我應該使用 TLS 1.1/TLS 1.2 而不是 SSL v3 嗎？

我的 windows Server 2008R2 現在有 SSL v2 協議。由於安全漏洞，我計劃禁用 SSL v2。

那麼我應該啟用 SSL v3 還是應該直接跳轉到TLS 1.1\ TLS 1.2 ？

如果我禁用 SSL v2 並且不啟用任何更高版本，會有任何安全問題嗎？

是的，您應該禁用 SSLv3以支持 TLSv1.1+。SSLv3 和 TLS1.0 被認為容易受到“ Padding Oracle On Downgraded Legacy Encryption”中間人攻擊，這可能導致您的秘密數據（例如密碼）洩露給攻擊者……

除非您有特定的理由不這樣做（即您需要支持舊客戶端），否則最好啟用可能的最高版本 TLS（即 TLSv1.2），並禁用其他所有內容（當然要確保禁用SSLv2 和 SSLv3）。

您可能還想調整（如果可以的話）您使用的特定密碼。我找不到任何特定於 Windows 的東西，但 Mozilla 的伺服器端 TLS可能有一些用處。

他們特別推薦使用以下密碼：

ECDHE-ECDSA-AES256-GCM-SHA384：ECDHE-RSA-AES256-GCM-SHA384：ECDHE-ECDSA-CHACHA20-POLY1305：ECDHE-RSA-CHACHA20-POLY1305：ECDHE-SH-25 AES128-GCM-SHA256：ECDHE-ECDSA -AES256-SHA384：ECDHE-RSA-AES256-SHA384：ECDHE-ECDSA-AES128-SHA256：ECDHE-RSA-AES128-SHA256

他們還建議使用 TLSv1.2，並確保使用至少 2048 位的 RSA 密鑰。

引用自：https://serverfault.com/questions/839553