今天在为客户机( IP 是 103.219.. 段的香港节点)部署 SSL 证书的时候发现一个非常奇怪的问题:
使用 Windows2008 IIS 配置 SSL 证书,修改注册表禁用了 TLS1.0 开启了 TLS1.2,通过 443 端口检测时 仅检测到支持 TLS1.0 协议,苹果设备无法访问。
Q1: 于是怀疑是因为 TLS1.2 在 Windows2008 上开启不成功,换用 IISCrypto 启用 TLS1.2,重启服务器,结果一样。
Q2:经过谷歌,部分教程说道升级 Windows 版本可能会解决,以试经历了 Windows2008->Windows2012,使用 IISCrypto 启动 TLS1.2,禁用 TLS1.2,结果依然一样。
期间还更换了操作系统为 CentOS7+Nginx 开启 TLS1.2 停用 TLS1.0,结果依然一样。
Q3:猜想机房网络是否被污染?机房 NAT 中修改了 TLS 通信?于是同时用 443 端口 和 8443 端口监听 SSL 站点。测试发现 443 端口上依然是 TLS1.0 协议并且证书链正常,证书状态正常,SSLLABS 评级 F。测试 8443 端口访问,证书状态正常,可检测到 TLS1.2 启用,可检测到 TLS1.0 已经禁止,SSLLABS 评级 A。
那么问题来了?机房的技术现在真的这么强大了?是否我们所有的 HTTPS 流量现在都被机房监控的? 这样真的好么?
可否由更有效的方法防止?
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.