你经常听讲TLS是最重要的安全协议。通常，缘由是它的部署很广泛，而且适用于很多更高级别的协议。更重要的是，我们能够认真研究这些协议的另一具方面：我们能够认真研究这些协议的设计TLS.更新（2017年1月13日）：由于这篇文章最初公布，TLS 1.3规范被修改为改变今后协议版本的方式是商议好的。新想法绕过了下文所述的不容忍咨询题。所以，TLS 1.3的部署将在特别大程度上不必担心会被破坏兼容性。协议版本不容忍我们学到的一具重要教训算是永久不要使用显式的协议版本号。在TLS中，它们向来是苦恼的来源，导致白费时刻和安全咨询题。全然缘由是，当客户机提出商议一具他们不理解的TLS版本号时，有很多服务器会惊慌失措。依照协议规范，他们应该尊敬地拒绝使用未知版本，DDoS高防，并尽大概使用最好的协议虽然这样这是一具服务器端咨询题（在更深层次上，也是一具库咨询题），在实践中，假如扫瞄器不能与某个特定的网站举行通信，这么扫瞄器就会受到所有指责。这导致了一种有时称为自愿协议落级的行为：在尝试其最佳协议版本并失败后，扫瞄器尝试其第二好的，接着第三好的，依此类推，直到他们成功地使用服务器。尽管这种扫瞄器行为有助于提高互操作性，它会减慢通信速度，并使主动网络攻击者可以将安全通信落级到客户端和支持的最差协议版本服务器。之后通过多年的努力，要紧扫瞄器供应商最后来成功地禁用了回退功能。由于POODLE攻击的发觉，sslv3是第一具退出的版本。其他回退稍后被删除，正如您在SSL/TLS中的事件时刻轴上看到的那么生态系统.TLS1.3只要我们然后公布新的协议版本，版本不容忍咨询题将持续存在。协议回退再次相关，因为tls1.3马上完成，我们如今不得不面对很多不容忍服务器的严酷现实那儿。测试关于SSL实验室中的版本不容忍，SSL实验室基本实施了特别长时刻的版本不容忍测试。假如您不幸遇到了一具对TLS1.0、1.1或1.2不可容忍的服务器，您将收到一具大警告。但如此的服务器越来越少；怎么讲，大多数扫瞄器在2013年底实现了tls1.2，这意味着系统所有者有几年的时刻来解决这种不容忍现象咨询题。我们并且测试TLS1.3和其他一些荒谬的大版本号的不容忍度。tls1.3的结果如今引起了人们的兴趣；其他的测试大概对协议更感兴趣开辟者。给定TLS1.3马上公布，我们打算让不容忍警告更加突出，并在对服务器举行分级时将其思量在内。特别快就会有一篇对于这个版本SSL脉冲中的不容忍跟踪我们的SSL-Pulse项目监测了大约150000个最受欢迎的网站上的SSL/TLS配置，它提供了2012年4月我们举行的第一次扫描的版本不容忍信息。您能够在下面的图表中看到它的模样。

在我们最近的扫描（2016年7月）中，我们数据集中有3.2%的服务器不爱慕TLS1.3。还有3.6%的服务器不爱慕TLS2.152。这听起来不算多，但对扫瞄器来讲却是一具巨大的咨询题，CC防御，因为它能够翻译成数千个网站，CC防御，有点网站很特别受欢迎。你呢还将注意到2015年5月不容忍服务器数量的大幅下落，这一点值得解释。当我们第一次开始测量版本不容忍度时，咨询题真的要严峻得多；在峰值时，大约12%的服务器不能容忍TLS1.3，超过60%的服务器不能容忍TLS2。有了如此的数字，顺利推出新协议版本的大概性特别小。但后来有人意识到，DDoS防御，只要略微调整一下TLS1.3，那个咨询题就能够得到缓解协议。假如在任何SSL或TLS协议版本的背后，你会发觉它们都使用两个不同的版本号。主协议有一具版本（tls1.0、1.1等等），但也有记录层版本。您能够将记录层视为一具子协议。关于两个版本号，在每个字段中到底要发送啥向来是个混乱。有点客户机只使用主协议版本（例如tls1.2），但将记录层版本保持在ssl3或tls1.0，以表明在该层上没有任何更改。然而，有点客户机遇在这两个字段中使用更大的协议版本。固然，在我们的测试中，我们模拟了最坏的事情案子。无论怎么样结果表明，大多数咨询题基本上由记录层的不容忍引起的。思量到实际上没有人需要两个版本号，tls1.3规范随后被修改为弃用记录层版本号，并将其固定在tls1.0（0x0301）。后来，在2015年5月，我们开始测试新规则下的版本号不容忍度，这导致了drop.relatedsl：看似简单，但难以实施的"产品和技术"SSL实验室2016年12月12日：2014年更严格的安全要求2014年1月21日在"产品和技术"SSL实验室1.17:RC4，过时密码，以及2015年5月21日"产品和技术"中的Logjam

当前位置：主页 > 网站防护 > 高防加速cdn_最好的_ddos流量清洗系统