SSL和TLS都是加密协议,可在不同端点之间提供身份验证和数据加密,而SSL是TLS的前身,SSL最终的版本是SSL3.0。 自1995年SSL首次迭代TLS1.0以来,每种协议的新版本已经发布,旨在解决漏洞并支持最强大,最安全的密码套件和算法。 我们目前使用的是TLS 1.3,该版本刚刚获得IETF的批准。
目前比较安全的做法是,将服务器配置为支持最新的协议版本,以确保仅使用最强大的算法和密码,但同样重要的是禁用较旧的版本。 继续支持旧版本的协议可能会使您容易遭受降级攻击,在这种情况下,黑客会强迫与服务器的连接使用已知漏洞的旧版协议。 这会使您的加密连接(无论是站点访问者和Web服务器之间,机器对机器之间的连接)都不受中间人攻击和其他类型的攻击。
因此,近来年,各大主流浏览器均宣布不再信任TLS 1.0/1.1;
1)微软Linux软件集合从9月24日开始不再支持TLS 1.0/1.1。托管在 package.microsoft.com 的 Linux 软件集合将不再允许使用 TLS 1.0/1.1,该公司解释说,从9月24日开始,TLS 1.2将是强制性的。
2)谷歌84版本、火狐74版本已经对服务器端开启了TLSV1.0、TLSV1.1版本的网站进行报错提示,报错如图所示:
早在2018年春季TLS1.3版本发布之后,苹果、谷歌、火狐和微软四大浏览器制造商便于当年10月份已联合宣布将在2020年初取消对TLS1.0和TLS1.1的支持。
3)2018年10月,微软宣布尚处于支持状态的Edge和IE浏览器将于2020年上半年开始,默认停止对TLS 1.0/1.1网站的支持。对于新版Microsoft Edge(基于Chromium),初步计划不早于Microsoft Edge版本84(计划于2020年7月发布)之前禁用TLS 1.0/1.1。对于所有受支持的Internet Explorer 11和Microsoft Edge旧版(基于EdgeHTML),默认情况下,自2020年9月8日起,TLS 1.0和TLS 1.1将被禁用。
对于一些比较老的系统,比如windows2003和windows2008,默认是tls1.0和tls1.1,目前很多浏览器打开站点会提示tls过期,只需要打开服务器的tls1.2或tls1.3并禁用tls1.1即可解决此问题,切记不要关闭tls1.0.因为远程3389桌面仍然需要tls1.0协议,如果关闭会导致远程桌面无法连接。或者您重装系统为win2012、2016或2019等最新服务器系统也可以,这些新系统默认支持TLS1.2和1.3.