网站上线,网页版qq怎么登陆,音乐播放网站怎么做,网站设置支付宝在线支付问题说明前几天运维同事反馈开发同事代码在Windows 2008 R2 Datacenter服务器上跑会出现无法正常建立SSL/TLS连接的情况#xff0c;在自己的电脑上跑是OK的#xff0c;代码也没有变动过。于是我问他改了服务器上什么配置没有#xff0c;他说改了注册表也不行。接过这个坑在自己的电脑上跑是OK的代码也没有变动过。于是我问他改了服务器上什么配置没有他说改了注册表也不行。接过这个坑心里有一万条艹没事改注册表这还能够回滚吗这坑还可以越得过去吗连忙问了一下改注册表有记录吗他说还在服务器桌面上松了一口气还可以回滚。先根据对应注册表修改文件改回了注册表配置重启服务器。再通过DotNet Framework代码测试接口出现以下错误1
2
3
4
5
时间2020-03-23 12:07:44 执行开始。。。
时间2020-03-23 12:07:44 接口出现异常WebException:
Response报文请求被中止: 未能创建 SSL/TLS 安全通道。
时间2020-03-23 12:07:44 执行结束。。。
时间2020-03-23 12:07:44 总耗时428毫秒
排查错误于是写了一个Python脚本测试了一把是正常的又通过Chrome浏览器访问接口也可以正常响应但使用DotNet Framework写的代码就是不行。于是Google了一下希望能够尽快解决问题回复基本上都是修改DotNet代码添加对于4.0对TLS1.2的支持还有就是改注册表开启TLS1.2的支持。前者我觉得是有可能的根据微软官方信息显示DotNet Framework 4.0需要手动配置TLS1.2的支持才能够响应TLS1.2。于是加了以下代码1
ServicePointManager.SecurityProtocol (SecurityProtocolType)192 |(SecurityProtocolType)768 | (SecurityProtocolType)3072;
测试OKOK问题解决了找了另一台服务器一测试还是不行。怎么可能一台服务器可以另一台不行了没有道理啊。本以为这个问题就这么简单就解决了但实际结果并非如此查看日志还是一样的报错Response报文请求被中止: 未能创建 SSL/TLS 安全通道。。看来只能够通过抓包解决问题了于是分别在行与不行的服务器上安装了Wireshark进行抓包分析。先在正常服务器上抓包从下图可以看到是很正常的。问题说明前几天运维同事反馈开发同事代码在Windows 2008 R2 Datacenter服务器上跑会出现无法正常建立SSL/TLS连接的情况在自己的电脑上跑是OK的代码也没有变动过。于是我问他改了服务器上什么配置没有他说改了注册表也不行。接过这个坑心里有一万条艹没事改注册表这还能够回滚吗这坑还可以越得过去吗连忙问了一下改注册表有记录吗他说还在服务器桌面上松了一口气还可以回滚。先根据对应注册表修改文件改回了注册表配置重启服务器。再通过DotNet Framework代码测试接口出现以下错误1
2
3
4
5
时间2020-03-23 12:07:44 执行开始。。。
时间2020-03-23 12:07:44 接口出现异常WebException:
Response报文请求被中止: 未能创建 SSL/TLS 安全通道。
时间2020-03-23 12:07:44 执行结束。。。
时间2020-03-23 12:07:44 总耗时428毫秒
排查错误于是写了一个Python脚本测试了一把是正常的又通过Chrome浏览器访问接口也可以正常响应但使用DotNet Framework写的代码就是不行。于是Google了一下希望能够尽快解决问题回复基本上都是修改DotNet代码添加对于4.0对TLS1.2的支持还有就是改注册表开启TLS1.2的支持。前者我觉得是有可能的根据微软官方信息显示DotNet Framework 4.0需要手动配置TLS1.2的支持才能够响应TLS1.2。于是加了以下代码1
ServicePointManager.SecurityProtocol (SecurityProtocolType)192 |(SecurityProtocolType)768 | (SecurityProtocolType)3072;
测试OKOK问题解决了找了另一台服务器一测试还是不行。怎么可能一台服务器可以另一台不行了没有道理啊。本以为这个问题就这么简单就解决了但实际结果并非如此查看日志还是一样的报错Response报文请求被中止: 未能创建 SSL/TLS 安全通道。。看来只能够通过抓包解决问题了于是分别在行与不行的服务器上安装了Wireshark进行抓包分析。先在正常服务器上抓包从下图可以看到是很正常的。而在非正常的服务器上抓包报错因为在测试过程中没有保存抓包数据只记录了报错关键字1
Level: Fatal, Description: HandShake Failure
一般来说这种错误是因为加密套件不匹配造成的所以开始比较两台服务器之间加密套件的区别。1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
#因为没有截图保存只导出了Cipher Suites进行比较发现正常的服务器支持28种Cipher Suites而非正常的服务器只支持21种Cipher Suites相差7种Cipher Suites。
#非正常服务器
Cipher Suites (21 suites)Cipher Suite: TLS_RSA_WITH_AES_128_CBC_SHA256 (0x003c)Cipher Suite: TLS_RSA_WITH_AES_128_CBC_SHA (0x002f)Cipher Suite: TLS_RSA_WITH_AES_256_CBC_SHA256 (0x003d)Cipher Suite: TLS_RSA_WITH_AES_256_CBC_SHA (0x0035)Cipher Suite: TLS_RSA_WITH_RC4_128_SHA (0x0005)Cipher Suite: TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x000a)Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027)Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014)Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b)Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 (0xc023)Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (0xc02c)Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 (0xc024)Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (0xc009)Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA (0xc00a)Cipher Suite: TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 (0x0040)Cipher Suite: TLS_DHE_DSS_WITH_AES_128_CBC_SHA (0x0032)Cipher Suite: TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 (0x006a)Cipher Suite: TLS_DHE_DSS_WITH_AES_256_CBC_SHA (0x0038)Cipher Suite: TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA (0x0013)Cipher Suite: TLS_RSA_WITH_RC4_128_MD5 (0x0004)
#正常服务器
Cipher Suites (28 suites)Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027)Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014)Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)Cipher Suite: TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (0x009f)Cipher Suite: TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (0x009e)Cipher Suite: TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x0039)Cipher Suite: TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x0033)Cipher Suite: TLS_RSA_WITH_AES_256_GCM_SHA384 (0x009d)Cipher Suite: TLS_RSA_WITH_AES_128_GCM_SHA256 (0x009c)Cipher Suite: TLS_RSA_WITH_AES_256_CBC_SHA256 (0x003d)Cipher Suite: TLS_RSA_WITH_AES_128_CBC_SHA256 (0x003c)Cipher Suite: TLS_RSA_WITH_AES_256_CBC_SHA (0x0035)Cipher Suite: TLS_RSA_WITH_AES_128_CBC_SHA (0x002f)Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (0xc02c)Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b)Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 (0xc024)Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 (0xc023)Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA (0xc00a)Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (0xc009)Cipher Suite: TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 (0x006a)Cipher Suite: TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 (0x0040)Cipher Suite: TLS_DHE_DSS_WITH_AES_256_CBC_SHA (0x0038)Cipher Suite: TLS_DHE_DSS_WITH_AES_128_CBC_SHA (0x0032)Cipher Suite: TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x000a)Cipher Suite: TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA (0x0013)Cipher Suite: TLS_RSA_WITH_RC4_128_SHA (0x0005)Cipher Suite: TLS_RSA_WITH_RC4_128_MD5 (0x0004)
再仔细查看了一下正常响应的服务器在发送Server Hello时使用的加密套件Cipher Suite是TLS_DHE_RSA_WITH_AES_256_GCM_SHA384而非正常的服务器响应的是TLS 1.2 Alert(Level: Fatal, Description:Handshake failure)从这里就可以很清楚的看到原因了是因为客户端不支持Cipher SuiteTLS_DHE_RSA_WITH_AES_256_GCM_SHA384造成的所以HTTPS请求连接建立才会失败。解决问题找到问题解决问题就简单了Windows IIS Cipher Suites问题我们可以通过IIS Crypto工具进行解决。下载工具IIS Crypto然后查看当前服务器的加密套件我们会发现在这里面并没有证书支持的加密套件于是我手动添加了证书所支持的加密套件重启服务器。再请求对接接口现在可以正常获取数据了。1
2
3
4
5
6
7
8
9
时间2020-03-23 14:55:30 执行开始。。。
时间2020-03-23 14:55:45 {current_page: 1,data: [{id: xxx,PID: xxxx,totalCount: 0},
正常响应抓包扩展思考怎么知道对应证书支持哪些加密套件了我们可以通过这个工具的Site Scanner输入对应URL然后Scan这时候会打开ssllabs进行网站证书检测我们可以拉到最后面有一个Cipher Suites就可以看到对应的TLS 1.2加密套件支持。这里我们可以看到此证书是支持5种加密套件的而我们的服务器完美的错过了这5种加密套件但也并非所有的服务器都错过了所以出现有些服务器可以正常访问接口有些服务器不正常。还有一种方法就是我们通过Chrome按F12选择Security也可以查看到对应的安全连接设置。或者通过nmap命令查看1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
~ » nmap -p 443 --script ssl-enum-ciphers www.oubayun.com
Starting Nmap 7.80 ( https://nmap.org ) at 2020-03-23 17:23 CST
Nmap scan report for www.oubayun.com (xxx.xxx.xxx.xxx)
Host is up (0.065s latency).PORT STATE SERVICE
443/tcp open https
| ssl-enum-ciphers:
| TLSv1.2:
| ciphers:
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 2048) A
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 2048) A
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) A
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) A
| TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (secp256r1) A
| compressors:
| NULL
| cipher preference: client
| warnings:
| Key exchange (dh 2048) of lower strength than certificate key
| Key exchange (secp256r1) of lower strength than certificate key
|_ least strength: ANmap done: 1 IP address (1 host up) scanned in 18.84 seconds
另外还可以通过sslScan命令查看其它推荐的加密套件。1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
b~ » sslscan www.oubayun.com
Version: 1.11.13-static
OpenSSL 1.0.2f 28 Jan 2016Connected to xxx.xxx.xxx.xxxTesting SSL server www.oubayun.com on port 443 using SNI name www.oubayun.comTLS Fallback SCSV:
Server supports TLS Fallback SCSVTLS renegotiation:
Session renegotiation not supportedTLS Compression:
Compression disabledHeartbleed:
TLS 1.2 not vulnerable to heartbleed
TLS 1.1 not vulnerable to heartbleed
TLS 1.0 not vulnerable to heartbleedSupported Server Cipher(s):
#这里我们可以看到首选的是 ECDHE-RSA-AES256-GCM-SHA384
Preferred TLSv1.2 256 bits ECDHE-RSA-AES256-GCM-SHA384 Curve P-256 DHE 256
Accepted TLSv1.2 256 bits DHE-RSA-AES256-GCM-SHA384 DHE 2048 bits
Accepted TLSv1.2 128 bits ECDHE-RSA-AES128-GCM-SHA256 Curve P-256 DHE 256
Accepted TLSv1.2 128 bits DHE-RSA-AES128-GCM-SHA256 DHE 2048 bitsSSL Certificate:
Signature Algorithm: sha256WithRSAEncryption
RSA Key Strength: 4096Subject: www.oubayun.com
Altnames: DNS:www.oubayun.com
Issuer: Lets Encrypt Authority X3Not valid before: Feb 29 09:35:16 2020 GMT
Not valid after: May 29 09:35:16 2020 GMT
当然查看Cipher Suites的方法不仅仅只有这些还有很多其它的方法。怎么开启TLS 1.2支持这是我们也可以通过这个工具点击Schannel然后勾选TLS 1.2选择Apply再重启服务器即可。TLS 1.2支持37种加密套件但建议使用以下种类1
2
3
4
#Nginx设置
AESGCMECDH
ARIAGCMECDH
CHACHA20ECDH
而在非正常的服务器上抓包报错因为在测试过程中没有保存抓包数据只记录了报错关键字1
Level: Fatal, Description: HandShake Failure
一般来说这种错误是因为加密套件不匹配造成的所以开始比较两台服务器之间加密套件的区别。1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
#因为没有截图保存只导出了Cipher Suites进行比较发现正常的服务器支持28种Cipher Suites而非正常的服务器只支持21种Cipher Suites相差7种Cipher Suites。
#非正常服务器
Cipher Suites (21 suites)Cipher Suite: TLS_RSA_WITH_AES_128_CBC_SHA256 (0x003c)Cipher Suite: TLS_RSA_WITH_AES_128_CBC_SHA (0x002f)Cipher Suite: TLS_RSA_WITH_AES_256_CBC_SHA256 (0x003d)Cipher Suite: TLS_RSA_WITH_AES_256_CBC_SHA (0x0035)Cipher Suite: TLS_RSA_WITH_RC4_128_SHA (0x0005)Cipher Suite: TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x000a)Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027)Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014)Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b)Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 (0xc023)Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (0xc02c)Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 (0xc024)Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (0xc009)Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA (0xc00a)Cipher Suite: TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 (0x0040)Cipher Suite: TLS_DHE_DSS_WITH_AES_128_CBC_SHA (0x0032)Cipher Suite: TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 (0x006a)Cipher Suite: TLS_DHE_DSS_WITH_AES_256_CBC_SHA (0x0038)Cipher Suite: TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA (0x0013)Cipher Suite: TLS_RSA_WITH_RC4_128_MD5 (0x0004)
#正常服务器
Cipher Suites (28 suites)Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027)Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014)Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)Cipher Suite: TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (0x009f)Cipher Suite: TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (0x009e)Cipher Suite: TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x0039)Cipher Suite: TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x0033)Cipher Suite: TLS_RSA_WITH_AES_256_GCM_SHA384 (0x009d)Cipher Suite: TLS_RSA_WITH_AES_128_GCM_SHA256 (0x009c)Cipher Suite: TLS_RSA_WITH_AES_256_CBC_SHA256 (0x003d)Cipher Suite: TLS_RSA_WITH_AES_128_CBC_SHA256 (0x003c)Cipher Suite: TLS_RSA_WITH_AES_256_CBC_SHA (0x0035)Cipher Suite: TLS_RSA_WITH_AES_128_CBC_SHA (0x002f)Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (0xc02c)Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b)Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 (0xc024)Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 (0xc023)Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA (0xc00a)Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (0xc009)Cipher Suite: TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 (0x006a)Cipher Suite: TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 (0x0040)Cipher Suite: TLS_DHE_DSS_WITH_AES_256_CBC_SHA (0x0038)Cipher Suite: TLS_DHE_DSS_WITH_AES_128_CBC_SHA (0x0032)Cipher Suite: TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x000a)Cipher Suite: TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA (0x0013)Cipher Suite: TLS_RSA_WITH_RC4_128_SHA (0x0005)Cipher Suite: TLS_RSA_WITH_RC4_128_MD5 (0x0004)
再仔细查看了一下正常响应的服务器在发送Server Hello时使用的加密套件Cipher Suite是TLS_DHE_RSA_WITH_AES_256_GCM_SHA384而非正常的服务器响应的是TLS 1.2 Alert(Level: Fatal, Description:Handshake failure)从这里就可以很清楚的看到原因了是因为客户端不支持Cipher SuiteTLS_DHE_RSA_WITH_AES_256_GCM_SHA384造成的所以HTTPS请求连接建立才会失败。解决问题找到问题解决问题就简单了Windows IIS Cipher Suites问题我们可以通过IIS Crypto工具进行解决。下载工具IIS Crypto然后查看当前服务器的加密套件我们会发现在这里面并没有证书支持的加密套件于是我手动添加了证书所支持的加密套件重启服务器。再请求对接接口现在可以正常获取数据了。1
2
3
4
5
6
7
8
9
时间2020-03-23 14:55:30 执行开始。。。
时间2020-03-23 14:55:45 {current_page: 1,data: [{id: xxx,PID: xxxx,totalCount: 0},
正常响应抓包扩展思考怎么知道对应证书支持哪些加密套件了我们可以通过这个工具的Site Scanner输入对应URL然后Scan这时候会打开ssllabs进行网站证书检测我们可以拉到最后面有一个Cipher Suites就可以看到对应的TLS 1.2加密套件支持。这里我们可以看到此证书是支持5种加密套件的而我们的服务器完美的错过了这5种加密套件但也并非所有的服务器都错过了所以出现有些服务器可以正常访问接口有些服务器不正常。还有一种方法就是我们通过Chrome按F12选择Security也可以查看到对应的安全连接设置。或者通过nmap命令查看1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
~ » nmap -p 443 --script ssl-enum-ciphers www.oubayun.com
Starting Nmap 7.80 ( https://nmap.org ) at 2020-03-23 17:23 CST
Nmap scan report for www.oubayun.com (xxx.xxx.xxx.xxx)
Host is up (0.065s latency).PORT STATE SERVICE
443/tcp open https
| ssl-enum-ciphers:
| TLSv1.2:
| ciphers:
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 2048) A
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 2048) A
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) A
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) A
| TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (secp256r1) A
| compressors:
| NULL
| cipher preference: client
| warnings:
| Key exchange (dh 2048) of lower strength than certificate key
| Key exchange (secp256r1) of lower strength than certificate key
|_ least strength: ANmap done: 1 IP address (1 host up) scanned in 18.84 seconds
另外还可以通过sslScan命令查看其它推荐的加密套件。1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
b~ » sslscan www.oubayun.com
Version: 1.11.13-static
OpenSSL 1.0.2f 28 Jan 2016Connected to xxx.xxx.xxx.xxxTesting SSL server www.oubayun.com on port 443 using SNI name www.oubayun.comTLS Fallback SCSV:
Server supports TLS Fallback SCSVTLS renegotiation:
Session renegotiation not supportedTLS Compression:
Compression disabledHeartbleed:
TLS 1.2 not vulnerable to heartbleed
TLS 1.1 not vulnerable to heartbleed
TLS 1.0 not vulnerable to heartbleedSupported Server Cipher(s):
#这里我们可以看到首选的是 ECDHE-RSA-AES256-GCM-SHA384
Preferred TLSv1.2 256 bits ECDHE-RSA-AES256-GCM-SHA384 Curve P-256 DHE 256
Accepted TLSv1.2 256 bits DHE-RSA-AES256-GCM-SHA384 DHE 2048 bits
Accepted TLSv1.2 128 bits ECDHE-RSA-AES128-GCM-SHA256 Curve P-256 DHE 256
Accepted TLSv1.2 128 bits DHE-RSA-AES128-GCM-SHA256 DHE 2048 bitsSSL Certificate:
Signature Algorithm: sha256WithRSAEncryption
RSA Key Strength: 4096Subject: www.oubayun.com
Altnames: DNS:www.oubayun.com
Issuer: Lets Encrypt Authority X3Not valid before: Feb 29 09:35:16 2020 GMT
Not valid after: May 29 09:35:16 2020 GMT
当然查看Cipher Suites的方法不仅仅只有这些还有很多其它的方法。怎么开启TLS 1.2支持这是我们也可以通过这个工具点击Schannel然后勾选TLS 1.2选择Apply再重启服务器即可。TLS 1.2支持37种加密套件但建议使用以下种类1
2
3
4
#Nginx设置
AESGCMECDH
ARIAGCMECDH
CHACHA20ECDH
