我工作的组织有很多运行 Linux 的服务器。
我们最近的任务是确保 TLS 1.2 用于所有应用程序的所有出站连接,无论我们的应用程序是在哪个开发平台上编写的,该平台差异很大(Ruby/Node/Java/PHP)
有没有办法在系统级别强制所有内容都使用 TLS 1.2?
答案1
系统范围?不会,因为 Linux 上没有集中式 TLS 配置(有意),而且最重要的是,每个系统上可能至少有两个 TLS 实现(肯定是 OpenSSL 或 LibreSSL,最有可能还有 GnuTLS)。
不幸的是,审核一切是这里唯一真正的选择。然而,一旦您审核了给定开发平台的内容,检查该平台上的其他应用程序应该变得非常容易(因为您现在知道工作连接设置序列是什么样的)。
答案2
考虑到与特定服务的特定连接,您可能可以设置一些设置来确保拒绝 TLSv1.2 以下的任何内容。
但你不能在系统范围内做到这一点。它只是不适用于通用系统(桌面、服务器等)。连接到 TLS 服务的每段代码都可以使用系统上的多个共享库之一,可以使用自己的共享库,可以使用静态链接或在代码中编译等。
但是,如果您还负责确保您的服务器仅接受 TLSv1.2 连接,那么您当然可以做到这一点,因为您控制所有服务端点 - 通常是 Web 服务器: