Nginx禁用TLSv1.0 1.1,改为TLSv1.2 1.3

已于 2022-07-28 19:20:17 修改
阅读量1.4w 收藏 28
点赞数 5
CC 4.0 BY-SA版权
文章标签: nginx 服务器 ssl https
于 2022-07-28 17:50:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42287535/article/details/126040255
本文介绍了如何使用Mozilla的工具生成SSL配置,并将其应用于nginx.conf文件。重点强调了ssl_protocols和ssl_ciphers的配置。通过ssllabs网站检查安全等级或在Linux环境中使用openssl命令行工具测试TLS协议的支持情况,确保配置生效。不正确的SSL/TLS配置可能导致安全问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

使用 Mozilla 提供的 在线生成SSL配置工具,根据自己的环境填充对应的参数,自动生成对应环境下的SSL配置。在这里插入图片描述
根据下面生成的配置,对应修改自己的 nginx.conf 文件。其中最重要的是 ssl_protocolsssl_ciphers 这两项配置。

修改配置后可以用如下方法测试自己的网站配置是否生效。

方法一:

直接用检测网站查看自己网站的安全等级。
这里我是用的是:ssllabs
在检测结果的 Configuration 里可以查看检测的网站所支持的TLS版本

在这里插入图片描述

方法二:

在Linux中用命令指定TLS协议版本,对网站发起请求进行测试:

#测试是否支持 TLS 1.0
openssl s_client -connect xxx.com:443 -tls1

#测试是否支持 TLS 1.1
openssl s_client -connect xxx.com:443 -tls1_1

#测试是否支持 TLS 1.2
openssl s_client -connect xxx.com:443 -tls1_2

#测试是否支持 TLS 1.3
openssl s_client -connect xxx.com:443 -tls1_3

在返回的结果查看 Secure Renegotiation 是否是 supported 的,是的话表示支持。

不支持的TLS:

在这里插入图片描述

支持的TLS:

在这里插入图片描述

参考资料:
从无法开启 OCSP Stapling 说起

LeAn__He
关注
apache和nginx的TLS1.0和TLS1.1禁用处理方案
Bertram的博客
02-10 6292
apache和nginx的TLS1.0和TLS1.1禁用处理方案
nginx 关闭低版本tls协议
yscisco的博客
11-20 4847
昨天一早,客户联系到我,说他们源站https支持tlsv1.0 tlsv1.1 tlsv1.2,因为安全扫描的时候显示tlsv1.0tlsv1.1存在安全风险,所以源站将tlsv1.0tlsv1.1关闭了,但再后续扫描发现还是存在tlsv1.0开启的问题,所以联系到我问是不是cdn侧的问题。作为cdn厂商,为了兼容老的浏览器,cdn侧默认是开启了tlsv1.0等低版本的支持。确认问题后,客户要求关闭tlsv1.0。 大家都知道,nginx配置中有关于ssl_protocol的配置,所以开始...
NGINX关闭低版本tls协议 禁用 tls1.0 tls1.1协议
老刀专栏
11-04 6367
NGINX关闭低版本tls协议 禁用 tls1.0 tls1.1协议
nginx 如何禁用tls1.0
计算机辅助工程
06-03 779
默认情况下,Nginx 支持多种 SSL 协议,包括 TLS 1.0、TLS 1.1 和 TLS 1.2。为了禁用 TLS 1.0,你可以将 ssl_protocols 指令设置为仅支持 TLS 1.1 和 TLS 1.2。这样,你就成功地将 Nginx 配置为仅支持 TLS 1.1 和 TLS 1.2,从而禁用了 TLS 1.0。使用更安全的协议版本(如 TLS 1.2更高版本)可以增强你的服务器的安全性,抵御已知的安全漏洞。确保你的客户端也支持更高版本的 TLS,以避免兼容性问题。
Nginx禁用TLS 1.0和TLS 1.1
@tangguo123 博客
12-02 2842
Nginx禁用TLS 1.0和TLS 1.1
服务器系列:服务器禁用TLS1.0和TLS1.1协议使网站更安全
行成于思,形之于文
03-06 6874
1-1. 基于RedHat的发行版(CentOS,Fedora)配置文件/etc/httpd/conf/httpd.conf。1-2. 基于Debian的发行版(Ubuntu)配置文件/etc/apache2/sites-enabled/目录下。
linux上关闭tls1.0协议,NGINX禁用TLS1.0和TLS1.1使网站更安全
weixin_39758956的博客
05-15 1万+
一、为什么要禁用 TLS1.0、TLS1.1SSL 由于以往发现的漏洞,已经被证实不安全。而 TLS1.0SSL3.0 的区别实际上并不太多,并且 TLS1.0 可以通过某些方式被强制降级为 SSL3.0。由此,支付卡行业安全标准委员会(PCI SSC)强制取消了支付卡行业对 TLS 1.0 的支持,同时强烈建议取消对 TLS 1.1 的支持。苹果、谷歌、微软、Mozilla 也发表了声明...
Windows服務器&Nginx&Apache禁用TLSv1.0
par@ish的博客
05-09 6174
传输层安全协议(Transport Layer Security,TLS):TLS标准由互联网工程任务组(IETF)TLS工作组制定和维护。TLS在TCP/IP协议栈上运行,用于保护web流量(使用HTTPS)、文件传输、电子邮件传输和许多其他应用程序。 最为熟悉的TLS使用场景是用于保护通过超文本传输协议(HTTP)传输的web流量。在HTTPS中,建立SSL/TLS连接(通常在TCP端口443上,与不安全网站的端口80不同),然后HTTP数据通过安全连接传输。 TLS还可用于保护电子邮件传输协议(IMA
修改HTTPS加密协议TLS1.0为TLS1.2
weixin_30724853的博客
08-13 2919
一:首先为什么要改为TLS1.2 因为各大浏览器相继发布声明将停止支持 TLS 1.0 和 TLS 1.1 https://www.cnblogs.com/jpush88/p/9846047.html 二:下载windows服务器安全管理工具 IISCrypto 链接: https://pan.baidu.com/s/1cWiRKpMsRfJ07nHVhhcXdw 提取码: ...
nginx的配置:TLSv1 TLSv1.1 被暴露不安全
keyboard专栏
07-22 1323
要在 Nginx 配置中禁用不安全的 SSL 协议(如 TLSv1TLSv1.1),并仅启用更安全的协议(如 TLSv1.2TLSv1.3),您可以更新您的 Nginx 配置文件。这样,您的 Nginx 服务器将只允许更安全的 TLSv1.2TLSv1.3 协议,并且禁用不安全的 TLSv1TLSv1.1
linux显示tlsv版本号,如何在Nginx禁用TLSv1.0TLSv1.1
weixin_32247455的博客
05-14 2809
nginx documentation for ssl_protocols指令:The TLSv1.1 and TLSv1.2 parameters are supported starting from versions 1.1.13 and 1.0.12, so when the OpenSSL version 1.0.1 or higher is used on older nginx v...
Tls升级-将tls从1.0升级到1.2
热门推荐
面向未来的历史
12-18 4万+
背景: 某人在开发微信小程序时,调用测试环境的https接口,该接口由nginx提供代理服务,报错,说是不支持tls1 ,需要升级到tls1.2 环境: Ubuntu 16.04.5 LTS 查看ssl版本 1 cmd openssl s_client -connect domain:443 -tls1 (-tls1_1, -tls1_2) 其中domain 表示nginx 域名配置中使用http...
Nginx 修复TLS1.0漏洞并扫描TLS协议
weixin_42258548的博客
04-06 1万+
Nigx 修复TLS1.0漏洞并扫描TLS协议1.服务器报警:启用了不安全的TLS1.0协议2.配置好后重启服务器3.扫描TLS协议4.1.服务器报警:启用了不安全的TLS1.0协议 解决方法: 找到主机的Ngix配置文件所在目录 如:/alidata/server/nginx/conf/vhosts 将该目录下所有配置文件的 ssl_protocols 改为 TLSv1.2 TLSv1.3 ssl_protocols TLSv1.2 TLSv1.3; 若配置文件里面没有ssl_protocols
TLS(v1.2协议
qq_32076957的博客
03-02 1万+
TLS
Nginx 配置 TLSv1.2 协议失效的问题
那个那个
10-27 2490
Nginx 配置 TLSv1.2 协议失效的问题 ①、背景描述 所有业务出口都挂Nginx上,Nginx配置了证书但是通过https访问时谷歌浏览器、火狐、Edge浏览器报错,提示正在使用已过时的SSL版本,v1.0,建议使用v1.2更高版本。 ②、原因分析: 访问的域名得Nginx配置是设置的 ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 度娘“nginx 证书v1.2失效”得知nginx配置了N多vhost,只要有其中一个配置文件配置了过时的ssl_protocols
SSL/TLS: Deprecated TLSv1.0 and TLSv1.1 Protocol Detection漏洞修复
最新发布
07-15
<think>我们正在处理一个关于修复SSL/TLS协议中弃用协议TLSv1.0TLSv1.1)漏洞的问题。根据提供的引用信息,修复方法主要是通过配置服务器,只允许使用安全的协议版本(如TLSv1.2更高版本),并禁用不安全的协议TLSv1.0TLSv1.1)。同时,也要注意避免使用不安全的加密算法(如RC4)。 根据引用[1]中的示例,修复方法是将Nginx配置中的`ssl_protocols`指令设置为只允许TLSv1.2(或更高版本,如果有的话)。原始配置可能允许了TLSv1TLSv1.1,修复时将其注释掉,并设置只使用TLSv1.2。 另外,引用[2][3][4]提到了RC4算法的漏洞(“受戒礼”漏洞),因此我们也需要确保不使用RC4算法。在Nginx中,可以通过`ssl_ciphers`指令来指定安全的加密套件,排除不安全的算法。 引用[5]提到了POODLE漏洞,该漏洞影响SSL3.0,但我们的重点是TLSv1.0TLSv1.1。不过,为了安全,通常也会禁用SSLv2SSLv3。 因此,修复步骤可以总结为: 1. 禁用TLSv1.0TLSv1.1协议,只启用TLSv1.2(或更高版本,如TLSv1.3)。 2. 配置安全的加密套件,避免使用已知有漏洞的算法(如RC4, MD5等)。 针对不同的服务器,配置方式有所不同。根据引用,我们看到了Nginx和WebSphere的配置示例。由于用户问题中没有明确服务器类型,我们将提供常见服务器的配置方法。 以下将分别介绍Nginx、Apache、Tomcat和WebSphere的配置方法。 注意:在修改配置前,请备份配置文件,并测试配置是否生效以及不影响正常服务。 一、Nginx配置修复 在Nginx的配置文件中(通常是server块中),修改ssl_protocols和ssl_ciphers。 示例: ``` server { listen 443 ssl; server_name example.com; # 其他配置... # 只启用TLSv1.2TLSv1.3(如果支持) ssl_protocols TLSv1.2 TLSv1.3; # 配置安全的加密套件 ssl_ciphers &#39;ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384&#39;; ssl_prefer_server_ciphers on; # 其他配置... } ``` 二、Apache配置修复 在Apache的配置文件中(如httpd.conf或虚拟主机配置文件),使用SSLProtocol指令设置协议SSLCipherSuite设置加密套件。 示例: ``` <VirtualHost *:443> ServerName example.com # 其他配置... # 禁用TLSv1.0TLSv1.1,只启用TLSv1.2TLSv1.3 SSLProtocol TLSv1.2 TLSv1.3 # 配置加密套件 SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384 SSLHonorCipherOrder on # 其他配置... </VirtualHost> ``` 三、Tomcat配置修复 在Tomcat的server.xml中,找到Connector标签(配置SSL的),修改protocol属性和ciphers属性。 示例: ``` <Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" maxThreads="150" SSLEnabled="true"> <SSLHostConfig> <Certificate certificateKeystoreFile="conf/keystore.jks" type="RSA" /> <!-- 禁用TLSv1.0TLSv1.1 --> <Protocols> <Protocol name="TLSv1.2"/> <Protocol name="TLSv1.3"/> <!-- 如果支持 --> </Protocols> <!-- 配置加密套件 --> <Ciphers> TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256, TLS_DHE_RSA_WITH_AES_128_GCM_SHA256, TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 </Ciphers> </SSLHostConfig> </Connector> ``` 四、WebSphere配置修复 根据引用[3]和[4],在WebSphere中修复: 1. 登录控制台,展开“Security” -> “SSL certificate and key management” -> “SSL configurations”。 2. 选择相应的SSL配置(如NodeDefaultSSLSettings),进入“Quality of protection (QoP) settings”。 3. 在“Protocol”中,取消勾选TLSv1TLSv1.1,只勾选TLSv1.2(和TLSv1.3,如果可用)。 4. 在“Cipher suites”中,移除不安全的加密套件(如包含RC4的),选择安全的加密套件(可参考上面的列表)。 5. 保存并应用配置,然后重启应用服务器。 修改配置后,使用工具(如SSL Labs的SSL Server Test)测试服务器配置,确保不再支持TLSv1.0TLSv1.1,且加密套件安全。 注意:如果服务需要兼容旧客户端,请评估是否必须支持TLSv1.0TLSv1.1。在安全要求较高的场景下,应放弃对旧协议的支持。 根据用户的问题,我们提供了上述修复方法。用户需要根据自己使用的服务器类型选择相应的配置方法。 相关问题: 1. 如何检测服务器是否支持TLSv1.0TLSv1.12. 除了禁用协议,还有哪些措施可以提升SSL/TLS安全性? 3. 禁用TLSv1.0TLSv1.1后,对用户访问网站有什么影响?</think>### 修复弃用协议 TLSv1.0/TLSv1.1 漏洞 要修复 SSL/TLS 中检测到的弃用协议漏洞,需通过配置禁用不安全的 TLSv1.0TLSv1.1 协议,仅保留安全协议(如 TLSv1.2+)并配置强加密套件。操作步骤如下: #### 1. **Nginx 服务器修复** ```nginx server { listen 443 ssl; server_name your_domain.com; # 禁用 TLSv1.0/TLSv1.1,仅启用 TLSv1.2+ ssl_protocols TLSv1.2 TLSv1.3; # 关键修复点[^1] # 配置强加密套件(禁用RC4等弱算法) ssl_ciphers &#39;ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384&#39;; ssl_prefer_server_ciphers on; # 证书配置 ssl_certificate /path/to/cert.pem; ssl_certificate_key /path/to/private.key; ... } ``` **操作说明**: - 将 `ssl_protocols` 修改为 `TLSv1.2`(或 `TLSv1.2 TLSv1.3`) - 移除配置中所有 `TLSv1` 和 `TLSv1.1` 的引用 - 重启服务:`nginx -s reload` #### 2. **Apache 服务器修复** ```apache <VirtualHost *:443> SSLEngine on # 禁用不安全协议 SSLProtocol -all +TLSv1.2 +TLSv1.3 # 关键修复点[^1] # 禁用弱加密算法(如RC4) SSLCipherSuite HIGH:!aNULL:!MD5:!RC4 SSLHonorCipherOrder on ... </VirtualHost> ``` **操作说明**: - 使用 `SSLProtocol` 限制协议版本 - 重启服务:`systemctl restart apache2` #### 3. **Java 应用服务器(如 Tomcat/WebSphere)** - **Tomcat** (`conf/server.xml`): ```xml <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" sslEnabledProtocols="TLSv1.2,TLSv1.3" <!-- 禁用协议 --> ciphers="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,..." <!-- 强加密套件 --> /> ``` - **WebSphere**: 控制台 → `Security > SSL configurations` → 取消勾选 `TLSv1`/`TLSv1.1`,仅保留 `TLSv1.2+`[^3][^4] #### 4. **验证修复效果** 使用工具检测是否成功: ```bash openssl s_client -connect your_domain:443 -tls1 # 应返回协议错误 nmap --script ssl-enum-ciphers -p 443 your_domain # 检查协议支持范围 ``` ### 修复原理 - **漏洞风险**:TLSv1.0/TLSv1.1 存在已知漏洞(如 POODLE、BEAST 等),可导致数据解密[^5]。 - **加密算法**:同时需禁用弱算法(如 RC4),因其存在 "受戒礼" 漏洞,会泄露明文信息[^2][^4]。 - **兼容性**:现代浏览器(Chrome/Firefox/Edge)均支持 TLSv1.2+,禁用协议不影响正常用户访问。 > **注意**:修改后需全面测试业务兼容性,若需兼容旧设备,可考虑部署双协议栈(但需评估安全风险)。 --- ### 相关问题 1. 如何检测服务器当前支持的 TLS 协议和加密套件? 2. TLSv1.3 相比 TLSv1.2 有哪些安全性改进? 3. 禁用 TLSv1.0 后导致部分旧客户端无法访问,应如何平衡安全与兼容性? [^1]: nginx 修复配置示例 [^2]: RC4 算法漏洞成因分析 [^3]: WebSphere 修复步骤 [^4]: 加密套件安全配置建议 [^5]: POODLE 漏洞原理及影响
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值