背景
由于旧系统不信任ISRG Root X1的解决方案后,发现公司现有协议最低支持TLS1.0,而TLS1.0/1.1都被曝出不安全,遂调研升级。
调研
Windows
| 操作系统 | 默认支持的 TLS 版本 | 内置 TLS1.1/1.2 能力? | 是否需要手动启用? |
|---|---|---|---|
| 7 | TLS1.0 | 是 | 是 |
| 8 | TLS1.0 | 是 | 是 |
| 8.1 | TLS1.0 | 是 | 是 |
| 10 | TLS1.0/1.1/1.2 | 是 | 否 |
结论:公司项目现有用户有Win7的,在不改用户环境的情况下,默认并不支持TLS1.1/1.2,无法舍弃TLS1.0。
Android
| 操作系统 | 默认支持的 TLS 版本 | 内置 TLS1.1/1.2 能力? | 是否需要手动启用? |
|---|---|---|---|
| 安卓4.4 | TLS1.0 | 是 | 是 |
| 安卓5.0 | TLS1.0/1.1/1.2 | 是 | 否 |
结论:公司项目现有用户有安卓4.4的,原项目非公司开发,无源码且在不改用户环境的情况下,默认并不支持TLS1.1/1.2,无法舍弃TLS1.0。
Chromiun
| 内核 | 默认支持的 TLS 版本 | 内置 TLS1.1/1.2 能力? | 是否需要手动启用? |
|---|---|---|---|
| 30(安卓4.4) | TLS1.0 | 是 | 无法在Webview启用 |
| 37(安卓5.0) | TLS1.0/1.1/1.2 | 是 | 否 |
| 68 | TLS1.0/1.1/1.2 | 是 | 否 |
结论:公司项目给Win7的是68内核,因此天生支持TLS1.1/1.2,可以升级。安卓4.4内核无法升级,最低要安卓5.0。
结论
尝试升级到TLS1.1,几天时间只有一位用户反馈说无法使用的,并且是安卓4.4系统,情况是:不管怎么使用,用户始终无法连接到服务器上,最终跟用户协商暂用TLS1.0至少保持1年。根据调研结果,后续会直接升级到TLS1.2。
0