因為最近公司也開始準備要讓 TLS 1.0 退場了,所以開始有一些工作要弄 … 雖然在 2017、2018 年都開始有許多企業將 TLS 1.0 退場了,不過卻隱藏了許多問題 …
TLS 1.0 退場其實算是一件大事情,怎麼說?
對於停用 TLS 1.0 也相對於要準備淘汰老舊版本的 OS、程式語言
在程式方面必須幾個常見的平台:
- Java 支援 TLS 1.1 最少要 JDK 6 later、TLS 1.2 要 JDK 7 later (Diagnosing TLS, SSL, and HTTPS)
- PHP 要注意 cURL 7.34 later、NSS (Network Security Services) 3.15.1 later
OpenSSL 最少要升級到 1.0.1.j 才支援 TLS 1.2,但是因為 1.0.1 有 heartbleed 的問題,所以建議還是至少升到 1.0.2 later
WebServer 的部份
- Nginx 1.1.13 later
- Apache 2.2.23 later
- IIS 7.5 later (Windows Server 2008 R2 / Windows 7)
然後最關鍵還是瀏覽器支援,IE 最精采 …
- Google Chrome 22 later
- Mozilla Firefox
- Disable by default 23 later
- Enable by default 27(ESR 31.0) later
- Opera
- Disable by default 10-12.17
- Enable by default 9, 12.18 later
- Microsoft Internet Explorer
- Windows 7 disable by default 8, 9, 10
- Windows 8 disable by default 8
- Enable by default 11
- Safari
- 7 later for OS X
- 5 later for iOS
這一弄下去大概會少掉一堆 IE 的使用者 … 我想應該還一狗票使用者還在用 Windows 7 而且 TLS 1.1 / 1.2 還是預設 disable。
然後 OS 的部份大概帶過一下
- Android 4.4 later
- iOS 5 later
- OS X v10.9 (Mavericks) later
- Windows 7 later
這部份會少掉的使用者應該是 Android 比較麻煩,很多 Android 舊手機沒辦法升級 …
除此之外在退場之前要先做好宣導 (雖然不見得有用),然而在退場後也要有退路,至少在 Google 搜尋 或是 在 社群 留下一些資訊。
我在觀察一些國外網站會有一些作法是先建立與使用者消息佈達的管道 (粉絲團、Blog、Line … 等),然後透過這些管道去佈達消息其實會好很多,如果沒有事先準備或是管道的話就會很棘手 …
Reference: