我工作的组织有很多运行 Linux 的服务器。
我们最近的任务是确保 TLS 1.2 用于我们所有应用程序的所有出站连接,无论我们的应用程序是在哪个开发平台上编写的,这变化很大(Ruby/Node/Java/PHP)
有没有办法在系统级别强制一切使用 TLS 1.2?
AskOverflow.Dev
我工作的组织有很多运行 Linux 的服务器。
我们最近的任务是确保 TLS 1.2 用于我们所有应用程序的所有出站连接,无论我们的应用程序是在哪个开发平台上编写的,这变化很大(Ruby/Node/Java/PHP)
有没有办法在系统级别强制一切使用 TLS 1.2?
系统范围?不,因为 Linux 上没有集中式 TLS 配置(有意),除此之外,您可能在每个系统上至少有两个 TLS 实现(肯定是 OpenSSL 或 LibreSSL,很可能还有 GnuTLS)。
不幸的是,审计一切是这里唯一真正的选择。但是,一旦您对给定的开发平台进行了审计,检查该平台上的其他应用程序应该变得非常容易(因为您现在知道工作连接设置序列是什么样的)。
考虑到与特定服务的特定连接,您可能会设置一些东西以确保拒绝 TLSv1.2 以下的任何内容。
但是您不能在系统范围内执行此操作。它只是不适用于通用系统(台式机、服务器等)。连接到 TLS 服务的每段代码都可以使用系统上的多个共享库之一,可以使用自己的共享库,可以使用静态链接或编译在代码中,等等。
但是,如果您还负责确保您的服务器只接受 TLSv1.2 连接,那么您当然可以这样做,因为您控制了所有服务端点 - 通常是 Web 服务器: