SSL / TLS 1.0、1.1 終止支援、更新

2020063010:11
有關網站傳輸加密 (SSL/TLS)

Google、Mozilla也將HTTPS憑證支援期縮短為398天
自 2020/9/1 起,Safari、Chrome、Firefox三大瀏覽器不再接受憑證效期超過398天的新網站憑證。即使網站管理員可以買到效期2年或更久的憑證,都會被手機、平板及PC上的這些瀏覽器標示為不安全。

但是今年9月1日之後,網站仍然能使用之前取得的效期2年(27個月)的憑證。因此,網站管理員最好在8月31日前更新取得2年效期的憑證。


有關 TLS  1.0 / 1.1 終止支援
一些大廠 在好幾年前就一直講了
微軟、蘋果、Google及Mozilla四大瀏覽器業者將在2020年終止支援TLS 1.0、1.1 (2018/10/16)

好像 iOS 13 / Macos Safari 13 就開始嚴格執行
若網頁中所用的任一個圖片、CSS、JS 等檔案 仍使用 TLS 1.0/1.1 的話
網址列一律顯示「不安全」 (即使自家網站仍符合 TLS 1.2 新版規定)
如:
(iOS 13.6.1 已無此狀況)


而 iOS 14 更是極端嚴格
若網頁內所貼的任一個圖片、CSS、JS 等檔案 有使用舊版 TLS 1.0/1.1 的話
馬上跳出另一個警告視窗: (而不是將畫面停留在你打的網址畫面)
如:

** iOS 14 beta 6 起 無此狀況

Web Server 中更新 TLS 的方法:

Openssl 要更新
版本至少 1.0.1

Apache HTTPD
  修改 ssl.conf (或 httpd-ssl.conf )
  移除 SSLv2、SSLv3
  移除  TLSv1、TLSv1.1
  SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

web server restart後

再到這裡檢測看看是否過關:
https://www.ssllabs.com/ssltest/


Nginx
nginx.conf
ssl_protocols TLSv1.2 TLSv1.3;



2020/7/16
Chrome 84  停止支援TLS 1.0/1.1
 


  •    (悄悄話) 1F
  • <悄悄話留言,不公開>