问题标签 [tls1.0]

我们目前有 2 个环境 TEST 和 PRODUCTION

最近，当我们根据本文档在测试环境中设置 TLS 时 https://success.outsystems.com/Support/Enterprise_Customers/Maintenance_and_Operations/(.NET)_Enable_SSL_Protocols_for_your_Integrations_-_TLS_1.1_and_TLS_1.2

使用 Netmon 捕获 TLS 握手日志（即客户端是 1.2 到服务器 1.0，因此将使用 1.0）

但是在 PRODUCTION 上它没有被捕获（即客户端是 1.2 到服务器 1.0 因此将使用 1.0 ，但在 Netmon 上它没有设置为 1.2）

我要问的问题是，是否有发生 TLS 握手的顺序，即如果不继续到 1.1 等，则从 1.2 开始

如果是这种情况，我想知道我们是否应该查看其他一些设置，或者这是 Netmon 问题？或者完全是别的东西

更新

在某些装有 Windows 7 和 10 的 PC 中，问题仍然存在。Wireshark 声明请求正在使用 Tlsv1.0 完成。

我读到有一种添加注册表项的解决方法，但尽管我尝试过但它们都不起作用（禁用 Tls1.0 并启用 Tls1.1 和 1.2），但我不希望我的客户执行这样的过程。我想告诉我的应用程序只使用 1.2。

EOU

我使用 Qt 编写了一个应用程序，它在https://www.myprefix.mydomain.com中对我的网站执行标准获取请求。

现在，Windows 上部署的应用程序可以在具有 TLS 1.2 版的计算机上运行，​​但如果计算机启用了 TLS 1.0，则请求会被阻止。总结这一点，我写了一个最小的应用程序（你好世界，你有服务器吗？）并检查了两台计算机中的 Wireshark 条目，这似乎是唯一的区别。根据 Wireshark 的说法，如果 TLS1.0 可用，那么我的应用程序使用 TLS1.0（无论是否存在 1.2）并被阻止。

我知道 1.0 不再被认为是安全的，所以我想告诉我的 Qt 应用程序只使用 TLS1.+。

我宁愿不使用 http（稍后我会得到敏感信息）也不告诉我的客户禁用 TLS1.0。这可以硬编码到 Qt 应用程序中吗？

我试过这个：

但是该应用程序在可用时仍然使用 TLS1.0，并且服务器会阻止请求（这是正确的）。

在浏览互联网时TLS，SSL我发现在 2018 年 6 月 30 日，IETF被禁止SSL并且TLS 1.0由于诸如POODLE（在此网站上找到它：https ://blog.pcisecuritystandards.org/are-you-ready-for-30-june -2018-sayin-goodbye-to-ssl-early-tls）。是否IETF或其他组织/公司正在替代SSL使用它的所有协议（不仅仅是HTTPS）仍然有效？

我们最近对托管在 Azure 中的应用程序进行了“安全审查”，其中一个抱怨是我们没有禁用 TLS 1.0。

虽然我知道我们可以为 Web 角色甚至应用服务禁用 TLS 1.0（或者至少很快就能做到这一点），但我们还允许移动应用使用 REST API 直接将数据上传到 blob 存储。扫描显示了这一点并将其标记为问题？

有没有人知道这里可能的解决方案，要为每个容器禁用它，或者其他什么？

我能看到的唯一解决方案是实现我们自己的端点，但那将是最后的手段。想知道是否有人对这个问题有更简单的解决方案？

我有一个场景如下；

客户端 <--TLS 1.0- -> 服务器进程 <--- TLS 1.2 ---> 后端现有客户端需要继续与我的服务器进程通信 TLS 1.0（它们将在另一天升级）但是“服务器进程”需要使用 TLS 1.2 与后端​​通信。我已经对注册表进行了以下更改，但是我不确定是否需要启用所有 3 个版本 1.0、1.1 和 1.2，假设握手阶段将根据需要选择最高（正确）版本的 TLS。

我已经创建了 TLS1.0、TLS1.1 和 TLS 1.2 密钥，然后为每个密钥创建了客户端和服务器密钥。在每个下，我将 DisabledByDefault 设置为 0（32 位 DWORD），并将每个设置为 1（32 位 DWORD）。因此，所有 3 个版本的 TLS 都启用如下。这是正确的做法，还是我只需要启用 1.2 版本（客户端和服务器）并禁用所有其他版本？

注册表 看起来像这样 我正在运行 Windows Server 2008 R2 Service Pack 1，它是一个非常脆弱的环境，所以我需要在重新启动之前第一次做到这一点。除了这些更改，我不需要应用任何补丁，不是吗？

感谢一百万您的帮助。

亲切的问候

格雷厄姆

我有一台带有 OpenNao 发行版（基于 GENTOO）的 LINUX 机器。这台机器有 Python 2.7.3。我没有root权限。您可以从以下链接下载 Virtualbox (OpenNAO OS VirtualBox 2.1.2) 中的可执行映像（您可能需要创建一个帐户）：

https://community.ald.softbankrobotics.com/en/resources/software/language/en-gb?sort_by=weight&sort_order=ASC&page=1

我的问题是我正在尝试使用以下代码向具有 TLS 1.2 的 AZURE 服务器发出呼叫请求：

我收到以下错误：

我尝试使用 TLS 1.2 在其他机器（Windows、Ubuntu）上发出请求，结果正常。要获取每台机器的 TLS 版本，我使用了以下命令

装有 python 2.7 和 TLS 1.2 的 WINDOWS 机器：请求的结果是好的。

带有 python 2.7 和 TLS 1.2 的 UBUNTU 机器：请求的结果是好的。

我认为该错误是由 NaoQi 使用的 SSL 的 TLS 1.0 版本引起的。我向其发出请求的服务器是 Azure，并且仅支持 TLS 1.2。我在浏览器中检查了它的 TLS：

来自服务器的 TLS

我无法更新 Python（我没有 root 权限）。

请问，你知道我怎样才能使请求对服务器起作用吗？我应该在 NAOQI 机器上将 TLS 1.0 更新为 TLS 1.2 吗？你知道如何更新它吗？

欢迎任何帮助或建议。

预先感谢，问候。

出现错误 - javax.net.ssl.SSLHandshakeException：服务器选择了 TLSv1，但在调用安全 Web 服务时，客户端未启用或不支持该协议版本。

按照 oracle 站点中的建议，将以下选项附加到 mydomain\bin\ setDomainEnv.cmd 中的 JAVA_OPTIONS 变量，但问题相同。

-Dweblogic.security.SSL.protocolVersion=TLS1

Client Env - JDK 版本：7，应用服务器：Weblogic。

试图让它从几天开始工作，但没有运气。

任何人都可以提供解决方案来禁用 TLS 1.0 作为 Windows Server 2012 Standard 上的默认协议，并在机器上安装 4.5 .Net Framework。服务器上运行的应用程序具有 .NET 4.5 的目标框架，并且正在与仅启用 TLS 1.2 的另一台服务器建立连接。

我尝试设置以下注册表，但它仍在调用 TLS1.0：

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "已启用"=dword:00000001 "DisabledByDefault"=dword:00000000

Microsoft 的文档站点仅通过设置安全协议来列出代码中的修复，如下所示

但是有没有办法通过注册表来实现这一点？

我用来wsimport从特定的WSDL. 我尝试了 Java 10，但握手失败，然后我尝试了 Java 9，一切正常。

我观察了使用wireshark的通信，原因很清楚，我通信的服务器仍然使用 TLSv1，我猜 Java 10wsimport不再容忍这种情况（至少默认情况下不会），尽管 9 可以。

我对服务器无能为力，所以问题变成了如何运行具有 TLSv1 容差的 Java 10 wsimport？

我有一个 apache，它将任何传入请求重定向到 url-a 到 url-b。apache 配置同时支持 TLSv1.0 和 TLSv1.2。

url-b 后面的主机将只接受 TLSv1.2 来执行 SSL 握手。我的问题是：如果客户端使用 TLSv1.0 向 url-a 发出请求，当被重定向到仅接受 TLSv1.2 的 url-b 时，请求是否会被正确处理？

所以基本上请求将遵循这种方式：

客户端（TLSv1.0）--> apache（使用 TLSv1.0 与客户端执行握手）（将请求重定向到服务器，使用 TLSv1.2 与服务器执行握手）--> 服务器（TLSv1.2）。

我的测试表明它会起作用，但我对 apache 没有深入的了解，无法 100% 确认这一点。

谢谢