使用宝塔面板禁用TLSv1.0或TLSv1.1来提高网站安全性

为什么要禁用TLSv1.0和TLSv1.1？

1.关于TLSv1.0：

TLSv1.0是1999年发布的老版本协议，使用非常老旧的加密算法和系统架构。所以几乎所有的服务都抛弃了TLSv1.0，TLSv1.0拥有较大的安全漏洞，容易被人利用发动攻击。

修复建议：对于老服务，需要彻底关闭TLSv1.0协议，启用TLSv1.1/TLSv1.2/TLSv1.3来减少被攻击的风险。

2.关于TLSv1.1：

TLSv1.1发布于2006年，计划于2020年弃用。如果您正在使用TLSv1.0那么你需要升级的TLSv1.1或者更高。当然TLSv1.1存在被攻击的风险，我们建议立即弃用TLSv1.0与TLSv1.1版本。

修复建议，彻底关闭TLSv1.1，启用更新更安全的TLSv1.2和TLSv1.3。

如何彻底禁用TLSv1.0与TLSv1.1？

在操作之前，你需要查看您的网站所支持的版本，如果您不会操作可以利用网页版的SSL检测网站来查看您网站是否支持低版本的TLS：

利用网页来检测TLS所支持的版本：

1.我们需要打开https://myssl.com/ 输入自己的域名然后进行立即检测【建议现注册账户在检测这样信息会全面一些。】：

温馨提示：

我们强烈您注册自己的账户，因为注册账户后可以查看更多的信息。如果未登录账户只是看一部分。

2.点击立即检测之后，我们会立即来到检测页面进行安全检测。

3.稍等2-3分钟就会检测完毕，检测完毕之后会显示详细的信息【需要登陆才会显示更详细的SSL信息】

温馨提示：

由于页面过于太长，上图就只能这样了。

3.下拉找到协议与套件，或者在页面右面直接点击协议与套件就会自动跳到该栏目。

温馨提示：

这样我们就看到了所支持的协议与加密套件。

宝塔或者其他搭建程序客户端检查？【非页面】

1.nginx下需要找到conf/nginx.conf 会看到如下代码：

ssl_protocols TLSv1 TLSv1.1 TLSv1.2

如果您要删除TLSv1.2之前的版本或者你的服务器支持更高的版本TLSv1.3您可以修改这个代码如：

ssl_protocols TLSv1.2 TLSv1.3

这样我们修改完毕了，我们只需要重启Nginx即可！

2.如果您有宝塔那就方便多了，我们只需要登陆自己的宝塔，然后点击网页，点击自己的网站域名，然后点击配置文件就可以看到所开启的版本了。

温馨提示：

我们只需要跟上方一样，删除掉不需要的TLS版本即可，增加或者删减，然后保存，重启Nginx即可。

3.Apache 通常利用宝塔的话非常方便，可以按照上面的操作即可。如果没有的话需要找到以下目录

CentOS和Fedora配置文件在/etc/httpd/conf/httpd.conf

Ubuntu配置文件在/etc/apache2/sites-enabled

只用TLS1.2和TLS1.3的话就是：

SSLProtocol -ALL +TLSv1.2 +TLSv1.3

然后重启Apache让配置生效。

不管是那个操作，确保自己的网站配置中都删除了

这样我们就可以了。我们重新在检测就好，如果结果没有改变过一段时间在看看或者看看有没有缓存。