开发者社区> 问答> 正文

阿里云ECS+阿里WEB应用防火墙如何取消对TLS1.0和TLS1.1的支持

最近处理一个客户项目遇到一个问题,客户找了第三方机构对部署在阿里云上的应用进行了测试,其中的一点问题是:The server provides outdated TLS and SSL protocols
项目是个JAVA项目,使用tomcat进行部署,已采用了机构办法的HTTPS证书,使用ssllabs.com进行了测试。
测试结果:https://www.ssllabs.com/ssltest/analyze.html?d=e.chn.tuv.com
渗透测试机构的报告中提到,网站提供了The server provides outdated TLS and SSL protocols。
大概就是说网站提供了过时的TLS和SSL协议,主要指TLS1.0和TLS1.1,
image

为此,我已经调整了TOMCAT的配置,443端口的配置段为:

           port="443" maxThreads="500" 
           scheme="https" secure="true" SSLEnabled="true" 
           keystoreFile="C:\usr\local\app\e_chn_tuv_com.keystore" keystorePass="Password" keyAlias="e_chn_tuv_com"  
           clientAuth="false" 
sslEnabledProtocols="TLSv1.2"     ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA,!RC4"/>

部署到自建机房上,测试显示网站已设置为支持TLS1.2
image

但是同样的配置,放到了阿里云服务器上,结果依然是同时提供了TLS1.0,TLS1.1,TLS1.2的支持,
而且,我把ECS中的tomcat应用关闭后,网站虽然无法访问,但依然能进行测试,https://www.ssllabs.com/ssltest/analyze.html
且测试结果没变化,

估计测试网站访问的是 Web应用防火墙,请问如何关闭防火墙对TLS1.0和TLS1.1的支持?

展开
收起
岸不想长大 2017-07-12 17:07:14 9583 0
2 条回答
写回答
取消 提交回答
  • 阿里云waf只有旗舰版才能修改tls

    2019-10-28 09:38:33
    赞同 展开评论 打赏
  • 旺旺:nectar2。

    题主您好,

    请问您的微信小程序要求tls版本必须是1.2的吗?

    如果取消使用waf产品,您的站点在ssllabs能正常显示tls的版本吗?

    2019-07-17 21:23:21
    赞同 展开评论 打赏
问答排行榜
最热
最新

相关电子书

更多
阿里云云原生 Serverless 技术实践营西安站材料合集 立即下载
阿里云产品十一月刊来啦! 立即下载
阿里云产品安全基线白皮书 立即下载