首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
TrustOcean
V2EX  ›  站长

新姿势讨论下:机房是如何实现将 TLS1.2 协议降级为 TLS1.0 协议的?

  •  
  •   TrustOcean · 2018-10-18 00:35:40 +08:00 · 1787 次点击
    这是一个创建于 457 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天在为客户机( IP 是 103.219.. 段的香港节点)部署 SSL 证书的时候发现一个非常奇怪的问题:

    使用 Windows2008 IIS 配置 SSL 证书,修改注册表禁用了 TLS1.0 开启了 TLS1.2,通过 443 端口检测时 仅检测到支持 TLS1.0 协议,苹果设备无法访问。

    Q1: 于是怀疑是因为 TLS1.2 在 Windows2008 上开启不成功,换用 IISCrypto 启用 TLS1.2,重启服务器,结果一样。

    Q2:经过谷歌,部分教程说道升级 Windows 版本可能会解决,以试经历了 Windows2008->Windows2012,使用 IISCrypto 启动 TLS1.2,禁用 TLS1.2,结果依然一样。

    期间还更换了操作系统为 CentOS7+Nginx 开启 TLS1.2 停用 TLS1.0,结果依然一样。

    Q3:猜想机房网络是否被污染?机房 NAT 中修改了 TLS 通信?于是同时用 443 端口 和 8443 端口监听 SSL 站点。测试发现 443 端口上依然是 TLS1.0 协议并且证书链正常,证书状态正常,SSLLABS 评级 F。测试 8443 端口访问,证书状态正常,可检测到 TLS1.2 启用,可检测到 TLS1.0 已经禁止,SSLLABS 评级 A。

    那么问题来了?机房的技术现在真的这么强大了?是否我们所有的 HTTPS 流量现在都被机房监控的? 这样真的好么?

    可否由更有效的方法防止?

    5 回复  |  直到 2018-10-18 11:52:37 +08:00
    zeyexe
        1
    zeyexe   2018-10-18 00:49:03 +08:00 via iPhone
    你服务器 localhost 测试看看什么结果
    TrustOcean
        2
    TrustOcean   2018-10-18 01:05:54 +08:00
    @zeyexe 本机测试都 OK !
    gstqc
        3
    gstqc   2018-10-18 08:57:40 +08:00 via Android
    不用换系统啊,为何要用这么麻烦的 debug 方法
    直接抓包看 TLS 协商就行了
    wbrobot
        4
    wbrobot   2018-10-18 11:04:01 +08:00 via iPhone
    小哥你清本地缓存了吗?
    TrustOcean
        5
    TrustOcean   2018-10-18 11:52:37 +08:00
    @wbrobot 还多台客户机访问测试的
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2637 人在线   最高记录 5168   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 30ms · UTC 08:50 · PVG 16:50 · LAX 00:50 · JFK 03:50
    ♥ Do have faith in what you're doing.