足,TLS 1.3 确实可以称得上是向前迈了一大步。既避免之前版本出现的缺陷,也减少了 TLS 握手的时间。
TLS 1.3 与以前的版本相比具有如下两个大的优势:更快的访问速度和更强的安全性!
2. 如何确定openssl库的最新支持的SSL/TLS版本?
openssl s_client -help 2>&1 | awk '/-(ssl|tls)[0-9]/print $1'
现在许多网站,都要求tls1.2协议以上,像github、 pip3安装包网站https://pip.pypa.io/等。
openssl现有版本不支持。需要升级openssl。
现在版本openssl 1.0.0e,不支持tls1.2。
[root@banel64 gvmd-8]# openssl
OpenSSL> version
OpenSSL 1.0.0e-fips 6 Sep 2011
OpenSSL>
查看官网说明,从1.0.1版本开始支持TLS1.1及TLS1.2
来自官网说明:
https://www.openssl.org/news/changelog.html
Openssl 版本一直到 1.0.0h 都支持 SSLv2、SSLv3 和 TLSv1.0.从 Openssl 1.0.1 开始,添加了对 TLSv1.1 和 TLSv1.2 的支持.
三、客户端对ssl/tls支持情况
1. curl
curl 是请求访问 Web 服务器的命令行工具,7.52.0 & + 版本支持 TLSv1.3。
7.52.0 - December 21 2016,curl: introduce the --tlsv1.3 option to force TLS 1.3
使用参数 --tlsv1.3,可以通过 curl --help 查看是否支持该参数
2. 浏览器
TODO
四、参考
如何在Apache,Nginx和Cloudflare中启用TLS 1.3?
参考URL: https://www.pianshen.com/article/5379403796/
如果添加到动画列表,Flutter 查找已停用小部件的祖先是不安全的
【中文标题】如果添加到动画列表,Flutter 查找已停用小部件的祖先是不安全的【英文标题】:Flutter Looking up a deactivated widget's ancestor is unsafe if adding to animated list 【发布时间】:2021-10-18 01:26:32 【问题描述】:我在我的应用程序中使用AnimatedList。问题是在尝试插入项目时出现此错误:
查找已停用小部件的祖先是不安全的。
这是我的清单:
child: AnimatedList(
padding: EdgeInsets.zero,
shrinkWrap: true,
key: listKey,
initialItemCount: month.memories.length,
itemBuilder: (context, index, animation)
return slideIt(
context,
month.memories[index],
index,
animation,
month,
);
,
),
现在列表在View 1 中,用户pushes 到View 2,他在View 2 上添加数据我在dispose 内调用Callback Function,所以如果视图我会收到通知被弹出。逻辑如下:
CupertinoScaffold.showCupertinoModalBottomSheet(
duration: Duration(
milliseconds: 350,
),
expand: true,
context: context,
builder: (context) => AddMemoryPage(
memoryWasAdded: (addedMemory)
if (addedMemory != null)
_addMemory(context, addedMemory);
,
),
);
而addMemory 看起来像这样:
_addMemory(BuildContext context, Memory memoryToAdd)
month.memories.add(memoryToAdd);
AnimatedList.of(context).insertItem(
month.memories.length - 1,
duration: Duration(
milliseconds: 500,
),
);
我在这里做错了什么?我也用listKey.currentState 尝试过,但这也失败了,因为。 currentState 为空。怎么走?
如果您需要更多信息,请告诉我!
【问题讨论】:
【参考方案1】:我通过删除 callback 解决了这个问题,并在弹出第二个屏幕 (pop(context, data) 时简单地传递了一个值,然后我可以像这样检索它:
onTapped: ()
CupertinoScaffold.showCupertinoModalBottomSheet(
duration: Duration(
milliseconds: 350,
),
expand: true,
context: context,
builder: (context) => AddMemoryPage(),
).then(
(memory)
if (memory is Memory)
_addMemory(context, memory);
,
);
,
【讨论】:
以上是关于http服务(nginxapache)停用不安全的SSL协议TLS1.0和TLS1.1协议/启用TLS1.3的主要内容,如果未能解决你的问题,请参考以下文章