前言
之前有 researcher 给我们发邮件说我们的一些站点的 tls 加密还支持 tls 1.0 和 tls 1.1 的协议。 这个是很不安全的。
而且会导致站点的评分会被降低, 可以用 ssltest 站点来测试, 而从安全性来评估的话,因为 tls 1.0 和 tls 1.1 的加密方式已经可以被破解了, 所以很容易招到攻击,比如以下攻击方式:
所以不管是从站点评分上, 还是安全性考虑上, 我们都应该剔除掉 tls 1.0 和 tls 1.1 的加密方式,只采用 tls 1.2 的加密方式。 之所以为啥是 tls 1.2 而不是 tls 1.3, 也是因为 tls 1.2 是最广泛应用的。