TLS 1.0 服务器和 TLS 1.1 服务器之间的 Web 服务

Posted 2023-02-24

【中文标题】TLS 1.0 服务器和 TLS 1.1 服务器之间的 Web 服务

【英文标题】：Webservice between a TLS 1.0 server & TLS 1.1 server

【发布时间】：2018-03-03 00:03:23

【问题描述】：

所以我想我知道这个问题的答案，但想检查一下。

如果我允许客户/供应商通过 Web 服务和/或 http post 发送订单，并且我的服务器正在运行 TLS 1.0，并且我升级到 TLS 1.1/1.2 并且客户/供应商仍在使用 TLS 1.0，我认为此接口将停止工作，因此我的客户需要至少升级到 TLS 1.1 或 1.2 才能继续工作？

有谁知道是否有一个矩阵可以显示不同版本之间的兼容性，以便我可以弄清楚它在什么情况下可以工作？

提前致谢？

问候

标记

【问题讨论】：

这里有龙，因为 TLS 存在大量漏洞。 Here 是一篇关于 TLS 的 5 部分文章。

如果您的客户端只有 capable 的 1.0 并且您将服务器更改为 1.1/1.2-only，是的，它们的连接将失败。如果客户只是获得 1.0，因为那是您协商的内容，那么他​​们很可能也支持 1.1 或 1.2 甚至 1.3-draft。 Wikipedia 有一个图表，其中显示了哪些实现支持哪些协议版本和其他功能，但大多数实现可以配置为将它们实际使用的内容限制为小于它们支持的内容>。或者您可以检查/记录收到的 ClientHello。

【参考方案1】：

公开一个新的仅支持 TLS 1.2 的端点（在不同的子域上），以便您的客户可以按照自己的节奏进行迁移。通知他们您将很快停用旧端点，他们需要在必要时解决他们的加密问题。截止日期到来时，将旧端点 CNAME 命名为新端点。

这是一种有争议的方法，但在现实生活中它也是一种生产方式，所以你只需要做你该做的。