支持 TLSv1.0

Question

由于我们不知道您使用什么操作系统、服务器软件或任何类似的东西，所以我将提供一些一般信息来为您指明正确的方向。

笔记：重大配置更改很可能会影响系统上运行的其他软件。最好在开始之前对服务器进行完整备份。最好将该备份还原到虚拟机，并在将更改应用于生产之前在那里测试更改。

如果您的公司尚未拥有 SSL 证书，则需要购买一个，例如： https://www.digicert.com/ 最好是 EV 证书。对于个人使用，let's encrypt 是可以的，但你需要通过合规性测试，所以这还不够好。

在 Linux 服务器和/或 PC 上首先，您需要确保您拥有受支持的 openssl 版本。在许多情况下，这意味着更新您的 libssl 和/或 libopenssl。 https://www.openssl.org/

最常见的是像 apache 和 nginx 这样的 Web 服务器。

更新 SSL 库
更新 Web 服务器
将 Web 服务器配置更改为仅使用 TLS。

大多数 Linux 发行版都有内置的包管理器。请查阅文档以了解您的 Linux 支持哪种包管理器，但这里有一些示例。您可能希望暂时坚持使用更新，因为升级会对整个系统造成巨大改变。即便如此，这也是我们进行完整备份以防万一的原因。

apt-get update
apt-get upgrade
apt-get distro

zypper update
zypper dup

需要规划什么。许多 apache 版本升级都会更改配置，并且 apache 最初可能无法启动。您必须查看日志文件才能知道错误位于何处。然后咨询 google 和 apache 的网站以更新配置。有时位于 /var/log/apache/error_log

对于 Apache，至少需要设置这些选项。您可以选择更改允许的事物列表，但对我来说这样就行了。

在 ssl-global.conf 中

SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
SSLHonorCipherOrder on
       #   Point SSLCertificateFile at a PEM encoded certificate.
SSLCertificateFile /etc/apache2/ssl.crt/server.crt
SSLCertificateKeyFile /etc/apache2/ssl.key/server.key

Windows 电脑

Windows Server 2003 不支持 TLS 1.2 协议。

https://www.basics.net/2015/10/06/iis-7-5-how-to-enable-tls-1-1-and-tls-1-2/

大多数版本的 Windows 都支持 TLS。它们可能使用 IIS。

如果他们有非常旧的版本，你可能需要升级。

然后您需要编辑配置以禁用所有版本的 SSL。

Answer 1