Https

使用 TLS 1.1 的原因

  • January 15, 2016

我應該保持啟用 TLS 1.1 有什麼真正的理由嗎?

我可以理解啟用 1.0 會擴大兼容性,但如果配置不當會帶來安全問題,而根據此表 https://en.wikipedia.org/wiki/Template:TLS/SSL_support_history_of_web_browsers#cite_note-Android-SSLSocket-46那裡幾乎沒有支持 TLS 1.1 但不支持 TLS 1.2 的瀏覽器。

儘管 TLS 1.1 沒有被破壞,但 PRF 主要使用 SHA1 和 MD5,它們有其自身的含義,並且將來可能會更容易被破壞,正如我所說,TLS1.1 並沒有真正增加兼容性。

那麼至少在 HTTPS 伺服器上使用 TLS 1.1 有什麼真正意義嗎?

是的,沒有真正的理由打開 TLSv1.1,因為正如您所指出的,幾乎所有支持 1.1 的瀏覽器也支持 1.2。

但是,有一些邊緣情況可能會從中受益。見這裡的例子:https ://github.com/ssllabs/ssllabs-scan/issues/258

另一方面,暫時啟用 1.1 並沒有任何不利之處,因為它仍然是安全的(只要配置正確),所以不妨將其留在恕我直言。

您還可以在您的站點上打開 TLS 協議監控,以查看訪問者是否正在使用它。對於 Apache,這是使用自定義日誌格式完成的: https ://httpd.apache.org/docs/2.4/mod/mod_ssl.html#logformats ,您可以使用 Nginx 進行類似操作。

引用自:https://serverfault.com/questions/748754