我们有一个带有负载均衡器的 Apache 网络服务器,并且由于 Chrome 兼容性问题,我们计划将 TLS 版本从 1.1 升级到 1.2。
目前负载均衡器已配置 TLSv1.1 和 TLSv1.2,Web 服务器已配置 TLSv1.1。
如果我们从负载均衡器配置中删除 TLSv1.1,而让 Web 服务器保留 TLSv1.1,这会导致任何问题吗?我的 Web 服务器的 TLS 版本是否应该与负载均衡器的 TLS 版本匹配?
答案1
这取决于负载均衡器的配置方式。
根据我的经验,负载均衡器通常配置为执行 TLS 卸载。这意味着 TLS 在负载均衡器处被剥离,并且从负载均衡器到 Web 服务器的通信是通过 HTTP(而不是通过 HTTPS)进行的。在这种情况下,您的 Web 服务器甚至没有运行通过 TLS 接受 HTTP 流量。
如果上述情况不适用,则所有 TLS 版本都应该类似。这意味着两者都应配置为支持 TLSv1.2 或更高版本。