kn007的个人博客
♥ You are here: Home > 软件与网络 > VPS > 博客终止使用TLS 1.0和TLS 1.1协议

博客终止使用TLS 1.0和TLS 1.1协议

by | 34 Comments

提醒:本文最后更新于 2292 天前,文中所描述的信息可能已发生改变,请仔细核实。

由于主流浏览器将于本月月底(3月底)后对访问使用TLS 1.0和TLS 1.1协议的网站进行不安全警告,所以博客服务器目前已经去除了这两个协议。

这在之前文章《小试HTTP3》中也提到了,当时说是最迟5月取消支持,算是比预期提前了一些。下图为各家浏览器的执行时间:

我还未仔细了解警告是针对那些不支持TLS 1.2+的网站,还是只要含有TLS 1.0或TLS 1.1协议的网站。但不重要,重要的是支持以上协议的操作系统和浏览器都属于较旧,甚至可以说是老旧版本。

更重要的是,怎么说呢,终于名正言顺的干掉IE 8了,应该说包括IE 10的之前旧版本全灭。还有傻瓜Safari的旧版本也基本完蛋。虽说现在IE 11和新版Safari依旧很傻,但好歹功能还算好支持。

借此机会,之前文章提到的SPDY支持也一并去掉了。顺便把博客主题Seven去掉了JQuery,并简单优化了下。还可以吧,只能说再次见识到IE挺废的。。。(IE 11不支持Fetch API,还是用回XMLHttpRequest)

言归正传,去掉TLS 1.0和TLS 1.1协议挺简单的,对nginx配置中的ssl_protocols,只留TLS 1.2和TLS 1.3协议就可以了。值得一提的是如果你不想使用较弱的加密套件(CBC),那么较之前文章《我的Nginx编译之旅》,把其中的等价加密算法,改成以下即可仅使用较为安全的加密套件。

[TLS13+AESGCM+AES128|TLS13+AESGCM+AES256|TLS13+CHACHA20]:[EECDH+ECDSA+AESGCM+AES128|EECDH+ECDSA+CHACHA20]:EECDH+ECDSA+AESGCM+AES256:[EECDH+aRSA+AESGCM+AES128|EECDH+aRSA+CHACHA20]:EECDH+aRSA+AESGCM+AES256

目前在TLS 1.2下,使用CBC加密套件也就老旧Safari了,没必要留。

根据Google Analytics的统计,理论上去掉TLS 1.0和TLS 1.1协议后,每月访问量大概减少了1k+(目前月访问量在1.2W左右)。

最后最后,我是不会告诉你,因为没用前端框架的原因,写的主题js在去JQ后没法支持IE 8(只能相对完整支持10+,有限支持8+,完整fallback到9+),所以才一次性把TLS 1.0和TLS 1.1给灭了,SPDY算是被波及。

讲道理,有时间有机会,还是要学下前端框架,就不用这么麻烦,写的也不用那么难受,甚至低版本浏览器也能更好支持。

哦,对了,还有件事,Patch更新了,因为SPDY存在意义不大了,做了下变动,顺便重新整合了quiche的patch。


2020-03-13:补充一张图。

点击右边展开图片▼显示

转载请注明转自: kn007的个人博客 的《博客终止使用TLS 1.0和TLS 1.1协议

donate
有所帮助?
Tags: , , , ,
Comments
34 Comments立即评论
  1. LV1回复

    不知道说啥 那就 /sao@kn007 :roll:

    1. MOD回复
  2. LV1回复

    更新至现代 TLS 加密参数 ;-)

    1. MOD回复
  3. 又水了一篇博客 ;-)

    1. MOD回复

      @zhang0peter: 是哇,被你发现了。
      咋没头像啊你

  4. LV3回复

    恭喜去除jQuery :oops:

    1. MOD回复

      @咕噜噜: 谢谢,我就想问你一下,你还要咕多久 :mrgreen:

    2. LV3回复

      @kn007: 别提这个了,伤感……我从大年初二开始就没休息过了,这还是忙里偷闲看看你博客 :cry: 计划没有变化快啊

    3. MOD回复

      @咕噜噜: 辛苦辛苦,你这是从医?大年初二还没得休息。。

    4. LV3回复

      @kn007: 没那么高尚……底层国企社畜,因为疫情+海外+人员管控,所以疲于乱七八糟的事儿 :cry:

    5. MOD回复

      @咕噜噜: 辛苦辛苦,你这也算是奋斗在第一线了

    6. LV3回复

      @kn007: 哈哈还好啦,谢谢 :oops:

  5. 我直接用的宝塔的SSL配置,配置完貌似成了TLS 1.3了,感觉不出来区别咯~我最近也是把公司的网站也全换成了https了,突然有种走在同行业的最前沿的感觉~ :oops: :oops: :oops:

    1. MOD回复

      @夜枫: 哈哈,确实很多圈子用上TLS 1.3算是前沿了。

      不过在我这圈子里,怎么说呢,包括我,都是最早,或者说较早从草案开始,就开始用了。

      宝塔是不错的面板,不过漏洞也挺多的,注意安全。

  6. 其实不懂,个人小博客,有必要上ssl么……

    1. MOD回复

      @山野愚人居: 你不也有ssl么。。
      怎么说,这问题有点像一直没穿衣服的人,然后问没有不也一样过,有点一样。。。
      我就不用说什么连什么QQ空间或者其他任何博客平台都是带ssl的了。就现在新的浏览器,你非https都会有“不安全”三个字在那里。这应该能算个理由?
      如果你说你就是自己看的,不在意别人看,那干脆本地建站不更好。。。

  7. 回复

    还不敢关 TLS 1.0/1.1,就怕哪天摸了台 XP 和 IE6 还访问不了自己的博客 :razz:

  8. 关TLS 1.0是早就应该做了,个中漏洞几乎和SSL 3.0一样。但是暂时不敢在服务端和自己电脑上关TLS 1.1,因为真的还有很多设备没有升级,无论是客户端还是服务端。前几天上网课的时候,学校的一些网站就上不去了,因为学校的某些网站只支持TLS 1.1 :razz:

    1. MOD回复

      @云间守望: 客户端可以保持不变,我觉得问题不大。
      服务端就没必要留了

  9. 回复

    完全不照顾 IE 用户,懒加载直接写 intersection observer 没有调库,你还用 IE 就愣着呗 :smile:
    也在 CF 设好 Minimun TLS Version ,静态博客没法在服务端调(
    不过据某些第三方平台统计,(旧)IE 用户不到 5% ,那也不是咱目标客户,就酱

    1. MOD回复

      @ChrAlpha: 我是自己实现的lazyload :oops:

    2. 回复

      @kn007: 我也是啊,直接用 IntersectionObserver 写很短的 ;-)

    3. MOD回复

      @ChrAlpha: 嗯,看到你文章了。
      我还是老传统,监听scroll。提前加载。

  10. 疫情确实影响了大家的心情,回来后感觉和以前不一样的心情了。。。。

    1. MOD回复

      @郑永: 感觉还好,平常心对待

;-):|:x:twisted::smile::shock::sad::roll::razz::oops::o:mrgreen::lol::idea::grin::evil::cry::cool::arrow::???::?::!: