你还没登录呢…

前去登录

页面导航

本文编写于 118 天前,最后修改于 60 天前,其中某些信息可能已经过时。

写在前面

关于HTTPS,最早接触是在两年前了,给我印象最深的可能就是柯柔沐娘(Chrome)的绿锁吧。关于HTTPS的作用,我说不好,有时间再说吧🙄。

如今的HTTPS

这几年来HTTPS技术的发展真的是太快了🚀,安卓2.3用的CBC,以及WindowsXP的3DES都早已经成为了虚弱的加密算法了。前几年,TLS1.3逐渐推广开来,而现在,又有一些站点停止支持TLS1.0和1.1了。

我的看法🤔

关于是否支持TLS1.0和1.1,我觉得只要没有什么安全漏洞,我个人是不会停止支持的。从安卓来说,只有安卓4.4及以上才支持TLS1.2,放弃了TLS1.0就意味着放弃了安卓4.4以下的系统内核。你或许会说,现在的手机不是都安卓9或者10了么?的确,手机是这样,可电视和平板之类的呢?有的或许早已经没有了系统更新,但仍可以使用。
前不久我发现某个朋友的站点还在主动兼容安卓2.3和WindowsXP的IE8的访问,回想起了几年前的时候我还在用安卓2.3的情景,当时很多的软件都放弃兼容安卓2.3,只能用旧版本的我,内心异常凄凉😥。

我推荐的配置

0202年了,你懂吧?😒

下面来说一说从SSLv3到TLS1.3的推荐加密套件:

SSLv3

如果不需要兼容古老系统,请不要使用SSLv3😥

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA 256位正向加密
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA 128位正向加密
兼容WindowsXP上的IE6

TLS_RSA_WITH_3DES_EDE_CBC_SHA 112位加密

TLS1.0

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA 256位正向加密
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA 256位正向加密
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA 128位正向加密
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA 128位正向加密

兼容WindowsXP上的IE8

TLS_RSA_WITH_3DES_EDE_CBC_SHA 112位加密

兼容安卓2.3

TLS_RSA_WITH_AES_128_CBC_SHA 128位加密
TLS_DHE_RSA_WITH_AES_128_CBC_SHA 128位正向加密 DH 1024
TLS_DHE_DSS_WITH_AES_128_CBC_SHA 128位正向加密 DH 1024

TLS1.1

咱目前还没发现TLS1.1有啥不同于TLS1.0的安全加密套件,使用TLS1.0同款套件即可😳。

TLS1.2

咱听说AES有硬件加速,所以就优先使用AES套件叭😘

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 128位正向加密
(听说柯柔沐娘现在最喜欢ta😒)
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 128位正向加密
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 256位正向加密
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 256位正向加密
咱听说CHACHA20_POLY1305是咕鸽曾经在移动端推广的套件,柯柔沐娘却不是很爱ta

TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 256位正向加密
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 256位正向加密
TLS1.2还支持好多多多加密套件,这里就不说了🙄

TLS1.3

这是一个船新版本😏

TLS_AES_256_GCM_SHA384 256位正向加密
TLS_AES_128_GCM_SHA256 128位正向加密
TLS_CHACHA20_POLY1305_SHA256 256位正向加密

此处有坑

TLS1.3似乎并不能让服务器指定套件顺序,默认采用256位的AES作为首选连接方式,可能会带来感知不强的延迟,但如果咱关闭了服务器顺序编排的话,TLS1.0和1.1就会采用128位的加密套件优先连接,好像不太太太安全。😥

已有 2 条评论