有时候网站访问者可能遇到的最令人担忧的错误之一是安全警告。由于所有的暴力攻击、恶意软件和拒绝服务攻击影响,互联网用户安全地浏览和购物是至关重要的。如果你的网站突然显示ERR_SSL_OBSOLETE_VERSION警告,而访客无法访问你的网站,这该怎么办呢?这时候可以参考本篇文章,解决该警告。
在这篇文章中,搬主题将介绍什么是ERR_SSL_OBSOLETE_VERSION警告,以及你可以采取哪些步骤来修复它。然后还将向你展示如何在两个最常见的Web服务器–Apache和NGINX–上进行本地测试这些修复。
什么是ERR_SSL_OBSOLETE_VERSION警告?
ERR_SSL_OBSOLETE_VERSION警告是一个错误信息,如果你的安全证书使用的是过时的版本,如TLS 1.0或1.1,那么你的网站访问者会看到。从Chrome 72的发布开始,这些版本不再被支持。
什么是TLS与SSL?
传输层安全(TLS)是一种互联网安全协议,能够在互联网上进行认证和安全传递内容。例如,它使诸如使用信用卡购物或在网站上填写带有敏感信息的员工申请书的事情变得安全。
安全套接字层(SSL)是一种被废弃的客户端和服务器之间的加密连接方法,已被新的TLS方法所取代。如今,TLS和SSL之间的区别实际上只是一个术语问题。大多数人仍然使用SSL一词,尽管TLS是实际使用的协议。
网站都有了SSL,为什么要关心TLS呢?
如前所述,反正你的网站在技术上已经不使用SSL了。一般来说,现在所有的SSL证书实际上都是TLS证书。大多数主机供应商仍然使用SSL证书这一术语,因为它传播广泛,但使用TLS是为了其安全和速度优势。
更新服务器的TLS版本如何修复ERR_SSL_OBSOLETE_VERSION
2019年,谷歌宣布他们将在Chrome上停止使用TLS 1.0和1.1,因为它们存在安全漏洞。自2018年发布TLS 1.3以来,Chrome浏览器至少需要1.2版本才能显示网站,而没有警告。因此,所有利用以前版本的TLS的网站都被打上了难看的ERR_SSL_OBSOLETE_VERSION消息。使用不支持的TLS版本是危险的–不仅对你的网站,而且对你的访问者。
现在,大多数主要浏览器都支持TLS 1.3(不包括IE),而且自2020年以来,它是谷歌、Youtube和Netflix等公司的默认传输安全。TLS 1.3不仅提供了更高的安全级别,而且还能更快地传输数据。例如,与TLS 1.2相比,TLS 1.3从访问者的浏览器传输数据到你的服务器只需要一半的时间。此外,其他互联网协议,如HTTPS、SMTP和POP3(用于电子邮件),已经在利用较新版本的TLS。即使你的网站没有收到警告,你也应该确保你的网站至少在运行TLS 1.2版本。你的网站的安全取决于它。
如何修复Chrome浏览器中的ERR_SSL_OBSOLETE_VERSION问题
如果你在Chrome浏览器中试图访问你的网站时已经看到这个错误,你的网站很可能运行的是一个过时的TLS版本。解决这个问题需要各种不同的方法,这些方法最终取决于你的主机提供商。我们可以验证你的网站正在运行的TLS版本。
如何查找你的网站正在运行的TLS的版本
你可以通过使用开发工具和键盘快捷键在Chrome浏览器中访问这些信息。按Command+Option+C键(Mac上)或Control+Shift+C(Windows和Linux上)。接下来,点击安全标签。屏幕将弹出,显示你的网站上运行的TLS的版本。
如何查找您的网站主机/服务器所运行的TLS的版本
在联系你的主机或对你的虚拟主机的文件进行任何修改之前,最好检查一下你的主机服务器是否支持TLS 1.2或1.3。你可以通过访问Geekflare的TLS检查器来实现这一目标。输入你的主机的URL,然后点击提交。当结果出现时,向下滚动,直到你看到安装的协议。寻找TLS 1.2和1.3。如果它们被支持,你会在每个协议旁边看到 “是”。
联系或更新你的主机供应商
一旦你确认你的网站和/或服务器正在运行一个过时的TLS版本,解决ERR_SSL_OBSOLETE_VERSION错误的最简单方法就是联系你的主机提供商,确定你的TLS版本是否可以升级。从TLS 1.0或1.1切换到TLS 1.2+会解决你的问题。如果这不是一个选项,现在是时候开始为你的网站研究一个新的主机了。
我们对几个顶级主机供应商进行了测试,以测试他们的服务器运行TLS 1.3的能力。Siteground、WP Engine、Pressable、Flywheel、Bluehost和Cloudways都支持它。因此,如果你用这些供应商的主机,你有可能不会看到ERR_SSL_OBSOLETE_VERSION错误。然而,我们应该注意到,仅仅因为一个主机提供商可能支持最新的TLS版本,这并不意味着他们实际上正在运行它。一些虚拟主机仍然默认使用1.1,这不是很好。这就是为什么检查你的网站上目前安装的是哪个版本很重要。
在本地服务器上测试对ERR_SSL_OBSOLETE_VERSION错误的修正
如果你想验证更新TLS版本是否会修复你网站的ERR_SSL_OBSOLETE_VERSION错误,你可以使用本地服务器进行测试。
如果你正在运行WordPress,你的主机提供商很可能使用Apache或NGINX网络服务器。在本教程中,我们将使用本地服务器和MAMP Pro来编辑Apache和NGINX的SSLProtocol文件,以禁用TLS 1.0和1.1。接下来,我们将启用对TLS 1.2和1.3的支持。如果你使用的是Windows机器,你可以跟着我们一起使用WAMP来完成同样的任务。
这里想重申的是,你要向你的主机确认他们是否支持TLS 1.2或1.3。在没有适当支持的情况下对SSLProtocols进行修改将导致破坏你的SSL证书。
如何使用Mamp Pro更新Apache中的TSL版本
如果你在本教程中使用MAMP Pro,我们将假设你已经熟悉如何创建一个WordPress网站和安装SSL。
如何在Apache中禁用TLS 1.0和1.1
为了在Apache中禁用TLS 1.0和1.1,你需要编辑包含Web服务器的SSLProtocol的配置文件。根据你所使用的平台,这个文件可能位于不同的地方。
在默认的Apache位置,它可能位于这里:
/usr/local/apache2/conf/extra/httpd-ssl.conf
如果你运行的是Ubuntu/Debian服务器,该文件可能会在这里找到。
/etc/apache2/mods-enabled/ssl.conf
最后,如果你通过MAMP Pro在macOS上运行一个本地服务器(就像我们一样),你会在这里找到这个文件。
/mamp/conf/apache/extra/httpd-ssl.conf
接下来,寻找SSL协议支持部分,它将由几行代码组成。这是你的httpd-ssl.conf文件的默认设置。
要确定哪些协议被启用,请看最后两行代码。
我们将需要告诉Apache只运行TLS 1.2或以上的版本。现在,所有版本都被启用。要改变这一点,你要把SSLProtocol all -SSLv3 SSLProxyProtocol all -SSLv3改为以下内容。
SSLProtocol TLSv1.1 TLSv1.2
该文件现在应该看起来像这样。
最后一步是重新启动服务器。一旦服务器重新启动,在一个隐身窗口中打开你的网站。ERR_SSL_OBSOLETE_VERSION警告应该消失。打开你的网站,使用开发工具来查看你的安全设置。
如何使用Mamp Pro更新NGINX的TLS版本
要更新NGINX网站服务器上的SSLProtocol,你需要找到你网站的配置文件。它也可以位于主要的NGINX配置文件中,如在MAMP Pro中。要使用MAMP编辑该文件,请导航到mamp/conf/nginx/nginx.conf。用你的HTML/文本编辑器打开该文件。在本教程中,我们使用BBedit,但任何编辑器都可以。如果你没有使用MAMP Pro,nginx.conf文件通常位于/etc/nginx/nginx.conf中。
向底部滚动,直到看到以ssl_protocols开头的一行。如果你启用了所有的TLS版本,你的文件将看起来像这样。
正如你所看到的,TLS1.0、1.1和1.2被启用,但不支持1.3。要改变这一点,你要把ssl_protocols TLSv1 TLSv1.1 TLSv1.2;改为如下。
ssl_protocols TLSv1.2 TLSv1.3;
该文件现在应该看起来像这样:
你的服务器现在应该只使用1.2和1.3版本的TLS。要确认这一点,请重新启动你的服务器并在Chrome浏览器中拉出你的网站。使用开发检查器工具检查你的设置。如前所述,你可以通过按Command+Option+C键(在Mac上)或Control+Shift+C键(在Windows和Linux上),然后点击安全标签来完成。
我们想说的是,你的默认配置中的设置可能会被个别域的服务器块所覆盖。如果你已经实施了我们的修复,但仍然收到ERR_SSL_OBSOLETE_VERSION警告,这可能是根本原因。
最后总结
其实说了这么多,保持你的网站与最新版本的TLS同步是很重要的。你可以使用Chrome开发工具和Geekflare的TLS检查器等工具确认这个问题,解决问题的方法是更新TLS版本,这只能在服务器层面上进行。因此最好的办法是联系你的主机,或者如果需要,升级你的主机提供商,以确保他们支持新的TLS版本。在本地的Apache和NGINX网站服务器上测试较新版本的TLS也可能会有帮助。这将有助于确保你的访问者在你调整后时不会遇到难看的ERR_SSL_OBSOLETE_VERSION警告。
暂无评论内容