那些遇到过的问题

强制应用程序对某些域使用 TLS 1.2

car*_*ott 2 debian openssl

我有一个 Debian Buster 服务器,除非我使用命令强制建立 TLS 1.2 连接,否则无法与多个服务器建立 HTTPS/SSL 连接openssl s_client -tls1_2

来自不同客户端的错误是:

  • openssl s_client - “SSL 握手已读取 0 个字节”
  • wget - “GnuTLS:TLS 连接未正确终止。”
  • 卷曲-“OpenSSL SSL_connect:SSL_ERROR_SYSCALL”
  • dotnet nuget Restore - “从传输流接收到意外的 EOF 或 0 字节。”

openssl.cnfMinProtocol = TLSv1.2默认已经有。

受影响的服务器是:

  • api.nuget.org
  • 微软软件包
  • Production.cloudflare.docker.com

连接到这些域时如何强制我的服务器使用 TLS 1.2?

car*_*ott 5

对于使用 OpenSSL 的应用程序,您可以将 MinProtocol 和 MaxProtocol 版本设置为 TLSv1.2,以强制所有连接使用 TLSv1.2。我知道没有办法为每个域设置这个。不建议这样做,因为某些服务器仅支持 TLSv1.3,因此与它们的连接将失败。

  1. 打开openssl.cnf:vi /etc/ssl/openssl.cnf
  2. 滚动到底部:Shift-G
  3. 插入新行:Shift-O
  4. 添加MaxProtocol = TLSv1.2

对于使用 GnuTLS 的应用程序,例如 apt,您可以在系统范围的 GnuTLS 配置文件(可能是 /etc/gnutls/config)中禁用其他版本的 TLS:

[overrides]
disabled-version = tls1.0
disabled-version = tls1.1
disabled-version = tls1.3
Run Code Online (Sandbox Code Playgroud)

请参阅禁用算法和协议

归档时间:

查看次数:

4077 次

最近记录:

4 年,9 月 前
相关归档
CentOS openLDAP 证书信任问题 13
AMaViS:缺少 X-Spam-Status 标头 9
在 nginx 错误日志中:“SSL_BYTES_TO_CIPHER_LIST:不适当的回退” 6
创建一个“受控”的 APT 代理 5
使用 SSL 的卷曲在 ubuntu 服务器上不起作用 4
我是否正确引用了我网站的 SSL 证书链? 4
从旧的 .CSR 获取内容 3
如何通过 apt-get 为已安装的软件包运行 Debconf? 2
如何使用 3 或 4(或更多)磁盘软件 raid10 创建可引导的冗余 Debian 系统? 2
查看过去登录到服务器的日志 1
难疑归档
运行docker镜像时如何覆盖CMD? 186
在哪里可以找到作为“本地系统帐户”运行的 Windows 服务存储的数据? 107
主管未加载新的配置文件 86
交换分区与文件的性能? 81
在有意义和无意义的主机名之间进行选择 81
将远程 CIFS/SMB 共享挂载为文件夹而不是驱动器号 59
php5-fpm:服务器到达 pm.max_children 58
启动时在 /var/run 下创建一个目录 57
在 AWS 上创建 VPC 时推荐的 CIDR 是多少? 53
以 nologin 用户身份执行命令 53