提醒:本文最后更新于 1728 天前,文中所描述的信息可能已发生改变,请仔细核实。
由于主流浏览器将于本月月底(3月底)后对访问使用TLS 1.0和TLS 1.1协议的网站进行不安全警告,所以博客服务器目前已经去除了这两个协议。
这在之前文章《小试HTTP3》中也提到了,当时说是最迟5月取消支持,算是比预期提前了一些。下图为各家浏览器的执行时间:
我还未仔细了解警告是针对那些不支持TLS 1.2+的网站,还是只要含有TLS 1.0或TLS 1.1协议的网站。但不重要,重要的是支持以上协议的操作系统和浏览器都属于较旧,甚至可以说是老旧版本。
更重要的是,怎么说呢,终于名正言顺的干掉IE 8了,应该说包括IE 10的之前旧版本全灭。还有傻瓜Safari的旧版本也基本完蛋。虽说现在IE 11和新版Safari依旧很傻,但好歹功能还算好支持。
借此机会,之前文章提到的SPDY支持也一并去掉了。顺便把博客主题Seven去掉了JQuery,并简单优化了下。还可以吧,只能说再次见识到IE挺废的。。。(IE 11不支持Fetch API,还是用回XMLHttpRequest)
言归正传,去掉TLS 1.0和TLS 1.1协议挺简单的,对nginx配置中的ssl_protocols
,只留TLS 1.2和TLS 1.3协议就可以了。值得一提的是如果你不想使用较弱的加密套件(CBC),那么较之前文章《我的Nginx编译之旅》,把其中的等价加密算法,改成以下即可仅使用较为安全的加密套件。
[TLS13+AESGCM+AES128|TLS13+AESGCM+AES256|TLS13+CHACHA20]:[EECDH+ECDSA+AESGCM+AES128|EECDH+ECDSA+CHACHA20]:EECDH+ECDSA+AESGCM+AES256:[EECDH+aRSA+AESGCM+AES128|EECDH+aRSA+CHACHA20]:EECDH+aRSA+AESGCM+AES256
目前在TLS 1.2下,使用CBC加密套件也就老旧Safari了,没必要留。
根据Google Analytics的统计,理论上去掉TLS 1.0和TLS 1.1协议后,每月访问量大概减少了1k+(目前月访问量在1.2W左右)。
最后最后,我是不会告诉你,因为没用前端框架的原因,写的主题js在去JQ后没法支持IE 8(只能相对完整支持10+,有限支持8+,完整fallback到9+),所以才一次性把TLS 1.0和TLS 1.1给灭了,SPDY算是被波及。
讲道理,有时间有机会,还是要学下前端框架,就不用这么麻烦,写的也不用那么难受,甚至低版本浏览器也能更好支持。
哦,对了,还有件事,Patch更新了,因为SPDY存在意义不大了,做了下变动,顺便重新整合了quiche的patch。
2020-03-13:补充一张图。点击右边展开图片▼显示
转载请注明转自:kn007的个人博客的《博客终止使用TLS 1.0和TLS 1.1协议》