文章目录
TLS 1.0 和 TLS 1.1 是分别于 1996 年和 2006 年发布的老版协议,使用的是弱加密算法和系统。比如 SHA-1 和 MD5,这些算法和系统十分脆弱,存在重大安全漏洞,容易受到降级攻击的严重影响,而在 2008 年和 2017 年分别发布了协议的新版本,即 TLS 1.2 和 TLS 1.3,无疑更优于旧版本,使用起来也更安全。
我假设你有Nginx 1.13+
SSL设置下的默认配置(conf/nginx.conf)应如下所示
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
删除TLS1.0 TLSv1.1、增加TLS1.3,
TLSv1.3在行的末尾添加,因此它看起来如下所示
ssl_protocols TLSv1.2 TLSv1.3;
重启Nginx使配置生效
nginx -s reload
通常Apache的配置如下
SSLProtocol -ALL +TLSv1 +TLSv1.1 +TLSv1.2
删除+TLSv1 +TLSv1.1、增加TLSv1.3
SSLProtocol -ALL +TLSv1.2 +TLSv1.3
这个 应该是排除所有(注意ALL前面有个减号),只用 1.2 或 1.3
重启Apache使配置生效
# 基于RedHat的发行版(CentOS,Fedora)
systemctl restart httpd
# 基于Debian的发行版(Ubuntu)
service apache2 restart
实战demo:
使用了更早的apache(2.2)版本,默认的内容如下:
在其后增加-TLSv1 -TLSv1.1并保存
SSLProtocol ALL -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
apache默认支持SSLv3,TLSv1,TLSv1.1,TLSv1.2协议
为了获得最佳的安全性,您将设置
SSLProtocol -all +TLSv1.2
SSLProtocol -all +TLSv1.2
的 ‘-all’ 参数删除其他SSL/TLS协议(SSLv1,的SSLv2,SSLv3和TLS1)。
'+ TLSv1.2’参数添加TLSv1.2。
Apache error: No SSL protocols available [hint: SSLProtocol]
参考URL: https://stackoverflow.com/questions/35492334/apache-error-no-ssl-protocols-available-hint-sslprotocol
如果排除很多低版本,报错No SSL protocols available, 考虑升级httpd、openssl版本或者 你配置是否有问题是否你把所有支持的版本都排除了。
安装的Apache版本与Systems openssl库相连,即openssl 1.0.2k。该库没有TLS 1.3支持,也意味着配置TLS 1.3所需的必要功能不可用,因此不能从Apache中使用。
此免费在线服务对公共Internet上的任何SSL Web服务器的配置进行深入分析。请注意,您提交的信息仅用于为您提供服务。我们不使用域名或测试结果,我们永远不会。我们试试输入谷歌 www.google.com
我们试试百度 www.baidu.com
在SSL Server Test扫描一些测试网站,评分只能到B,而原因是服务器开启了TLS1.0和1.1的支持,這些主要都是針對一些很久的浏览器使用的,目前新版都已经支持1.2和1.3了,如果访问者几乎不会使用TLS1.0和1.1的,则可以考虑关闭。
当然这些检测,一般用于公网环境检测,那么我们内网环境,我们怎么检测我ssl协议呢?
当ssl更新到3.0版本后,IETF(互联网工程任务组)对ssl3.0进行了标准化,标准化后的协议就是TLS1.0,所以说TLS是SSL的标准化后的产物,TLS当前有1.0 ,1.1,1.2三个版本,默认使用1.0。
TLS(传输层安全性)1.3基于现有的1.2规范。它是最新的TLS版本协议,旨在提高性能和安全性。
TLS 1.3 由 IETF 于 2018 年 8 月正式发布。
TLS(Transport Layer Security)是一种加密协议,旨在通过 IP 网络提供安全通信。它是当今非常常见的协议,用于保护 Web 浏览器和 Web 服务器之间的 HTTP 通信。当使用 TLS 保护 HTTP 时,它通常被称为 HTTPS(HTTP Secure)。TLS/SSL 是安全传输层协议,是介于 TCP 和 HTTP 之间的一层安全协议,不影响原有的 TCP 协议和 HTTP 协议。
TLS 1.3 是时隔九年对 TLS 1.2 等之前版本的新升级,也是迄今为止改动最大的一次。 针对目前已知的安全威胁,IETF(Internet Engineering Task Force,互联网工程任务组)制定 TLS 1.3 的新标准,使其有望成为有史以来最安全,但也最复杂的 TLS 协议。
TLS 1.3 与之前的协议有较大差异,主要在于:
对比旧协议中的不足,TLS 1.3 确实可以称得上是向前迈了一大步。既避免之前版本出现的缺陷,也减少了 TLS 握手的时间。
TLS 1.3 与以前的版本相比具有如下两个大的优势:更快的访问速度和更强的安全性!
openssl s_client -help 2>&1 | awk '/-(ssl|tls)[0-9]/{print $1}'
现在许多网站,都要求tls1.2协议以上,像github、 pip3安装包网站https://pip.pypa.io/等。
openssl现有版本不支持。需要升级openssl。
现在版本openssl 1.0.0e,不支持tls1.2。
[root@banel64 gvmd-8]# openssl
OpenSSL> version
OpenSSL 1.0.0e-fips 6 Sep 2011
OpenSSL>
查看官网说明,从1.0.1版本开始支持TLS1.1及TLS1.2
来自官网说明:
https://www.openssl.org/news/changelog.html
Openssl 版本一直到 1.0.0h 都支持 SSLv2、SSLv3 和 TLSv1.0.从 Openssl 1.0.1 开始,添加了对 TLSv1.1 和 TLSv1.2 的支持.
curl 是请求访问 Web 服务器的命令行工具,7.52.0 & + 版本支持 TLSv1.3。
7.52.0 - December 21 2016,curl: introduce the --tlsv1.3 option to force TLS 1.3
使用参数 --tlsv1.3,可以通过 curl --help 查看是否支持该参数
TODO
如何在Apache,Nginx和Cloudflare中启用TLS 1.3?
参考URL: https://www.pianshen.com/article/5379403796/
我正在尝试使用ruby和Savon来使用网络服务。测试服务为http://www.webservicex.net/WS/WSDetails.aspx?WSID=9&CATID=2require'rubygems'require'savon'client=Savon::Client.new"http://www.webservicex.net/stockquote.asmx?WSDL"client.get_quotedo|soap|soap.body={:symbol=>"AAPL"}end返回SOAP异常。检查soap信封,在我看来soap请求没有正确的命名空间。任何人都可以建议我
我想安装一个带有一些身份验证的私有(private)Rubygem服务器。我希望能够使用公共(public)Ubuntu服务器托管内部gem。我读到了http://docs.rubygems.org/read/chapter/18.但是那个没有身份验证-如我所见。然后我读到了https://github.com/cwninja/geminabox.但是当我使用基本身份验证(他们在他们的Wiki中有)时,它会提示从我的服务器获取源。所以。如何制作带有身份验证的私有(private)Rubygem服务器?这是不可能的吗?谢谢。编辑:Geminabox问题。我尝试“捆绑”以安装新的gem..
我的瘦服务器配置了nginx,我的ROR应用程序正在它们上运行。在我发布代码更新时运行thinrestart会给我的应用程序带来一些停机时间。我试图弄清楚如何优雅地重启正在运行的Thin实例,但找不到好的解决方案。有没有人能做到这一点? 最佳答案 #Restartjustthethinserverdescribedbythatconfigsudothin-C/etc/thin/mysite.ymlrestartNginx将继续运行并代理请求。如果您将Nginx设置为使用多个上游服务器,例如server{listen80;server
是的,我知道最好使用webmock,但我想知道如何在RSpec中模拟此方法:defmethod_to_testurl=URI.parseurireq=Net::HTTP::Post.newurl.pathres=Net::HTTP.start(url.host,url.port)do|http|http.requestreq,foo:1endresend这是RSpec:let(:uri){'http://example.com'}specify'HTTPcall'dohttp=mock:httpNet::HTTP.stub!(:start).and_yieldhttphttp.shou
最近,当我启动我的Rails服务器时,我收到了一长串警告。虽然它不影响我的应用程序,但我想知道如何解决这些警告。我的估计是imagemagick以某种方式被调用了两次?当我在警告前后检查我的git日志时。我想知道如何解决这个问题。-bcrypt-ruby(3.1.2)-better_errors(1.0.1)+bcrypt(3.1.7)+bcrypt-ruby(3.1.5)-bcrypt(>=3.1.3)+better_errors(1.1.0)bcrypt和imagemagick有关系吗?/Users/rbchris/.rbenv/versions/2.0.0-p247/lib/ru
在Rails4.0.2中,我使用s3_direct_upload和aws-sdkgems直接为s3存储桶上传文件。在开发环境中它工作正常,但在生产环境中它会抛出如下错误,ActionView::Template::Error(noimplicitconversionofnilintoString)在View中,create_cv_url,:id=>"s3_uploader",:key=>"cv_uploads/{unique_id}/${filename}",:key_starts_with=>"cv_uploads/",:callback_param=>"cv[direct_uplo
我想在Ruby中创建一个用于开发目的的极其简单的Web服务器(不,不想使用现成的解决方案)。代码如下:#!/usr/bin/rubyrequire'socket'server=TCPServer.new('127.0.0.1',8080)whileconnection=server.acceptheaders=[]length=0whileline=connection.getsheaders想法是从命令行运行这个脚本,提供另一个脚本,它将在其标准输入上获取请求,并在其标准输出上返回完整的响应。到目前为止一切顺利,但事实证明这真的很脆弱,因为它在第二个请求上中断并出现错误:/usr/b
您如何在Rails中的实时服务器上进行有效调试,无论是在测试版/生产服务器上?我试过直接在服务器上修改文件,然后重启应用,但是修改好像没有生效,或者需要很长时间(缓存?)我也试过在本地做“脚本/服务器生产”,但是那很慢另一种选择是编码和部署,但效率很低。有人对他们如何有效地做到这一点有任何见解吗? 最佳答案 我会回答你的问题,即使我不同意这种热修补服务器代码的方式:)首先,你真的确定你已经重启了服务器吗?您可以通过跟踪日志文件来检查它。您更改的代码显示的View可能会被缓存。缓存页面位于tmp/cache文件夹下。您可以尝试手动删除
我目前正在使用以下方法获取页面的源代码:Net::HTTP.get(URI.parse(page.url))我还想获取HTTP状态,而无需发出第二个请求。有没有办法用另一种方法做到这一点?我一直在查看文档,但似乎找不到我要找的东西。 最佳答案 在我看来,除非您需要一些真正的低级访问或控制,否则最好使用Ruby的内置Open::URI模块:require'open-uri'io=open('http://www.example.org/')#=>#body=io.read[0,50]#=>"["200","OK"]io.base_ur
导读:随着叮咚买菜业务的发展,不同的业务场景对数据分析提出了不同的需求,他们希望引入一款实时OLAP数据库,构建一个灵活的多维实时查询和分析的平台,统一数据的接入和查询方案,解决各业务线对数据高效实时查询和精细化运营的需求。经过调研选型,最终引入ApacheDoris作为最终的OLAP分析引擎,Doris作为核心的OLAP引擎支持复杂地分析操作、提供多维的数据视图,在叮咚买菜数十个业务场景中广泛应用。作者|叮咚买菜资深数据工程师韩青叮咚买菜创立于2017年5月,是一家专注美好食物的创业公司。叮咚买菜专注吃的事业,为满足更多人“想吃什么”而努力,通过美好食材的供应、美好滋味的开发以及美食品牌的孵