精华内容
下载资源
问答
  • TLS1.2
    2021-06-08 04:04:53

    Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello\Client]"Enabled"=dword:00000000

    "DisabledByDefault"=dword:00000001[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello\Server]"Enabled"=dword:00000000

    "DisabledByDefault"=dword:00000001[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT1.0]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT1.0\Client]"Enabled"=dword:00000000

    "DisabledByDefault"=dword:00000001[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT1.0\Server]"Enabled"=dword:00000000

    "DisabledByDefault"=dword:00000001[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL2.0]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL2.0\Client]"DisabledByDefault"=dword:00000001

    "Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL2.0\Server]"Enabled"=dword:00000000

    "DisabledByDefault"=dword:00000001[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL3.0]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL3.0\Client]"Enabled"=dword:00000000

    "DisabledByDefault"=dword:00000001[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL3.0\Server]"Enabled"=dword:00000000

    "DisabledByDefault"=dword:00000001[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS1.0]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS1.0\Client]"Enabled"=dword:00000001

    "DisabledByDefault"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS1.0\Server]"Enabled"=dword:00000001

    "DisabledByDefault"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS1.1]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS1.1\Client]"DisabledByDefault"=dword:00000000

    "Enabled"=dword:00000001[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS1.1\Server]"DisabledByDefault"=dword:00000000

    "Enabled"=dword:00000001[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS1.2]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS1.2\Client]"DisabledByDefault"=dword:00000000

    "Enabled"=dword:00000001[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS1.2\Server]"Enabled"=dword:00000001

    "DisabledByDefault"=dword:00000000

    更多相关内容
  • 最近由于Chrome40不再支持SSL 3.0了,GOOGLE认为SSL3.0已经不再安全了。所以也研究了一下SSL TLS加密,给大家分享一下
  • RFC5246-TLS1.2.pdf

    2020-07-11 15:03:55
    TLS1.2 协议描述官方文档, 也就是RFC5246/、 傳輸層安全性協定(英語:Transport Layer Security,縮寫:TLS)及其前身安全套接层(英語:Secure Sockets Layer,縮寫:SSL)是一种安全协议,目的是為網際網路通信...
  • XP支持TLS1.1和TLS1.2.rar

    2020-08-25 21:54:12
    XP的IE8增加TLS1.1 1.2支持 将XP识别成POSReady 2009 。打上对应的补丁。最后更新证书就实现了。
  • (1)验证SSL证书并验证证书链中的所有证书是否存在错误 (2)实现证书过期检查。检查证书链中所有证书的证书到期 (3)该工具还会检查证书中是否存在所有可能的重定向URL
  • 在Windows系统中配置HTTPS的SSL证书在服务端TLS协议中启用TLS1.2,推荐配置:TLSv1 TLSv1.1 TLSv1.2,用于微信小程序报错。
  • (此图片来源于网络,如有侵权,请联系删除! )   我的是 阿里云服务器 win2008 R2 x64 ,直接执行注册表脚本,然后重启就可(脚本内容如下): Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\...
  • NULL 博文链接:https://ligaosong.iteye.com/blog/2356346
  • Curl调试工具win7无返回内容TLS1.1TLS1.2问题 之前遇到的问题某网站win7系统网页访问(s,对象)返回空白问题 然后根据 https://bbs.125.la/forum.php?mod=viewthreadtid=14086625  安装了让 Winhttp 支持 TLS1.1/...
  • H2 TLS1.2协议开发例子。最低net版本可以在2.0环境下,彻底解决了XP环境无法使用TLS1.2协议的情况
  • HTTPS TLS1.2密码套件

    2018-09-25 12:49:59
    核心代码TlsClientProtocol protocol = new TlsClientProtocol(tcpClient.GetStream(), new Org.BouncyCastle.Security.SecureRandom()); MyTlsClient client = new MyTlsClient(); protocol.Connect(client);
  • xp添加对TLS1.1和TLS1.2的支持.7z,xp添加对TLS1.1和TLS1.2的支持,说明.doc,xp添加对TLS1.1和TLS1.2的支持.doc,如何限制使用特定的加密算法和Schannel.dll中的协议.doc,buding,1,ie8-windowsxp-kb4230450-x86-...
  • 1秒速开通:Windows Server 2008 R2 下配置启用开通TLS1.2,想必在做微信小程序时,你肯定遇到了TLS1.2的强制要求,那么你就下载这个注册表导入文件就行了,一键运行,重启服务器后生效,我已经应用到了几十台服务器...
  • php不支持TLS1.2解决方法php不支持TLS1.2解决方法php不支持TLS1.2解决方法
  • ① ATS要求TLS1.2或者更高,TLS 是 SSL 新的别称。 ② 通讯中的加密套件配置要求支持列出的正向保密。 ③ 数字证书必须使用sha256或者更高级的签名哈希算法,并且保证密钥是2048位及以上的RSA密钥或者256位及以上的...
  • 它将自动尝试按该顺序在TLS1.2,TLS1.1,TLS1.0,SSL3和SSL2上进行连接,直到成功连接并提取证书为止。安装通过PowerShell 5.0及更高版本上的PowerShell库(推荐):PS > Install-Module Get-WebCertificate 通过...
  • TLS1.2 和 TLS1.3的简要区别

    千次阅读 2022-05-12 11:30:27
    TLS1.3的握手流程

    Web技术(四):TLS 握手过程与性能优化(TLS 1.2与TLS 1.3对比)_流云IoT的博客-CSDN博客_tls1.2握手过程

    一 TLS发展历史:

       SSL(Secure Socket Layer) / TLS(Transport Layer Security) 是独立于 HTTP 的协议,所以不光是 HTTP 协议,其他运行在应用层的 SMTP 和 Telnet 等协议均可配合 SSL / TLS 协议使用,可以说 SSL / TLS 是当今世界上应用最为广泛的网络安全技术。

    Netscape 开发了原始的 SSL 协议:

    1. SSL 1.0 因为存在严重的安全缺陷从未公开发布
    2. SSL 2.0于 1995年发布,但其中仍包含许多安全缺陷
    3. SSL 3.0在1996年发布了。随着加密与解密安全攻防战的博弈,SSL 协议的安全性逐渐满足不了需求
    4. SSL 2.0 在 2011 年被RFC 6176弃用
    5. SSL 3.0 于 2015 年被RFC 7568弃用。

    TLS的发展历程:

    1. TLS 1.0 在 1999 年发布于RFC 2246中,TLS 1.0 和 SSL 3.0 之间的差异并不显著(TLS 1.0 等同于 SSL 3.1),改名主要是为了和Netscape撇清关系(TLS协议由 IETF 进行标准化)
    2. TLS 1.1 于 2006 年在RFC 4346中定义
    3. TLS 1.2 于 2008 年在RFC 5246中定义,并于2011年在RFC 6176中完成优化
    4. TLS 1.3 于 2018 年在RFC 8446中定义。
    5. 早在2018年10月,苹果、谷歌、微软和Mozilla就联合宣布,将在2020年3月弃用TLS 1.0和TLS 1.1(当你读到本篇博客时,TLS 1.0和TLS 1.1 已经被弃用)
    6. TLS 1.3 才发布没多久,未来几年内 TLS 1.2 将成为网络安全协议的主流(HTTP/2协议便使用TLS 1.2+版本作为安全加密层)。

     二 TLS1.2 和 TLS1.3的主要差别:

    1. TLS1.3的密钥协商速度要快于TLS1.2,特别是在曾经建立过连接的情况下,TLS1.3支持0- Round Trip Time快速恢复连接。
    2. TLS1.3针对1.2支持的密钥交换方法和加密方法做了简化,删除了不安全的方法。TLS1.3支持的方法都具备前向安全性。

    三 TLS1.2 和 TLS1.3的握手流程:

    TLS1.2 的握手流程:

    TLS 1.2 完整握手过程

     TLS 1.2 完整的握手过程(从发送第一个握手报文到发送第一个用户数据报文)需要在客户端与服务器之间完成两次往返通信,也即 2-RTT(Round Trip Time)

    TLS 1.2完整握手过程

     

    TLS 1.2 会快速恢复的过程

    1. TLS 1.2握手过程ClientHello与ServerHello报文中的会话ID字段信息;
    2. 最初的会话恢复机制就是利用会话ID字段信息(由服务器在首次收到ClientHello握手报文后创建,并通过ServerHello握手报文传递给客户端)实现会话快速恢复的
    3. 客户端和服务器在TLS 连接断开后都会将会话的安全参数保存一段时间。
    4. 如果客户端想快速恢复会话,将对应的会话ID 通过ClientHello握手报文发送给服务器,服务器如果愿意恢复会话,就将相同的会话ID放入ServerHello消息返回
    5. 接着使用之前协商的主共享密钥生成一套新的共享密钥(为了前向保密,尽量做到每次会话使用不同的密钥),通信双方再通过ChangeCipherSpec报文约定变更到新的加密方式
    6. 最后通过Finished报文完成简短握手过程的完整性校验,后面就可以进行应用数据认证加密通信了。

    TLS 1.2 会话快速恢复简短握手过程

    TLS 1.2 会话恢复的简短握手过程从发送第一个报文ClientHello到发送应用数据,只需要一次网络往返 1-RTT 

    利用session-id恢复的缺点:

    • 在分布式服务器中,多机之间往往没有同步 Session ID 信息,如果客户端两次请求没有落在同一台服务器上就无法找到匹配的信息;
    • 服务器端存储 Session ID 对应的信息不好控制失效时间,太短起不到作用,太长又占用服务端大量资源

    为了解决使用Session ID的问题,又引入了Session Ticket 作为新的会话恢复方案。

    1. Session Ticket 是用只有服务器端知道的安全密钥加密过的会话信息(包含恢复会话所需的所有信息),由服务器端在完成完整的握手过程后生成New Session Ticket 并发送给客户端保存。如果客户端想快速恢复会话,可以将对应的Session Ticket 通过 ClientHello 报文发送给服务器,只要服务器能验证Session Ticket 的完整性,并成功解密其内容,就可以使用其中的信息快速恢复会话。
    2. Session Ticket 与 Session ID 会话恢复方案的主要区别就是,Session Ticket 将会话恢复所需的信息保存在客户端(与HTTP Cookie的原理类似),Session ID 将会话恢复所需的信息保存在服务器端,当采用分布式服务器集群时,显然Session Ticket 是更合适的会话恢复方案(TLS 1.3 仅支持类似Session Ticket 的会话恢复方案)。
       

    TLS1.3 的握手流程:

    LS 1.3 废弃了RSA密钥交换方案(因为RSA不具有前向保密性),仅支持(EC)DHE密钥协商方案;

    • RSA密钥交换方案需要客户端先拿到服务器的公钥证书,使用服务器公钥来加密要发送的预备共享密钥,所以RSA密钥交换需要在第二个网络往返中交换共享密钥
    • DHE密钥协商方案则没有这个限制,虽然理论上客户端也需要先拿到服务器提供的域参数(比如前篇博文介绍DHE中的G、P两个参数,或者ECDHE中的椭圆曲线类型)才能计算出自己的密钥协商参数(比如DHE中的Gc mod P),但这并非必要条件。客户端可以像发送支持的加密套件列表那样,向服务器发送支持的域参数组合列表(比如椭圆曲线类型列表)及其对应的密钥协商参数,服务器只需要从列表中选择一组确定为双方使用的域参数即可,这样就可以在第一个网络往返中协商共享密钥了。

    TLS 1.3 可以在第一个网络往返中完成共享密钥协商和身份认证,在完成共享密钥协商和身份认证后可以直接切换到应用数据协议,所以TLS 1.3 完整握手过程只需要一个网络往返(1-RTT)

    TLS 1.3 完整握手过程图示如下:

    从TLS 1.3 的握手过程可以看出;

    1. 在第一个网络往返就借助key_share 扩展字段完成了密钥协商,后续的身份认证报文均被协商出的handshake_key 加密处理,整个握手过程的明文信息减少了。为便于理解key_share 扩展字段是如何交换(EC)DHE密钥协商方案的有限域参数组(比如椭圆曲线类型)和对应的密钥协商参数的,下面给出key_share 字段的数据结构:

    Halfrost-Field/TLS_1.3_Handshake_Protocol.md at master · halfrost/Halfrost-Field · GitHub

    struct {
              NamedGroup group;						//有限域参数组或椭圆曲线类型
              opaque key_exchange<1..2^16-1>;		// 密钥协商参数
          } KeyShareEntry;
    
    // 下面每一个名称对应一个确定的椭圆曲线或一组确定的有限域参数,按优先级从高到低排列,由
    ClientHello报文的Extension - Supported Groups扩展字段记录这些用于密钥交换的命名组
    enum {
    
              /* Elliptic Curve Groups (ECDHE) */
              secp256r1(0x0017), secp384r1(0x0018), secp521r1(0x0019),
              x25519(0x001D), x448(0x001E),
    
              /* Finite Field Groups (DHE) */
              ffdhe2048(0x0100), ffdhe3072(0x0101), ffdhe4096(0x0102),
              ffdhe6144(0x0103), ffdhe8192(0x0104),
    
              /* Reserved Code Points */
              ffdhe_private_use(0x01FC..0x01FF),
              ecdhe_private_use(0xFE00..0xFEFF),
              (0xFFFF)
          } NamedGroup;
    
    1. 由于取消了密码规格变更协议,服务器在发送完CertificateVerify握手报文后可以直接发送Finished握手结束报文,服务器握手结束后在不需要对客户端进行身份认证时(也即仅对服务器端进行身份认证的情形)可以直接发送应用数据。
    2. 客户端完成服务器身份认证后向服务器发送自己的身份认证报文,客户端发送完Finished握手结束报文后可以直接向服务器发送应用数据(已对服务器进行过身份认证)。从客户端发送ClientHello握手报文到发送应用数据,中间只经过一次网络往返(1-RTT)。
    3. TLS 1.3 完整握手过程允许服务器对客户端进行后握手身份认证(Post-Handshake Client Authentication),也即初始握手时先不对客户端进行身份认证,当客户端请求访问某些敏感资源时,才要求客户端进行身份认证。

    TLS 1.3握手报文ClientHello与ServeHello在进行密钥协商时并没有进行数字签名,通信双方的身份认证主要靠后续的Certificate与CertificateVerify报文保证,因为CertificateVerify报文是对之前的握手消息(自然包括密钥协商消息)进行签名,身份认证放到后面也不会影响整个握手过程的安全性。把客户端与服务器之间完整握手过程中每个握手报文的作用及传递的主要参数字段展开,如下图所示:

    TLS 1.3完整握手过程

     

    • TLS 1.3 完整握手过程在ClientHello与ServerHello报文中交换了各自的随机数,也协商出了预备共享密钥,使用预备共享密钥生成主共享密钥的方式跟前面介绍的TLS 1.2差不多,但升级了伪随机函数PRF。
    • TLS 1.3 使用HKDF(HMAC based Key Derivation Function)生成主共享密钥(TLS 1.2使用的是PRF伪随机函数),相比PRF可以输出安全性更强的新密钥。HKDF包括extract_then_expand的两阶段过程,extract过程增加密钥材料的随机性,在TLS 1.2中使用的密钥派生函数PRF实际上只实现了HKDF的expand部分,并没有经过extract,而直接假设密钥材料的随机性已经符合要求。
       

    TLS 1.3 会话恢复 0-RTT 的简短握手

    TLS 1.3会话快速恢复简短握手过程

    TLS 1.3 采用了新的会话缓存恢复方案 — PSK (pre_shared_key)握手,该方案相当于TLS 1.2 Session Ticket 会话恢复方案的升级版。

    TLS 1.3 完整握手过程ClientHello报文中出现的两个扩展字段psk_key_exchange_modes和pre_shared_key,PSK会话缓存恢复方案正需要借助这两个字段:

    字段名作用
    psk_key_exchange_modes    

     
    从PSK建立主密钥的模式有两种,该字段可能的取值也有两种:
    1. psk_ke:仅使用PSK建立主密钥,Server 不提供key_share 值(0-RTT);
    2. psk_dhe_ke:使用PSK 和 (EC)DHE 建立主密钥,Client 和 Server 必须提供key_share 值(1-RTT)。
    pre_shared_key (PSK)预共享密钥标识,也即"New Session Ticket + Binders",New Session Ticket 包含PSK初始值、名称、有效期等信息,Binders 包含PSK与当前握手的绑定信息
    early_data    
     
    当通信双方有预共享密钥 PSK 时,TLS 1.3 允许在ClientHello报文的扩展字段 early data 中携带应用数据(携带数据量不超过max_early_data_size值),early_data中的应用数据使用PSK 生成的early_secret 加密。
    EndOfEarlyData    如果在ClientHello报文中发送了early_data,在收到Server_Finished报文后发送EndOfEarlyData报文,表示已传输完了所有 0-RTT application_data 消息,并且接下来的application_data 消息使用新的密钥application_secret 加密

     TLS 1.3 完成完整握手过程后,服务器也会生成一个 New Session Ticket 并发送给客户端保存。New Session Ticket 中包含恢复共享密钥、有效期、随机数nonce等信息,可以使用New Session Ticket 中的信息生成预共享密钥PSK,过程大概如下:
     

    struct {
              uint32 ticket_lifetime;
              uint32 ticket_age_add;
              opaque ticket_nonce<0..255>;
              opaque ticket<1..2^16-1>;
              Extension extensions<0..2^16-2>;
          } NewSessionTicket;
          
    // 通过HKDF生成预共享密钥PSK,resumption_master_secret是在完整握手过程随主密钥
    一起生成的
    // ticket_nonce对于每个NewSessionTicket都是不同的,保证不同的NewSessionTicket
    生成不同的PSK
    PSK = HKDF-Expand-Label(resumption_master_secret,
                           "resumption", ticket_nonce, Hash.length)

     从上图TLS 1.3 会话恢复简短握手过程可以看出,发送首个报文ClientHello时就可以通过early_data 发送应用数据,因此从发送首个报文到发送应用数据之间并没有经过网络往返,也即0-RTT。因为发送early_data 不依赖ServerHello消息,安全性自然更弱一些,如果攻击者捕获发送到服务器的 0-RTT 数据包,他们可以重播该数据包,并且服务器可能会接受该数据包为有效数据包,甚至借此改变服务器上的重要资源状态,这就是 0-RTT 重放攻击:
    0-RTT重放攻击

     为了应对 0-RTT 攻击,一般会限制 0-RTT 会话恢复的使用范围,比如在 0-RTT 中发送不改变服务器资源状态的HTTP GET报文等。TLS 1.3 会话恢复简短握手过程完成后,用于加密应用数据的密钥是双方再计算出来的密钥,包含了双方随机数或握手报文散列值信息,保证每次会话尽可能使用一次性密钥,同时也具备前向保密性。


     

    展开全文
  • 最近给客户做一网站,用的windows server 2008 r2 + IIS + PHP域名要用SSL,SSL要TLS 1.2,但是windows2008 iis 默认的最高只有TLS 1.0,下面我们给windows server 2008 r2 的IIS添加上TLS 1.2准备:服务器已经安装好...

    最近给客户做一网站,用的windows server 2008 r2 + IIS + PHP

    域名要用SSL,SSL要TLS 1.2,但是windows2008 iis 默认的最高只有TLS 1.0,下面我们给windows server 2008 r2 的IIS添加上TLS 1.2

    准备:

    服务器已经安装好windows server 2008 r2 + iis + php,配置好网站可以正常打开访问

    域名申请好单域名SSL域名证书IIS版。

    网站访问证书显示:

    2206305C0-0.jpg

    下面开始配置TLS1.2

    下面开始给IIS配置TLS1.2(有三种方法,选其中一种就可以了)

    方法一:

    手动修改注册表

    打开注册表: 找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocols右键->新建->项->新建TLS 1.2;TLS 1.2 右键->新建->项->新建Server, Client

    在新建的Server和Client中都新建如下的项(DWORD 32位值), 总共2个

    2206303913-1.jpg

    DisabledByDefault [Value = 0]

    Enabled [Value = 1]

    添加好以后如下图,然后重启服务器就可以了

    2206305B9-2.jpg

    方法二:

    导入注册表设置

    就是直接导入小编从注册表中导出来,设置好的,将下面信息复制到.txt 文件中然后保存,并修改后缀成.reg,复制到服务器双击导入

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.2]

    [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.2Client]

    "Enabled"=dword:00000001

    "DisabledByDefault"=dword:00000000

    [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.2Server]

    "Enabled"=dword:00000001

    "DisabledByDefault"=dword:00000000

    然后删除TLS1.0即可。

    方法三:

    使用IIS Crypto工具设置,此方法最简单

    下载IIS Crypto,上传到服务器,打开,按下图图示,操作即可。

    (IIS Crypto 下载地址在上面教程使用软件中)

    220630F39-3.jpg

    以上三种方法都可以开启windows2008 IIS启用TLS 1.2,开启后,SSL显示TLS 1.2如下图:

    2206303309-4.jpg

    展开全文
  • 主要介绍了微信小程序Server端环境配置详解(SSL, Nginx HTTPS,TLS 1.2 升级)的相关资料,需要的朋友可以参考下
  • TLS1.0的现代实现减轻了这些问题,但是像1.2和1.3这样的TLS的新版本是针对这些缺陷设计的,应该尽可能地使用。PCIDSSv3.2要求在2018年6月30日前完全禁用...修复建议启用对TLS1.2和1.3的支持,并禁用对TLS1.0的支持。...

    一、问题描述

    漏洞描述:

    远程服务接受使用TLS1.0加密的连接。 TLS1.0有许多密码设计缺陷。 TLS1.0的现代实现减轻了这些问题,但是像1.2和1.3这样的TLS的新版本是针对这些缺陷设计的,应该尽可能地使用。 截至2020年3月31日,未启用TLS1.2及更高版本的端点将不再在主要浏览器和主要供应商中正常工作。 PCI DSS v3.2要求在2018年6月30日前完全禁用TLS1.0,但POS POI终端(以及它们连接的SSL/TLS终端点)除外,这些终端可以被验证为不受任何已知的漏洞的影响。

    风险级别:中

    修复建议:启用对TLS1.2和1.3的支持,并禁用对TLS1.0的支持。

    但实际修复中,在【internet属性】里启用tls1.2后,复扫没生效;现场环境:Windows Server 2019

    二、处理

    1)【internet属性】里启用TLS1.2:
    在这里插入图片描述

    2)注册表添加TLS1.2项(也可以按下图手动添加,命令快)

    #查询
    reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client"
    #添加
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client" /v "Enabled" /t REG_DWORD /d "1" /f
    
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client" /v "DisabledByDefault" /t REG_DWORD /d "0" /f
    
    #添加Server
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server" /v "Enabled" /t REG_DWORD /d "1" /f
    
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server" /v "DisabledByDefault" /t REG_DWORD /d "0" /f
    
    

    效果如下:
    在这里插入图片描述
    在这里插入图片描述
    同理:再添加Server项。

    3)重启OS或重启explorer进程生效或执行下面命令

    #重启explorer
    taskkill /im explorer.exe /f
    start "" "C:\WINDOWS\explorer.exe"
    或
    RunDll32.exe USER32.DLL,UpdatePerUserSystemParameters
    

    附录:

    1)查看windows主机用户名的安全标识(sid)的映射关系

    系统用户名的sid是通过Windows Management Instrumentation命令行(WMIC)来获取的,如下所示:

    whoami /user
    #查看本地组的SID:
    whoami /groups
    #查所有的
    wmic useraccount get name,sid  //输出类似如下
    
    Name                SID
    Administrater       S-1-5-21-3910306979-3694673287-913489845-503
    cloudbase-init      S-1-5-21-3910306979-3694673287-913489845-1002
    DefaultAccount      S-1-5-21-3910306979-3694673287-913489845-502
    Guest               S-1-5-21-3910306979-3694673287-913489845-501
    WDAGUtilityAccount  S-1-5-21-3910306979-3694673287-913489845-504
    
    #查询指定用户
    wmic useraccount where name="Administrater" get sid
    #枚举本地出组SID
    wmic group get Caption, InstallDate, LocalAccount, Domain, SID, Status
    
    

    注意:实际用户的SID会在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList下各生成一个;ProfileList文件夹下的每个SID的ProfileImagePath值内,您可以找到所需的SID和其他详细信息。

    可看到实际的用户和登录的当前用户是不一致的,只是SID一致。注销下会话,重新登录下。

    展开全文
  • 互联网是有史以来最具规模的通信和数据传输技术。但随之而来也面临着一些挑战,随着...在2020年底停用了TLS1.0和1.1,希望确保数据安全的组织和Web主机需要在所有部署中支持TLS1.2。但什么是TLS1.2?它是怎样工作的。
  • 浅析TLS 1.2协议

    2021-06-24 14:05:34
    一、TLS 1.2 简介 TLS概述:TLS和他的前身SSL,都是提供在计算机网络上安全通信的密码学协议,最常见就是用于HTTPS中,用来保护Web通信的。 发展史:网景公司开发了原始的SSL协议,SSL 1.0因为本身存在着...
  • 在Windows服务器上启用TLS 1.2TLS 1.2基本原理 在Windows服务器上启用TLS 1.2TLS 1.2基本原理 最近由于Chrome40不再支持SSL 3.0了,GOOGLE认为SSL3.0已经不再安全了。所以也研究了一下SSL TLS加密。 首先在...
  • Win2008 IIS TLS1.0升级到TLS1.2或TLS1.3
  • 升级openssl 支持TLS1.2

    2021-04-20 15:22:26
    支持TLS1.2背景:现在许多网站,都要求tls1.2协议以上,像github、 pip3安装包网站https://pip.pypa.io/等。openssl现有版本不支持。需要升级openssl。git 底层使用curl库,curl库又调用的libopenssl库。如果希望git...
  • 透彻理解TLS1.2

    千次阅读 2021-08-28 10:28:46
    通过理论理解TLS/SSL 背景 一些已有的协议通常安全问题,以HTTP为例来说明,HTTP在设计之初就没有考虑安全问题,它的目的就是数据传输和共享,HTTP协议三个安全问题如下: 数据没加密,是明文传输;而且TCP/IP的...
  • tls1.2协议学习笔记

    2021-10-14 19:16:16
    从技术上讲,TLS 1.0与SSL 3.0的差异非常微小 TLS:Transport Layer Security SSL:Secure Socket Layer TLS/SSL 协议位于应用层和传输层 TCP 协议之间。TLS 粗略的划分又可以分为 2 层: 靠近应用层的握手...
  • tls1.2
  • TLS1.2协议设计原理

    2021-03-03 17:31:37
    前言为什么需要TLS协议发展历史协议设计目标记录协议握手步骤握手协议Hello RequestClient HelloServer HelloCertificateServer Key ExchangeCertificate RequestServer Hello DoneClient CertificateClient Key ...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 33,349
精华内容 13,339
关键字:

TLS1.2