NGINX禁用TLS1.0和TLS1.1使网站更安全

一、为什么要禁用 TLS1.0、TLS1.1？

SSL 由于以往发现的漏洞，已经被证实不安全。而 TLS1.0 与 SSL3.0 的区别实际上并不太多，并且 TLS1.0 可以通过某些方式被强制降级为 SSL3.0。

由此，支付卡行业安全标准委员会（PCI SSC）强制取消了支付卡行业对 TLS 1.0 的支持，同时强烈建议取消对 TLS 1.1 的支持。

苹果、谷歌、微软、Mozilla 也发表了声明，将于 2020 年初放弃对 TLS 1.1 和 TLS 1.0 的支持。其原因是这两个版本使用的是过时的算法和加密系统，经发现，这些算法和系统是十分脆弱的，比如 SHA-1 和 MD5。它们也缺乏像完美的前向保密性这样的现代特征，并且容易受到降级攻击的影响。

二、在NGINX上禁用TLS1.0、TLS1.1

编辑NGINX配置文件，原配置文件为：

ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;

去掉 TLSv1 TLSv1.1 后如下：

ssl_protocols TLSv1.2 TLSv1.3;

保存并重新启动NGINX使改动生效。

修改后，https的站点就不会再报“此网站未通过身份验证”的警告。