博客终止使用TLS 1.0和TLS 1.1协议

提醒：本文最后更新于 1481 天前，文中所描述的信息可能已发生改变，请仔细核实。

由于主流浏览器将于本月月底（3月底）后对访问使用TLS 1.0和TLS 1.1协议的网站进行不安全警告，所以博客服务器目前已经去除了这两个协议。

这在之前文章《小试HTTP3》中也提到了，当时说是最迟5月取消支持，算是比预期提前了一些。下图为各家浏览器的执行时间：

我还未仔细了解警告是针对那些不支持TLS 1.2+的网站，还是只要含有TLS 1.0或TLS 1.1协议的网站。但不重要，重要的是支持以上协议的操作系统和浏览器都属于较旧，甚至可以说是老旧版本。

更重要的是，怎么说呢，终于名正言顺的干掉IE 8了，应该说包括IE 10的之前旧版本全灭。还有傻瓜Safari的旧版本也基本完蛋。虽说现在IE 11和新版Safari依旧很傻，但好歹功能还算好支持。

借此机会，之前文章提到的SPDY支持也一并去掉了。顺便把博客主题Seven去掉了JQuery，并简单优化了下。还可以吧，只能说再次见识到IE挺废的。。。（IE 11不支持Fetch API，还是用回XMLHttpRequest）

言归正传，去掉TLS 1.0和TLS 1.1协议挺简单的，对nginx配置中的ssl_protocols，只留TLS 1.2和TLS 1.3协议就可以了。值得一提的是如果你不想使用较弱的加密套件（CBC），那么较之前文章《我的Nginx编译之旅》，把其中的等价加密算法，改成以下即可仅使用较为安全的加密套件。

[TLS13+AESGCM+AES128|TLS13+AESGCM+AES256|TLS13+CHACHA20]:[EECDH+ECDSA+AESGCM+AES128|EECDH+ECDSA+CHACHA20]:EECDH+ECDSA+AESGCM+AES256:[EECDH+aRSA+AESGCM+AES128|EECDH+aRSA+CHACHA20]:EECDH+aRSA+AESGCM+AES256

目前在TLS 1.2下，使用CBC加密套件也就老旧Safari了，没必要留。

根据Google Analytics的统计，理论上去掉TLS 1.0和TLS 1.1协议后，每月访问量大概减少了1k+（目前月访问量在1.2W左右）。

最后最后，我是不会告诉你，因为没用前端框架的原因，写的主题js在去JQ后没法支持IE 8（只能相对完整支持10+，有限支持8+，完整fallback到9+），所以才一次性把TLS 1.0和TLS 1.1给灭了，SPDY算是被波及。

讲道理，有时间有机会，还是要学下前端框架，就不用这么麻烦，写的也不用那么难受，甚至低版本浏览器也能更好支持。

哦，对了，还有件事，Patch更新了，因为SPDY存在意义不大了，做了下变动，顺便重新整合了quiche的patch。

2020-03-13：补充一张图。点击右边展开图片▼显示

转载请注明转自:kn007的个人博客的《博客终止使用TLS 1.0和TLS 1.1协议》