SSL/TLS 的版本

协议 发布时间 状态
SSL 1.0 未公布 已弃用
SSL 2.0 1995 年 已于 2011 年弃用
SSL 3.0 1996 年 已于 2015 年弃用
TLS 1.0 1999 年 计划于 2020 年弃用
TLS 1.1 2008 年 计划于 2020 年弃用
TLS 1.2 2008 年
TLS 1.3 2018 年

Nginx

  1. 通常Nginx的conf/nginx.conf配置如下
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  2. 删除TLS1.0 TLSv1.1、增加TLS1.3
    ssl_protocols TLSv1.2 TLSv1.3;
  3. 重启Nginx使配置生效
    nginx -s reload

Apache

  1. 通常Apache的配置如下

    SSLProtocol -ALL +TLSv1 +TLSv1.1 +TLSv1.2

    1-1. 基于RedHat的发行版(CentOS,Fedora)配置文件 /etc/httpd/conf/httpd.conf
    1-2. 基于Debian的发行版(Ubuntu)配置文件 /etc/apache2/sites-enabled/ 目录下

  2. 删除+TLSv1 +TLSv1.1、增加TLSv1.3

    SSLProtocol -ALL +TLSv1.2 +TLSv1.3
  3. 重启Apache使配置生效

    基于RedHat的发行版(CentOS,Fedora)
    systemctl restart httpd
    基于Debian的发行版(Ubuntu)
    service apache2 restart

Tomcat

  1. 通常Tomcat的conf/server.xml配置如下
    SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"
  2. 删除+TLSv1 +TLSv1.1、增加TLS1.3
    SSLProtocol="TLSv1.2+TLSv1.3"
  3. 重启Tomcat使配置生效
    关闭tomcat
    bin/shutdown.sh
    启动tomcat
    bin/startup.sh

IIS服务器

  1. IIS服务器需使用官方工具(IISCrypto)进行修改
    官网 IIS Crypto
    下载 IIS Crypto GUI
    file
注: 表示使用TLS1.2协议连接通过,说明我们已经禁用了TLS1.2