腾讯云CLB调整关闭TLSv1.0、TLSv1.1以提高安全性

- 云计算

腾讯云 云计算 负载均衡

在对相关资产进行安全扫描的时候,发现腾讯云CLB TLS协议版本默认支持了 TLSv1、TLSv1.1,是个安全风险需要操作关闭,这里记录下操作过程。

2023-12-06T14:07:59.png


验证支持的TLS版本

[root@imzcy ~]# curl --tlsv1.0 -XGET https://test.example.com/api/health
ok[root@imzcy ~]#
[root@imzcy ~]#
[root@imzcy ~]# curl --tlsv1.1 -XGET https://test.example.com/api/health
ok[root@imzcy ~]#
[root@imzcy ~]#
[root@imzcy ~]# curl --tlsv1.2 -XGET https://test.example.com/api/health
ok[root@imzcy ~]#
[root@imzcy ~]#

curl:(35)SSL版本范围无效

[root@imzcy ~]# curl --tlsv1.3 -XGET https://test.example.com/api/health
curl: (35) SSL version range is not valid.
[root@imzcy ~]#


新增个性化配置并与CLB绑定

个性化配置控制台:https://console.cloud.tencent.com/clb/config
个性化配置官方文档:https://cloud.tencent.com/document/product/214/15171

在 [个性化配置] 菜单页,点击 <新建> 新增一个配置文件。
2023-12-06T14:16:50.png

填入自定义配置
2023-12-06T14:24:01.png

与指定CLB进行绑定(绑定后配置开始生效),每个CLB仅支持绑定一个个性化配置,如果需要绑定其他个性化配置,则需要先将当前的配置解绑。
2023-12-06T14:25:07.png
2023-12-06T14:20:49.png

重新使用 TLSv1.0 版本请求进行验证,提示 curl:(35)无法与对等方安全通信:没有常见的加密算法。

[root@imzcy ~]# curl --tlsv1.0 -XGET https://test.example.com/api/health
curl: (35) Cannot communicate securely with peer: no common encryption algorithm(s).
[root@imzcy ~]#

本文采用 知识共享署名4.0 国际许可协议进行许可。
本站文章除注明转载/出处外,均为本站原创或翻译,转载前请务必署名。
如果您的问题未解决,欢迎微信扫描右侧二维码与我联系。

k8s 中控制 pod 调度节点的几种方法
Kubernetes
prometheus 之 relabel_configs 使用详解
监控
Ingress下跨域资源共享(CORS)配置详解
Kubernetes
查看指定 ingress 资源访问时应该请求哪个controller对应的pod地址
云计算
深入了解kubectl之配置文件(kubeconfig)详解
云计算
kubectl 命令行工具版本低于kubernetes版本导致操作异常问题记录
云计算