今天在为客户机( IP 是 103.219.. 段的香港节点)部署 SSL 证书的时候发现一个非常奇怪的问题:
使用 Windows2008 IIS 配置 SSL 证书,修改注册表禁用了 TLS1.0 开启了 TLS1.2,通过 443 端口检测时 仅检测到支持 TLS1.0 协议,苹果设备无法访问。
Q1: 于是怀疑是因为 TLS1.2 在 Windows2008 上开启不成功,换用 IISCrypto 启用 TLS1.2,重启服务器,结果一样。
Q2:经过谷歌,部分教程说道升级 Windows 版本可能会解决,以试经历了 Windows2008->Windows2012,使用 IISCrypto 启动 TLS1.2,禁用 TLS1.2,结果依然一样。
期间还更换了操作系统为 CentOS7+Nginx 开启 TLS1.2 停用 TLS1.0,结果依然一样。
Q3:猜想机房网络是否被污染?机房 NAT 中修改了 TLS 通信?于是同时用 443 端口 和 8443 端口监听 SSL 站点。测试发现 443 端口上依然是 TLS1.0 协议并且证书链正常,证书状态正常,SSLLABS 评级 F。测试 8443 端口访问,证书状态正常,可检测到 TLS1.2 启用,可检测到 TLS1.0 已经禁止,SSLLABS 评级 A。
那么问题来了?机房的技术现在真的这么强大了?是否我们所有的 HTTPS 流量现在都被机房监控的? 这样真的好么?
可否由更有效的方法防止?
1
zeyexe 2018-10-18 00:49:03 +08:00 via iPhone
你服务器 localhost 测试看看什么结果
|
2
TrustOcean OP @zeyexe 本机测试都 OK !
|
3
0ZXYDDu796nVCFxq 2018-10-18 08:57:40 +08:00 via Android
不用换系统啊,为何要用这么麻烦的 debug 方法
直接抓包看 TLS 协商就行了 |
4
wbrobot 2018-10-18 11:04:01 +08:00 via iPhone
小哥你清本地缓存了吗?
|
5
TrustOcean OP @wbrobot 还多台客户机访问测试的
|
6
louted 2022-02-10 00:14:10 +08:00 via Android
能正常打开吗
|