shadowrocket配置文件[$key]一键快速链接国外

SSL/TLS 安全协议的设计和实施旨在提供端到端数据安全。这包括数据完整性，即数据不能被攻击者修改、重放或重新排序而不被接收端点发现。与任何技术一样，SSL/TLS 也有其缺陷。对安全协议的成功攻击会违背其目的，并危及所传输信息的完整性、保密性和真实性。 tls 1.0 和 1.1 的废弃提醒我们，必须不断更新安全协议。

在互联网上安全发送信息是在线商务、医药和其他敏感交易的基础。因此，确保传输的信息不被篡改、伪造或被发送方和接收方以外的任何人读取至关重要。这些功能至关重要，也是互联网发展的关键部分。

none

shadowrocket配置文件

互联网工程任务组（IETF）发布了一份文件其中明确指出不得使用 TLS 1.0 和 TLS 1.1，并计划在 2019 年年底前废弃这两个协议。

诚然，这两个协议在互联网和计算机时代都可以被视为 "古老的历史"。 TLS 1.0 于 1999 年 1 月首次部署，至今已有 20 年历史。毫不奇怪，支付卡行业（PCI）已经自 2018 年 6 月 30 日起弃用 TLS 1.0. 现在，任何仍使用 TLS 1.0 加密信用卡交易的电子商务网站或零售商都将无法符合 PCI 合规性要求。因此PCI 已提供指导使用 TLS 1.1、1.2 或 1.3，以便安全地处理信用卡付款。

另一方面，TLS 1.1 于 2006 年 4 月发布。与 TLS 1.0 相比，TLS 1.1 只做了微小的改进，它的开发是为了解决在 TLS 1.0 中发现的弱点，主要是在初始化向量选择和填充错误处理方面。

这两种协议都存在各种漏洞，有关针对它们的攻击及其缓解措施的具体细节，见NIST SP800-52r2等文件。

与 IETF 一致、微软, 苹果公司, 谷歌，以及谋智宣布其 TLS 1.0 和 TLS 1.1 的 "最佳使用日期 "为 2020 年 3 月。主要网络浏览器开发商宣布，他们将提前近一年半放弃 TLS 1.0 和 TLS 1.1，以便网络托管公司和云服务提供商有足够的时间逐步淘汰旧版本。

nonenone

此外，谷歌的公告none

shadowrocket配置文件

有两种禁用 TLS 1.0 或 1.1 的方法，建议如下太阳风:

shadowrocket配置文件

打开注册表编辑器。
转到 HKLM SYSTEMC\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols.
默认情况下，注册表中不存在 TLS 1.0 或 1.1 条目。
none
在 TLS 1.0 或 1.1 下创建一个名为"Server"的新子键。
在服务器键中创建一个 DWORD DisabledByDefault 项，将值设为 1。
none

shadowrocket配置文件

从此处下载 IIS Crypto GUI链接.
打开 IIS Crypto。
取消选中服务器协议。
none

shadowrocket配置文件

IETF草案文件none

这些版本不支持当前和推荐的密码套件，而且支持这些旧版本还需要额外的库和产品维护工作。

这些版本要求使用旧版本的密码套件，但由于密码学原因，这些密码套件已不再适用，而且它们也不支持当前推荐的密码套件。各种政府和行业组织及机构都要求避免使用这些旧 TLS 版本。必须支持旧版本的产品会不必要地增加攻击面，增加错误配置的机会。
TLS 1.0 和 TLS 1.1 的完整性都取决于运行中的SHA-1 哈希值的交换信息。这样，攻击者就有可能对握手进行降级攻击，其攻击强度远远低于可接受的现代安全系数。
握手的身份验证取决于使用 SHA-1 哈希值或 MD-5 和 SHA-1 哈希值的非更强连接进行的签名，当攻击者能够破解严重削弱的 SHA-1 哈希值时，就可以冒充服务器。
TLS 1.0 和 TLS 1.1 都不允许对等方为签名选择更强的哈希值，这使得使用较新的协议版本成为一条单行道。
弃用还有助于产品团队逐步停止对旧版本的支持，以减少攻击面和过时协议的维护范围。

正如苹果公司在公告中指出的那样，使用更安全的现代版本协议（如 TLS 1.2 或新指定的 TLS 1.3）是未来的首选方式。TLS 1.2TLS 1.2 在加密方面做了一些改进，特别是在哈希函数方面，可以使用或指定 SHA-2 系列哈希算法。 TLS 1.2 还增加了关联数据验证加密（AEAD）密码套件。TLS 1.3代表TLS 的重大变化旨在应对多年来出现的威胁。这些变化包括新的握手协议、新的密钥推导过程，以及取消了使用静态 RSA 或 DH 密钥交换、CBC 操作模式或 SHA-1 的密码套件。

shadowrocket配置文件

具有理想性能和安全特性的现代密码套件和算法，如完美的前向保密性和经过验证的加密技术，这些技术不会受到诸如野兽.
取消强制性和nonenone
抵御与降级有关的攻击，如发狂.

shadowrocket配置文件

安全并非单一协议所具备的单一属性。相反，安全包括一系列复杂的相关属性，它们共同提供所需的信息保证和保护。安全要求源于对对手可能对系统发起的威胁或攻击的风险评估。以牺牲安全性为代价来促进互操作性的成本应该是过高的。

互联网上存在的 TLS 1.0 和 1.1 起到了以下作用安全风险. 使用这些版本的客户端深受其缺陷之苦，而互联网的其他部分则很容易受到利用已知 TLS 漏洞的各种攻击，几乎没有任何实际好处。在许多情况下，旧版本 TLS 的存在是由于 "以防万一 "的互操作性，或者是由于有人在激活新版本时忘记禁用它们。

用新版本替换旧版本的 TLS 需要大量工作。在部署像升级 TLS 这样的重大变更时，还必须经过全面测试. 因此，更新到 TLS 1.2 或 TLS 1.3 绝对不能一蹴而就。

维纳菲none可以帮助您克服这些障碍。联系我们专家，了解如何操作。

(本帖已更新。最初发布于 2020 年 2 月 19 日。)

相关帖子