是否可以在 Chrome 中禁用 TLS1.0?

是否可以在 Chrome 中禁用 TLS1.0?

我使用 LastPass。在 Chrome 中,我无法访问网站www.lastpass.com在IE和Firefox中,只有在这些浏览器中禁用TLS1.0才能访问它。

当 heartbleed 出现时,我突然无法通过 Chrome 访问 www.lastpass.com。我尝试卸载、重新安装所有程序,但都无济于事。

所以现在,我只想找到一种方法来禁用 Chrome 中的 TLS1.0。我该怎么做?(我有最新版本的 Chrome,即 34.0.1847.137 m)。

答案1

从你讲述的方式来看,我觉得罪魁祸首可能是你工作场所的防火墙。我将在下面向你展示如何测试这个假设。如果一切正常,我只能建议你重新安装 Chrome,因为成功安装后,没有什么可以阻止你连接到 LastPass。

为了测试是否是你的 LAN 防火墙阻止了 LastPass 的访问,你可以按照以下步骤操作:下载nmap,适用于所有操作系统的扫描实用程序,然后发出以下命令:

   (sudo) nmap -p 443 -sT www.lastpass.com 

(这须藤在 *Nix 系统中是必需的)。如果您可以联系它,则您的浏览器有问题。如果它挂起,并且通常不响应,请打开浏览器并转到http://www.yougetsignal.com/tools/open-ports/,您可以在其中输入 LastPass 的 IP 地址(例如,从上一个nmap的输出),并选择 443 作为端口。如果您收到的回复是,可以使用您用于nmap,而且几乎同时,这意味着有人你的LastPass 的路径不让您的数据包通过。很可能是您的本地防火墙。

就像我上面说的,如果nmap设法联系 LastPass,(将产生类似以下内容的输出:

  nmap -p 443 -sT www.lastpass.com

 Starting Nmap 6.40 ( http://nmap.org ) at 2014-05-20 19:21 CEST
 Nmap scan report for www.lastpass.com (128.121.22.187)
 Host is up (0.24s latency).
 Other addresses for www.lastpass.com (not scanned): 38.127.167.59
 rDNS record for 128.121.22.187: download.lastpass.com
 PORT    STATE SERVICE
 443/tcp open  https

 Nmap done: 1 IP address (1 host up) scanned in 2.67 seconds

),您的 Chrome 安装出现问题,需要重新安装。

编辑:

假设您网站的防火墙没有出现问题,让我们尝试强制 Windows7 将 TLS 更新到 1.1/1.2,该功能在 Windows7 上默认未启用,仅在 Windows8 上启用。有两种方法:

  1. 您可以导入这些注册表项,

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client] “DisabledByDefault”=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server] “DisabledByDefault”=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] “DisabledByDefault”=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] “DisabledByDefault”=dword:00000000

  2. 或者你可以下载这个 zip 文件然后双击在 Windows 7 上启用 TLS 1.x。

编辑2:

我刚刚通过谷歌搜索发现了一些我不知道的东西:在 Chrome 中,可以通过命令行启用对 TLS 1.1/1.2 的支持,方法如下:

 --ssl-version-max  Specifies the maximum SSL/TLS version ("ssl3", "tls1", "tls1.1", or "tls1.2"). 
  --ssl-version-min     Specifies the minimum SSL/TLS version ("ssl3", "tls1", "tls1.1", or "tls1.2"). 

参考文献是这里。这当然可以很容易地测试 TLS 更新是否是问题的根源。

相关内容