GlobalSign 新闻中心

27 2020

现在应该禁用TLS 1.0(和所有SSL版本)的时候

正如我们过去所解释的,SSLTLS是加密协议,可在不同端点(例如,连接到网络服务器的客户端)之间提供身份验证和数据加密,而SSLTLS的前身。 自1995SSL首次迭代以来,每种协议的新版本已经发布,旨在解决漏洞并支持最强大,最安全的密码套件和算法。 我们目前使用的是TLS 1.3,该版本刚刚获得IETF(互联网工程任务组)的批准。

最佳做法是,应将服务器配置为支持最新的协议版本,以确保仅使用最强大的算法和密码,但同样重要的是禁用较旧的版本。 继续支持旧版本的协议可能会使您容易遭受降级攻击,在这种情况下,黑客会强迫与服务器的连接使用已知漏洞的旧版协议。 这会使您的加密连接(无论是站点访问者和Web服务器之间,机器对机器之间的连接)都不受中间人攻击和其他类型的攻击。
就是说,正式要禁用TLS 1.0的时候了(还有SSL 2.0SSL 3.0 ...尽管您确实应该在不久前禁用它们)。


相关:需要重新阐述SSLTLS之间的区别吗? 在这里查看我们的解释。

更改的背后是什么?
过去几年中的各种漏洞(例如,BEASTPOODLEDROWN…我们喜欢一个很好的缩写,不是吗?)已经有行业专家建议暂时禁用所有版本的SSLTLS 1.0,但这是当前的举措 受PCI合规性驱动。 自2018630日起,所有网站都必须使用TLS 1.1或更高版本才能符合PCI数据安全标准(DSS)。


检查您的站点是否支持SSLTLS 1.0协议
如果不确定您的网站支持哪些协议,则可以使用我们的免费SSL服务器测试。 导航到结果页面的“协议”部分; 您会看到所有协议的列表,以及当前是否启用了这些协议。 以下示例是网站配置方式的“好”示例,因为它仍然支持SSL 2.0SSL 3.0TLS 1.0,并且不支持TLS 1.2。 

 


                                                  来自GlobalSignSSL服务器测试的示例协议


您可以在我们的支持站点上找到有关哪些版本的服务器和客户端支持每种协议的更多信息,以及有关禁用旧协议的说明。


提醒:证书不依赖于协议
如果您担心如何在6月即将到来的PCI截止日期之前替换证书,我们想提醒大家,证书不依赖于协议。 协议由您的服务器配置而不是证书确定。 因此,不必担心,您不必撕掉并更换整个证书清单即可适应此更改!


综上所述

 如果不确定当前支持哪些协议,请使用我们的免费服务器配置测试
您必须禁用对SSLv2SSLv3TLS 1.0的支持,因为它们已过时且容易受到攻击(并保持PCI DSS遵从性)
如果可以,则应禁用TLS 1.1,因为存在已知的安全漏洞
您应启用TLS 1.21.3
阅读我们的支持文章,以获取有关如何更改服务器配置以及启用/禁用适当协议的说明。

至于GlobalSign的计划,我们很久以前就禁用了SSL协议,并将在621日之前终止对我们的网络媒体资源的TLS 1.01.1的支持,以确保PCI DSS的合规性。 IETF已批准,我们将继续支持1.2,并且正在努力支持1.3

返回 GlobalSign 新闻中心