关键词：

文章目录

• 一、http服务停用不安全的TLS1.0和TLS1.1协议
• • nginx
  • Apache
  • • apache要支持TLS1.2 版本要求
    • 工作中遇到问题整理
    • • [error] No SSL protocols available [hint: SSLProtocol]
    • apache 版本支持TLS1.3
  • 公网环境验证站点正在使用ssl/tls 版本
• 二、关于启用TLS 1.3
• • 1. 什么是TLS 1.3？
  • 2. 如何确定openssl库的最新支持的SSL/TLS版本？
• 三、客户端对ssl/tls支持情况
• • 1. curl
  • 2. 浏览器
• 四、参考

一、http服务停用不安全的TLS1.0和TLS1.1协议

TLS 1.0 和 TLS 1.1 是分别于 1996 年和 2006 年发布的老版协议，使用的是弱加密算法和系统。比如 SHA-1 和 MD5，这些算法和系统十分脆弱，存在重大安全漏洞，容易受到降级攻击的严重影响，而在 2008 年和 2017 年分别发布了协议的新版本，即 TLS 1.2 和 TLS 1.3，无疑更优于旧版本，使用起来也更安全。

nginx

我假设你有Nginx 1.13+

SSL设置下的默认配置（conf/nginx.conf）应如下所示

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

删除TLS1.0 TLSv1.1、增加TLS1.3，
TLSv1.3在行的末尾添加，因此它看起来如下所示

ssl_protocols TLSv1.2 TLSv1.3;

重启Nginx使配置生效

nginx -s reload

Apache

通常Apache的配置如下

SSLProtocol -ALL +TLSv1 +TLSv1.1 +TLSv1.2

• 基于RedHat的发行版（CentOS，Fedora）配置文件/etc/httpd/conf/httpd.conf
• 基于Debian的发行版（Ubuntu）配置文件/etc/apache2/sites-enabled/目录下

删除+TLSv1 +TLSv1.1、增加TLSv1.3

SSLProtocol -ALL +TLSv1.2 +TLSv1.3  

这个 应该是排除所有（注意ALL前面有个减号），只用 1.2 或 1.3

重启Apache使配置生效

# 基于RedHat的发行版（CentOS，Fedora）
systemctl restart httpd

# 基于Debian的发行版（Ubuntu）
service apache2 restart   

实战demo：
使用了更早的apache（2.2）版本，默认的内容如下：
在其后增加-TLSv1 -TLSv1.1并保存

SSLProtocol ALL -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

apache要支持TLS1.2 版本要求

apache默认支持SSLv3，TLSv1，TLSv1.1，TLSv1.2协议

为了获得最佳的安全性，您将设置

SSLProtocol -all +TLSv1.2 

SSLProtocol -all +TLSv1.2
的 ‘-all’ 参数删除其他SSL/TLS协议（SSLv1，的SSLv2，SSLv3和TLS1）。

'+ TLSv1.2’参数添加TLSv1.2。

工作中遇到问题整理

[error] No SSL protocols available [hint: SSLProtocol]

Apache error: No SSL protocols available [hint: SSLProtocol]
参考URL: https://stackoverflow.com/questions/35492334/apache-error-no-ssl-protocols-available-hint-sslprotocol

如果排除很多低版本，报错No SSL protocols available， 考虑升级httpd、openssl版本或者 你配置是否有问题是否你把所有支持的版本都排除了。

apache 版本支持TLS1.3

安装的Apache版本与Systems openssl库相连，即openssl 1.0.2k。该库没有TLS 1.3支持，也意味着配置TLS 1.3所需的必要功能不可用，因此不能从Apache中使用。

公网环境验证站点正在使用ssl/tls 版本

• https://www.ssllabs.com/ssltest
  此免费在线服务对公共Internet上的任何SSL Web服务器的配置进行深入分析。请注意，您提交的信息仅用于为您提供服务。我们不使用域名或测试结果，我们永远不会。

我们试试输入谷歌 www.google.com
我们试试百度 www.baidu.com

在SSL Server Test扫描一些测试网站，评分只能到B，而原因是服务器开启了TLS1.0和1.1的支持，這些主要都是針對一些很久的浏览器使用的，目前新版都已经支持1.2和1.3了，如果访问者几乎不会使用TLS1.0和1.1的，则可以考虑关闭。

• https://myssl.com
  

当然这些检测，一般用于公网环境检测，那么我们内网环境，我们怎么检测我ssl协议呢？

二、关于启用TLS 1.3

1. 什么是TLS 1.3？

当ssl更新到3.0版本后，IETF（互联网工程任务组）对ssl3.0进行了标准化，标准化后的协议就是TLS1.0，所以说TLS是SSL的标准化后的产物，TLS当前有1.0 ,1.1,1.2三个版本,默认使用1.0。

TLS（传输层安全性）1.3基于现有的1.2规范。它是最新的TLS版本协议，旨在提高性能和安全性。

TLS 1.3 由 IETF 于 2018 年 8 月正式发布。

TLS（Transport Layer Security）是一种加密协议，旨在通过 IP 网络提供安全通信。它是当今非常常见的协议，用于保护 Web 浏览器和 Web 服务器之间的 HTTP 通信。当使用 TLS 保护 HTTP 时，它通常被称为 HTTPS（HTTP Secure）。TLS/SSL 是安全传输层协议，是介于 TCP 和 HTTP 之间的一层安全协议，不影响原有的 TCP 协议和 HTTP 协议。

TLS 1.3 是时隔九年对 TLS 1.2 等之前版本的新升级，也是迄今为止改动最大的一次。 针对目前已知的安全威胁，IETF（Internet Engineering Task Force，互联网工程任务组）制定 TLS 1.3 的新标准，使其有望成为有史以来最安全，但也最复杂的 TLS 协议。

TLS 1.3 与之前的协议有较大差异，主要在于：

• 相比过去的的版本，引入了新的密钥协商机制 — PSK
• 支持 0-RTT 数据传输，在建立连接时节省了往返时间
• 废弃了 3DES、RC4、AES-CBC 等加密组件，废弃了 SHA1、MD5 等哈希算法
• ServerHello 之后的所有握手消息采取了加密操作，可见明文大大减少
• 不再允许对加密报文进行压缩、不再允许双方发起重协商
• DSA 证书不再允许在 TLS 1.3 中使用

对比旧协议中的不足，TLS 1.3 确实可以称得上是向前迈了一大步。既避免之前版本出现的缺陷，也减少了 TLS 握手的时间。

TLS 1.3 与以前的版本相比具有如下两个大的优势：更快的访问速度和更强的安全性！

2. 如何确定openssl库的最新支持的SSL/TLS版本？

openssl s_client -help 2>&1 | awk '/-(ssl|tls)[0-9]/print $1'

现在许多网站，都要求tls1.2协议以上，像github、 pip3安装包网站https://pip.pypa.io/等。

openssl现有版本不支持。需要升级openssl。

现在版本openssl 1.0.0e,不支持tls1.2。

[root@banel64 gvmd-8]# openssl

OpenSSL> version

OpenSSL 1.0.0e-fips 6 Sep 2011

OpenSSL>

查看官网说明，从1.0.1版本开始支持TLS1.1及TLS1.2

来自官网说明：
https://www.openssl.org/news/changelog.html

Openssl 版本一直到 1.0.0h 都支持 SSLv2、SSLv3 和 TLSv1.0.从 Openssl 1.0.1 开始，添加了对 TLSv1.1 和 TLSv1.2 的支持.

三、客户端对ssl/tls支持情况

1. curl

curl 是请求访问 Web 服务器的命令行工具，7.52.0 & + 版本支持 TLSv1.3。

7.52.0 - December 21 2016，curl: introduce the --tlsv1.3 option to force TLS 1.3

使用参数 --tlsv1.3，可以通过 curl --help 查看是否支持该参数

2. 浏览器

TODO

四、参考

如何在Apache，Nginx和Cloudflare中启用TLS 1.3？
参考URL: https://www.pianshen.com/article/5379403796/

提供者：查找已停用小部件的祖先是不安全的

】提供者：查找已停用小部件的祖先是不安全的【英文标题】：Provider:Lookingupadeactivatedwidget\'sancestorisunsafe【发布时间】：2020-12-2619:28:00【问题描述】：尝试从提供者那里获取值，它工作正常，但我收到以下错误。我在这里做错... 查看详情

Flutter：查找已停用小部件的祖先是不安全的

】Flutter：查找已停用小部件的祖先是不安全的【英文标题】：Flutter:Lookingupadeactivatedwidget\'sancestorisunsafe【发布时间】：2020-08-0823:40:51【问题描述】：我知道已经有两个关于这个问题的帖子，但我无法解决我的问题。可能是因为... 查看详情

Flutter：错误是查找已停用小部件的祖先是不安全的

】Flutter：错误是查找已停用小部件的祖先是不安全的【英文标题】：Flutter:errorisLookingupadeactivatedwidget\'sancestorisunsafe【发布时间】：2021-04-2918:21:02【问题描述】：所以我尝试在我的颤振应用程序中使用NodeJS登录，并且我能够登录... 查看详情

使用提供程序和快餐栏查找已停用小部件的祖先是不安全的

】使用提供程序和快餐栏查找已停用小部件的祖先是不安全的【英文标题】：Lookingupadeactivatedwidget\'sancestorisunsafeusingproviderandsnackbar【发布时间】：2020-11-1812:02:20【问题描述】：我正在使用DismissibleWidget从列表中删除注释。当注释... 查看详情

未处理的异常：查找已停用小部件的祖先是不安全的。如何解决这个问题？

】未处理的异常：查找已停用小部件的祖先是不安全的。如何解决这个问题？【英文标题】：UnhandledException:Lookingupadeactivatedwidget\'sancestorisunsafe.howtosolvethis?【发布时间】：2022-01-1122:14:51【问题描述】：我正在尝试将条纹支付集成... 查看详情

尝试使用谷歌地图时查找已停用小部件的祖先是不安全的

】尝试使用谷歌地图时查找已停用小部件的祖先是不安全的【英文标题】：Lookingupadeactivatedwidget\'sancestorisunsafewhentryusegooglemap【发布时间】：2021-09-2703:44:33【问题描述】：第一次工作，然后当我回去我得到这个错误，请帮助。我... 查看详情

绕过应用程序传输安全以允许不安全的 HTTP 服务器

】绕过应用程序传输安全以允许不安全的HTTP服务器【英文标题】：BypassingAppTransportSecuritytoallowunsecuredHTTPserver【发布时间】：2016-12-1904:58:18【问题描述】：情况：我必须连接到这两个不同的服务器以进行开发和登台使用。两台服... 查看详情

在 InitState 未处理异常中显示对话框：查找已停用小部件的祖先是不安全的

】在InitState未处理异常中显示对话框：查找已停用小部件的祖先是不安全的【英文标题】：ShowDialogInInitStateUnhandledException:Lookingupadeactivatedwidget\'sancestorisunsafe【发布时间】：2020-09-1806:07:41【问题描述】：第一次出现屏幕时，我想... 查看详情

验证启用了不安全的http方法

安全风险：   可能会在Web服务器上上载、修改或删除Web页面、脚本和文件。可能原因：   Web服务器或应用程序服务器是以不安全的方式配置的。修订建议：   如果服务器不需要支持WebDAV，请务必... 查看详情

Flutter & Navigator & ImagePicker : 为啥我可以进入下一页？查找已停用小部件的祖先是不安全的

】Flutter&Navigator&ImagePicker:为啥我可以进入下一页？查找已停用小部件的祖先是不安全的【英文标题】：Flutter&Navigator&ImagePicker:WhycanIproceedtothenextpage?Lookingupadeactivatedwidget\'sancestorisunsafeFlutter&Navigator&ImagePick 查看详情

web服务器启用了不安全的http方法(代码片段)

web服务器启用了不安全的HTTP方法_波波仔86的博客-CSDN博客_配置错误的web服务器允许远程客户端执行危险的http方法,如put和delete。<security-constraint><web-resource-collection><web-resource-name>fortune</web-resource-name><ur 查看详情

nginx是啥

...等。服务器是硬件(身体)，NGINX是软件(灵魂):服务器需要NGINXAPACHE或者IIS才能作为网站服务器。参考技术A服务器是硬件（身体），NGINX是软件（灵魂）：服务器需要NGINXAPACHE或者IIS才能作为网站服务器。百度的服务器也是用的NGINX... 查看详情

查找已停用小部件的祖先是不安全的 => 使用 Riverpod => 使用 "Navigator.of(context).pushReplacementNamed('/page'

】查找已停用小部件的祖先是不安全的=>使用Riverpod=>使用"Navigator.of(context).pushReplacementNamed(\\\'/page\\\');"【英文标题】：lookingupadeactivatedwidget\'sancestorisunsafe=>usingRiverpod=>using"Navigator.of(context).pu 查看详情

错误状态：平台不允许使用不安全的 HTTP：http://0.0.0.0:9090

...接到位于ws://localhost:9090（使用rosbridge运行）的RosWebSocket服务，但在F 查看详情

http与https的区别

　　超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息，HTTP协议以明文方式发送内容，不提供任何方式的数据加密，如果攻击者截取了Web浏览器和网站服务器之间的传输报文，就可以直接读懂其中的信息，因... 查看详情

http与https的区别

　　超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息，HTTP协议以明文方式发送内容，不提供任何方式的数据加密，如果攻击者截取了Web浏览器和网站服务器之间的传输报文，就可以直接读懂其中的信息，因... 查看详情

http与https的区别

　超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息，HTTP协议以明文方式发送内容，不提供任何方式的数据加密，如果攻击者截取了Web浏览器和网站服务器之间的传输报文，就可以直接读懂其中的信息，因此... 查看详情

http与https的区别

超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息，HTTP协议以明文方式发送内容，不提供任何方式的数据加密，如果攻击者截取了Web浏览器和网站服务器之间的传输报文，就可以直接读懂其中的信息，因此，H... 查看详情