便宜VPS网我为一个网站添加了SSL证书,但显示是TLS1.0。但我看到目前主流网站是TLS1.2,如何升级到TLS1.2呢?
您好!
根据你目前服务器只能将环境换成Apache 2.4+、OpenSSL 1.0.1c以上环境就可以了。只要重新安装apache最新版本环境的就可以直接解决问题了。
关于TLS经验小结(下)
上期我们说到对称加密算法
AES DES
目前使用的几乎都是AES-GCM(DES安全性太差基本处于废弃状态)
那除了这两种还有其他的吗?
答案是有的
ChaCha20
那这种算法与AES-GCM相比有什么特别之处呢?
上图展示的是CHACHA20-Poly1305 与 AES-GCM 两种对称加密算法的加密效率。
从这张图中我们可以看到 ChaCha20的加密速度比AES快了差不多3倍左右。那为什么现在的网站打开都基本上AES-GCM呢?
仔细看图我们可以看到,这是基于ARM架构的移动端CPU的加密速度。CHACHA20虽然在移动端CPU架构上加解密速度非常快,但是在传统的x86架构上却比AES慢。再加上支持CHACHA20的证书比较难申请的到。所以导致了现在的网站打开都基本上AES-GCM。
不过如果业务主要针对是移动端并且服务端硬件配置比较好且申请到了支持CHACHA20的证书。由于该算法在移动端加解密速度非常快。
所以能够得到较好的用户体验。(虽然从运维的角度来说应该尽量降低服务器的负载,将负载转移到用户端比较好。主要还是看如何取
舍)
首先我们了解下正常的https请求的流程:
从图片中我们可以看到http的延迟时间大概在56ms
而https因为是在http协议上额外增加了tls协议所以延迟时间大概需要168ms(http+tls)
由此可以看出使用https确实会给网站的打开速度产生影响,最直接的就是用户打开网站速度变慢。而且当用户不小心断开之后又要重新走完这整一套的步骤。那有什么办法可以规避这种办法呢?
session id是一种用户断线重连之后能快速建立连接的一种方法。原理非常简单,当用户与服务器第一次成功完成握手之后,服务器端生成一个session id 自身保存一份,另外一份发送给客户端。当客户端断线重连之后客户端像服务端发送session id 如果服务端发
现这个id存在。则免去繁琐的tls握手步骤 直接连接。从图中我们也看到采用这样的方式延迟时间降低了50%左右
但是方法不适合分布式架构的业务,原因在于session id 是在每一台服务器中生成的。所以当客户端重连后连接到服务器的另外一台
后端业务服务器就会因为没有id 而重新进行一次完整握手。
session ticket的原理与session id 相同只不过session ticket 不是生成id 而是根据服务器上的ticket key 加密一个数据blob发送给客户端,然后客户端重连时发送blob给服务器,服务器解密这个blob来判断是否是重连用户从而免去繁琐的tls握手步骤。采取这样的方式的好处就是我们可以将session key 存储在所有的分布式后端业务服务器上。这样不管用户重连到哪一台服务器都可以通过session key来解密判断是否为重连用户。
那我们有更简单方便的方法吗?
有的,那就是tls1.3!
如上图:
tls1.3是最新的tls协议版本。
废弃了很多年老安全性差的算法并且采用了更优秀的握手机制。
tls1.3 移除了RSA握手机制,采用了(EC)HDE 握手机制(RSA与DH的优缺点在(对称加密模式在 关于TLS经验小结(上) 中有介绍)
移除CBC对称加密模式,采用AEAD模式(对称加密模式在 关于TLS经验小结(中) 中有介绍)
以及其他的特性。 具体详见
其中最瞩目的莫过于新的握手协商机制
TLS1.3
TLS1.2
如上图tls1.3协议将之前tls1.2需要的步骤整合在一起,然后集中传输。减少了握手次数,从而大幅减少了延迟时间。加快了网站访问
速度,使我们再也不用去纠结不上https不安全,上了https访问速度慢的历史性问题。
从之前讲的算法到握手机制。使大家对整个tls协议有了一个大概的认识。从生产环境角度来说,采用ECDH
+ECDSA+AES-GCM的 ECC证书是目前在安全性和性能上都相对平衡的一种证书种类。本站的证书就是采用了ECC证书。
关于ECC证书可以查看
在此感谢峰哥的一次知识分享让我了解到了相关的知识(文章中的一些示例图也源于峰哥的ppt)
想具体了解大佬可以访问以下博客更深入的了解
TLS 1.3 如何用性能为 HTTPS 正名
图解SSL/TLS协议
分组密码工作模式
完
如何修复windows10上出现的服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473)漏洞。
使用SSL开启重协商的服务都会受该漏洞影响
该漏洞存在于SSL renegotiation的过程中。对于使用SSL重协商功能的服务都会受其影响。特别的,renegotiation被用于浏览器到服务器之间的验证。
虽然目前可以在不启用renegotiation进程的情况下使用HTTPS,但很多服务器的默认设置均启用了renegotiation功能。
该漏洞只需要一台普通电脑和DSL连接即可轻易攻破SSL服务器。而对于大型服务器集群来说,则需要20台电脑和120Kbps的网络连接即可实现。
SSL是银行、网上电子邮件服务和其他用于服务器和用户之间保护私人数据并安全通信必不可少的功能。所以本次拒绝服务漏洞影响范围非常广危害非常大。
一、Apache解决办法:
升级到Apache 2.2.15以后版本
二、IIS解决办法:
IIS 5.0启用SSL服务时,也会受影响。可以升级IIS 6.0到更高的版本。
三、Lighttpd解决办法:
建议升级到lighttpd 1.4.30或者更高,并设置ssl.disable-client-renegotiation = \"enable\"。
四、Nginx解决办法:
0.7.x升级到nginx 0.7.64
0.8.x升级到 0.8.23 以及更高版本。
五、Tomcat解决办法:
1、使用NIO connector代替BIO connector,因为NIO不支持重协商,参考如下配置:
Connector protocol=\"org.apache.coyote.http11.Http11NioProtocol\"
(可能会影响Tomcat性能);
2、配置Nginx反向代理,在Nginx中修复OpenSSL相关问题。
六、Squid解决办法:
升级到3.5.24以及以后版本
扩展资料:
分布式拒绝服务攻击可以使很多的计算机在同一时间遭受到攻击,使攻击的目标无法正常使用,分布式拒绝服务攻击已经出现了很多次,导致很多的大型网站都出现了无法进行操作的情况,这样不仅仅会影响用户的正常使用,同时造成的经济损失也是非常巨大的。
分布式拒绝服务攻击方式在进行攻击的时候,可以对源IP地址进行伪造,这样就使得这种攻击在发生的时候隐蔽性是非常好的,同时要对攻击进行检测也是非常困难的,因此这种攻击方式也成为了非常难以防范的攻击。
参考资料来源:百度百科--分布式拒绝服务攻击
如何确保 https 服务器的 tls 版本支持1.2及以下版本
TLS 1.2要求服务器配置文档:。
一台能保证24小时不断电的电脑,一根固定IP地址的光纤,一个域名,安装Windows 2003系统就可以架设服务器了。
下面我们来通过Windows Server 2003提供的POP3服务和SMTP服务架设小型服务器来满足我们的需要。
一、安装POP3和SMTP服务组件
Windows Server 2003默认情况下是没有安装POP3和SMTP服务组件的,因此我们要手工添加。
1.安装POP3服务组件
以系统管理员身份登录Windows Server 2003 系统。依次进入“控制面板→添加或删除程序→添加/删除Windows组件”,在弹出的“Windows组件向导”对话框中选中“电子服务”选项,点击“详细信息”按钮,可以看到该选项包括两部分内容:POP3服务和POP3服务Web管理。为方便用户远程Web方式管理服务器,建议选中“POP3服务Web管理”。
2.安装SMTP服务组件
选中“应用程序服务器”选项,点击“详细信息”按钮,接着在“Internet信息服务(IIS)”选项中查看详细信息,选中“SMTP Service”选项,最后点击“确定”按钮。此外,如果用户需要对服务器进行远程Web管理,一定要选中“万维网服务”中的“远程管理(HTML)”组件。完成以上设置后,点击“下一步”按钮,系统就开始安装配置POP3和SMTP服务了。
二、配置POP3服务器
1.创建域
点击“开始→管理工具→POP3服务”,弹出POP3服务控制台窗口。选中左栏中的POP3服务后,点击右栏中的“新域”,弹出“添加域”对话框,接着在“域名”栏中输入服务器的域名,也就是地址“@”后面的部分,如“xxx”,最后点击“确定”按钮。其中“xxx”为在Internet上注册的域名,并且该域名在DNS服务器中设置了MX交换记录,解析到Windows Server 2003服务器IP地址上。
2.创建用户邮箱
选中刚才新建的“xxx”域,在右栏中点击“添加邮箱”,弹出添加邮箱对话框,在“邮箱名”栏中输入用户名,然后设置用户密码,最后点击“确定”按钮,完成邮箱的创建。
三、配置SMTP服务器
完成POP3服务器的配置后,就可开始配置SMTP服务器了。点击“开始→程序→管理工具→Internet信息服务(IIS)管理器”,在“IIS管理器”窗口中右键点击“默认SMTP虚拟服务器”选项,在弹出的菜单中选中“属性”,进入“默认SMTP虚拟服务器”窗口,切换到“常规”标签页,在“IP地址”下拉列表框中选中服务器的IP地址即可。点击“确定”按钮,这样一个简单的服务器就架设完成了。
完成以上设置后,用户就可以使用客户端软件连接服务器进行收发工作了。在设置客户端软件的SMTP和POP3服务器地址时,输入服务器的域名“xxx”即可。
四、远程Web管理
Windows Server 2003还支持对服务器的远程Web管理。在远端客户机中,运行IE浏览器,在地址栏中输入“https://xxx:8098”,将会弹出连接对话框,输入管理员用户名和密码,点击“确定”按钮,即可登录Web管理界面。
