阿里云ECS+阿里WEB应用防火墙如何取消对TLS1.0和TLS1.1的支持-问答-阿里云开发者社区-阿里云

开发者社区> 问答> 正文

阿里云ECS+阿里WEB应用防火墙如何取消对TLS1.0和TLS1.1的支持

岸不想长大 2017-07-12 17:07:14 4417

最近处理一个客户项目遇到一个问题,客户找了第三方机构对部署在阿里云上的应用进行了测试,其中的一点问题是:The server provides outdated TLS and SSL protocols
项目是个JAVA项目,使用tomcat进行部署,已采用了机构办法的HTTPS证书,使用ssllabs.com进行了测试。
测试结果:https://www.ssllabs.com/ssltest/analyze.html?d=e.chn.tuv.com
渗透测试机构的报告中提到,网站提供了The server provides outdated TLS and SSL protocols。
大概就是说网站提供了过时的TLS和SSL协议,主要指TLS1.0和TLS1.1,
image

为此,我已经调整了TOMCAT的配置,443端口的配置段为:

           port="443" maxThreads="500" 
           scheme="https" secure="true" SSLEnabled="true" 
           keystoreFile="C:\usr\local\app\e_chn_tuv_com.keystore" keystorePass="Password" keyAlias="e_chn_tuv_com"  
           clientAuth="false" 
sslEnabledProtocols="TLSv1.2"     ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA,!RC4"/>

部署到自建机房上,测试显示网站已设置为支持TLS1.2
image

但是同样的配置,放到了阿里云服务器上,结果依然是同时提供了TLS1.0,TLS1.1,TLS1.2的支持,
而且,我把ECS中的tomcat应用关闭后,网站虽然无法访问,但依然能进行测试,https://www.ssllabs.com/ssltest/analyze.html
且测试结果没变化,

估计测试网站访问的是 Web应用防火墙,请问如何关闭防火墙对TLS1.0和TLS1.1的支持?

弹性计算 Java 应用服务中间件 网络安全
分享到
取消 提交回答
全部回答(2)
  • 火堆公益
    2019-10-28 09:38:33

    阿里云waf只有旗舰版才能修改tls

    0 0
  • dongshan8
    2019-07-17 21:23:21

    题主您好,

    请问您的微信小程序要求tls版本必须是1.2的吗?

    如果取消使用waf产品,您的站点在ssllabs能正常显示tls的版本吗?

    0 0
添加回答
开发与运维
使用钉钉扫一扫加入圈子
+ 订阅

集结各类场景实战经验,助你开发运维畅行无忧

推荐文章
相似问题
推荐课程