tlsv1

注意！大部分主流浏览器已不再信任TLS 1.0/1.1 SSL和TLS都是加密协议，可在不同端点之间提供身份验证和数据加密，而SSL是TLS的前身。 自1995年SSL首次迭代以来，每种协议的新版本已经发布，旨在解决漏洞并支持最强大，最安全的密码套件和算法。 我们目前使用的是TLS 1.3，该版本刚刚获得IETF的批准

本文记录了一次因为反代升级，导致 TLS 版本不兼容的 break change（生产环境下）。 实数“这也能错”系列了。 这个问题对于我来说，难度在于问题的定位，因为问题本身很好解决

据国家网络与信息安全信息通报中心监测发现，OpenSSL存在拒绝服务高危漏洞。鉴于该漏洞影响范围大，潜在危害程度高，建议有业务系统且面向师（生）提供网络服务的相关部门，尽快联系业务系统厂家将OpenSSL升级至安全版本OpenSSL1.1.1k。 OpenSSL是一个开放源代码的软件库包，使用加密算法、证书等提供安全通信功能，目前广泛应用于互联网网页服务器

商业特取名称： (至少输入两个或两个以上的中文字，且由 商业名称第一个字 开始输入，不得含有英文或阿拉伯数字) 公告讯息 Announcement 为符合资通安全责任等级分级办法之资通系统防护基准，使用公开、国际机构验证且未遭破解之算法，本部商工行政资讯系统将提高网络传输加密等级，本部商工行政资讯系统将自111年7月1日起公告6个月后关闭“TLSV1.1加密通讯协定”功能，并改用TLSV1.2以上之加密通讯协定，届时部分浏览器将因安全协定等级过低导致无法正常浏览使用本部商工行政资讯系统。 目前最新版的主流浏览器皆支援TLS 1.2(含)以上协定，请于111年12月底前检视或更改相关设定，以避免无法正常开启网页， 各浏览器版本说明如下： ※商业名称如有违反其他法令，而侵害他人在先权利者，仍应依各该法令规定办理。 ※于申请商业登记之前，应先查询是否已有著名注册商标在先，以减少商业名称与商标权冲突之争议

早期的SSLv2根据经典的公钥基础设施PKI(Public Key Infrastructure)设计，它默认认为：一台服务器（或者说一个IP）只会提供一个服务，所以在SSL握手时，服务器端可以确信客户端申请的是哪张证书。 但是让人万万没有想到的是，虚拟主机大力发展起来了，这就造成了一个IP会对应多个域名的情况。解决办法有一些，例如申请泛域名证书，对所有*.yourdomain.com的域名都可以认证，但如果你还有一个yourdomain.net的域名，那就不行了