关于SSL和TLS安全性,是否可以在服务器上运行每个协议的多个版本?如果是这样,我会假设您必须告诉应用程序使用哪种协议,因为安装了多个版本。如果没有,那么类似环境有哪些选择?
示例:服务器1上有TLS 1.0,1.1和1.2。
答案 0 :(得分:1)
当然可以。向后兼容性需要它,一些客户端可能无法与TLS1.2通信,有些客户端可能只能使用TLS1.0等.TLS协议套件处理服务器和客户端hello消息中的版本协商,因此一旦配置了客户端仅使用TLS 1.2,它应该能够与服务器协商该版本。 TLS实现,如GNUTLS和OpenSSL,广泛用作Nginx等流行服务器软件的SSL骨干,支持这种配置:
http {
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
server {
listen 443 ssl;
server_name www.example.com;
keepalive_timeout 70;
ssl_certificate www.example.com.crt;
ssl_certificate_key www.example.com.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers HIGH:!aNULL:!MD5;