我为什么要保持 TLS 1.1 处于启用状态?有什么真正原因吗?
我可以理解启用 1.0 可以扩大兼容性,但如果配置不当,可能会带来安全问题,而根据此表 https://en.wikipedia.org/wiki/Template:TLS/SSL_support_history_of_web_browsers#cite_note-Android-SSLSocket-46几乎没有浏览器支持 TLS 1.1 但不支持 TLS 1.2。
尽管 TLS 1.1 没有被破坏,但是 PRF 主要使用 SHA1 和 MD5,这有其自身的含义并且将来可能会更容易被破坏,正如我所说,TLS1.1 并没有真正增加兼容性。
那么,至少在 HTTPS 服务器上使用 TLS 1.1 有什么实际意义吗?
答案1
是的,没有真正的理由打开 TLSv1.1,因为正如您所指出的,几乎每个支持 1.1 的浏览器也支持 1.2。
但是,有些特殊情况可能会从中受益。请参阅此处的示例:https://github.com/ssllabs/ssllabs-scan/issues/258
另一方面,暂时保留 1.1 版本也没有什么坏处,因为它仍然是安全的(只要正确配置),所以在我看来不妨保留它。
您还可以在网站上启用 TLS 协议监控,以查看访问者是否正在使用该协议。对于 Apache,可以使用自定义日志格式完成此操作: https://httpd.apache.org/docs/2.4/mod/mod_ssl.html#logformats您可以使用 Nginx 做类似的事情。