苹果、微软和谷歌和 Mozilla 宣布了其摒弃对 TLS 1.1 和 TLS 1.0 的支持,这意味着所有主流的浏览器 —— 苹果的 Safari、谷歌的 Chrome、Mozilla 的 Firefox 和微软的 Edge 和 Internet Explorer—— 都将在 2020 年初放弃对 TLS 1.1 和 TLS 1.0 的支持。

弃用 TLS 1.0 和 1.1,目标是在 Chrome 81 中删除(2020 年初)。在弃用期间,使用这些协议的站点将在 DevTools 中显示警告。在弃用期之后,如果到 2020 年它们尚未升级到 TLS 1.2,它们将无法连接。

在 Chrome72 版本中,如果网站使用了 TLS1.0 和 1.1 协议,Chrome 会在控制台输出一个警告信息,信息会显示 “从 xxx 加载的资源使用了 TLS1.0 或者 TLS1.1,这些链接将来会被弃用,请使用 TLS1.2 或更高版本。”

使用TLS1.0和TLS1.1协议后浏览器会在控制台输出警告信息

TLS1.0 和 TLS1.1 为什么会被弃用?

TLS 1.0 和 TLS 1.1 被认为是不安全的原因是,它们使用的是过时的算法和加密系统。经发现,这些算法和系统是十分脆弱的,比如 SHA-1 和 MD5。它们也缺乏像完美的保密性,并且容易受到降级攻击的影响。

如果你还在使用 TLS1.0 和 TLS1.1,请尽快停止并升级。

如何升级 TLS1.2 和 TLS1.3

根据服务器软件 (例如 Apache 或 nginx),修改其配置文件或升级软件版本。

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH  #设置加密套件
SSLProtocol All -SSLv2 -SSLv3  #设置加密协议

升级 OpenSSL 模块,请查看文章: 升级你的 OPENSSL

Chrome 目前的现代 TLS 标准如下:

  • TLS 1.2 或更高版本。
  • 基于 ECDHE 和 AEAD 的密码套件。 基于 AEAD 的密码套件是使用 AES-GCM 或 ChaCha20-Poly1305 的密码套件。 ECDHE_RSA_WITH_AES_128_GCM_SHA256 是大多数网站的推荐选项。
  • 服务器签名应使用 SHA-2。 请注意,这不是 CA 颁发的证书中的签名。 相反,它是服务器本身使用其私钥进行的签名。

强制升级 TLS1.3 有哪些问题

很多老旧的客户端(比如浏览器)版本可能比较低,不支持较新的一些密码套件,所以 TLS1.0 和 TLS1.1 目前还不能强制废弃,同样网站也要向下兼容。

TLS1.3 是个新版本,认知度和可信任度还比较欠缺,各种服务器全面支持还需要一段时间。

有哪些网站还在使用 TLS1.0 或 TLS1.1

虽说 TLS1.0 和 TLS1.1 即将废弃,但是还有一部分网站还在使用 TLS1.0 或 TLS1.1 协议,比如:360 官网(截止 2019 年 8 月 15 日)

参考链接: TLS1.3 终于来了,我们如何了解它?

 Modernizing Transport Security

TLS1.3 VS TLS1.2,让你明白 TLS1.3 的强大