开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

如何使OpenSSL C服务器只支持TLS1.3？

要使OpenSSL C服务器只支持TLS1.3，可以按照以下步骤进行配置：

确保你的OpenSSL版本支持TLS1.3。TLS1.3是在OpenSSL 1.1.1版本中引入的，因此确保你的OpenSSL版本高于1.1.1。
在服务器端的代码中，使用OpenSSL库进行TLS连接的初始化和配置。以下是一个简单的示例代码：

#include <openssl/ssl.h>

int main() {
    // 初始化OpenSSL库
    SSL_library_init();
    
    // 创建SSL上下文
    SSL_CTX *ctx = SSL_CTX_new(TLS_server_method());
    
    // 配置SSL上下文只支持TLS1.3
    SSL_CTX_set_min_proto_version(ctx, TLS1_3_VERSION);
    SSL_CTX_set_max_proto_version(ctx, TLS1_3_VERSION);
    
    // ... 其他配置
    
    // 在服务器端绑定SSL上下文到socket
    
    // 等待客户端连接并进行TLS握手
    
    // ... 其他操作
    
    // 清理资源
    SSL_CTX_free(ctx);
    
    return 0;
}

在上述代码中，通过调用SSL_CTX_set_min_proto_version和SSL_CTX_set_max_proto_version函数，将SSL上下文的最小和最大协议版本都设置为TLS1.3，从而限制服务器只支持TLS1.3。

编译和运行服务器端代码。根据你的编程语言和开发环境，进行相应的编译和运行操作。

需要注意的是，以上只是一个简单的示例代码，实际应用中可能还需要进行其他配置，如证书和密钥的加载、密码套件的配置等。具体的配置和实现方式可以参考OpenSSL的官方文档和示例代码。

推荐的腾讯云相关产品：腾讯云SSL证书管理，详情请参考腾讯云SSL证书管理。

相关搜索:如何使CMake使用clang for CUDA支持c++17 如何使用obj c使我的iphone应用程序支持多种语言如何使c# windows窗体应用程序只在一台PC上运行？如何使telerik自动完成文本框在c# winforms中只接受1项输入如何以编程方式检查SQL数据库/服务器是否支持C#压缩？如何使这种只适用于第一次具体操作的延迟。但它应该在以后应用吗？C#net数据绑定技术 net实现数据驱动 net轻量级数据库 net海量数据同步

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

几个开源 RUST 安全算法库

Rustls支持的算法和协议有： TLS1.2 和 TLS1.3。客户端发起的 ECDSA、Ed25519 或 RSA 服务器端身份验证。...ALPN 支持。 SNI 支持。可调片段大小，使 TLS 消息匹配底层传输的大小。可选地使用矢量 IO 来最小化系统调用。 TLS1.2 会话恢复。...TLS1.3 通过票据或会话存储恢复。客户端的 TLS1.3 0-RTT 数据。 服务器的 TLS1.3 0-RTT 数据。由客户端进行客户端身份验证。 服务器端进行客户端身份验证。...扩展的主密钥支持 (RFC7627)。导出器 (RFC5705)。 服务器端装订 OCSP。 服务器端 SCT 装订。客户端的 SCT 验证。...支持 OpenSSL 版本 1.0.1 到 3.x.x，此外还支持 LibreSSL 版本 2.5 到 3.4.1。该项目被指出代码质量不好，并且缺少文档。

1.8K1 0

Nginx支持TLS1.3部署详解

早就听说有TLS1.3了，一直心痒痒，想折腾折腾试试。以前浏览器支持的不多，网上也没太多人试过，不太敢趟雷。...Openssl 1.1.1 LTS已经发布，更新一下TLS1.3正式版。.../source/openssl-1.1.1.tar.gz tar zxf openssl-1.1.1.tar.gz OpenSSL打补丁 pushd openssl-1.1.1 #打TLS1.3 Draft...43f2d869b209756b442cfbfa861d653d993f16fe/nginx.patch | patch -p1 curl https://raw.githubusercontent.com/kn007/patch/c59592bc1269ba666b3bb471243c5212b50fd608...OpenSSL 1.1.1 LTS已经正式发布了，TLS1.3也已经正式公布。现阶段，Nginx、Apache等主流web服务器还没有官方支持，还需要通过打补丁的方式进行支持。

2.9K2 0

Tls v1.3的里程碑发展

TLS1.3强制使用(EC)DHE key exchange，在服务器签名，key是前向安全的 TLS1.3的PSK（Pre-shared Key）机制。...TLS1.3移除了compression，移除了DSA和DHE group 只支持5种加密套件(TLS v1.2，37种，之前版本319种) 二、更低时延 TLS1.3在时延上比TLS1.2更有优势。...使用openssl模拟的服务器，服务端设置，开启early—data模式： openssl s_server -key key_path -cert cert_path-accept 8443 -tls1...openss1.1.1只支持前三个。如果是服务端选择默认的cipher，则是按此表格的先后顺序选择。...列出当前所有的cipher openssl ciphers 'ALL:eNULL' | sed -e 's/:/ /g' 检查服务端支持的cipher openssl s_client -ciphersuites

3.7K21 0

科普 TLS 1.3 — 新特性

标准完成后，OpenSSL 组织将推出 OpenSSL 1.1.1 版本，对 TLS1.3 协议标准提供支持。 ?...在 TLS 1.3 中，客户端首先不仅发送 ClientHello 支持的密码列表，而且还猜测服务器将选择哪种密钥协商算法，并发送密钥共享,这可以节省很大一部分的开销，从而提高了速度。...将客户端发送 ECDH 临时公钥的过程提前到 ClientHello，同时删除了 ChangeCipherSpec 协议简化握手过程，使第一次握手时只需要 1-RTT，来看具体的流程: ?...RSA 和 DH 密钥交换算法； MAC 只使用 AEAD 算法；禁用 RC4 / SHA1 等不安全的算法；加密握手消息；减少往返时延 RTT，支持 0-RTT；兼容中间设备 TLS 1.2...△ TLS1.3 至于服务器端和浏览器里开启支持 TLSv1.3，大家可以参考【时隔快半年再次体验 HTTPS 的 TLSv1.3 协议】和【又拍云 CDN 的 HTTPS 已率先支持 TLS 1.3】

3.1K6 0

GoSnaps：如何支持5天50万用户服务器只花100元

GoSnaps: 5天50万用户服务器只花100元我自己也开发了一个与GoChat类似的应用GoSnaps，用户可以在应用的地图中分享自己的游戏截图。...24小时开发出一个高扩展的MVP 我开发GoSnaps从头到尾只花了24个小时，典型MVP。我用了一个以前的NodeJS boilerplate项目和MongoDB作为数据库。...App本身是用Objective-C开发的，我从Unboxd项目借鉴了一些有关地图的代码。如果不考虑扩展性就是要开发速度的话，把截图存储在MongoDB最方便了，基本什么都不用做。...其实做这些提高扩展性的工作只多花了我两三个小时，区别在于一开始有没有考虑这些问题。我开发这款应用就是为了让它成功的所以必须考虑扩展性，如果开发一款应用是为了不要让太多用户用那干脆别开发了。...架构没变，只换了个语言和数据库瞬间把负载降低到了之前的5%。其实归根结底只有一个原因就是创业艰难缺钱，好在Cloud Games现在经营得很不错。我想当时语言的转换对成功是起到了很大作用的。

1.3K10 0

OpenSSL支持TLS1.3特性(1)

OpenSSL支持TLS1.3特性： TLS 1.3版本是对规范的重大修改。它到底应该叫TLS2.0还是现在的名字TLS 1.3，还存在一些争论。该版本有重大变化，一些工作方式也非常不同。...注意，在这一阶段，只支持TLS 1.3。因DTLS 1.3版本的规范刚刚开始制定，目前并不支持OpenSSL。 TLS 1.3标准目前的状态: 到我写这篇文章时，TLS 1.3仍是一个草案。...OpenSSL 1.1.1至少不会在TLS 1.3发布之前完成。同时，OpenSSL的git主分支包含了我们的TLS1.3开发代码，可以用于测试（即不用于生产）。...如果一个客户端启用了TLS 1.3而未配置TLS 1.3密码套件，那么会立即报错（即使服务器不支持TLS 1.3），出现以下提示： 140460646909376:error:141A90B5:SSLroutines...supportedSSL/TLS version 类似地，如果一个服务器启用了TLS 1.3而未配置TLS 1.3密码套件，那么也会立即报错，即使客户端不支持TLS 1.3，提示如下： 140547390854592

3.1K2 0

HTTPS你不要这么慢了

OpenSSL升级协议升级密钥协商算法优化对称加密算法优化 TLS1.2升级为1.3 密钥协商算法优化密钥协商算法尽量选取ECDHE算法，该算法相比RSA算法具有向前保密，且在第三次握手以后就可以发送数据...非对称加密算法和对称加密算法)，比如： ssl_ciphers ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA; 使用以下命令可以查看本地Open SSL的密码套件 openssl...TLS1.3如何将握手减少到1个RTT 上图是TLS1.3整个握手的过程，从图中可以看出经历过1个RTT以后，我们的客户端和服务端就可以发送加密数据了（Application Data）。...TLS1.3废除了RSA和DH加密算法，只支持ECDHE算法。...证书优化证书优化主要优化：传输优化验证优化如何进行传输优化 服务器证书应该选择椭圆曲线(ECDSA)证书，相同安全强度下，ECDS证书相比RSA证书密钥更短，这样可以减少证书的大小，减小网络传输耗时

1.3K3 0

HTTP面试题 - HTTPS优化

软件升级 Linux升级 OpenSSL升级和漏洞修复协议优化尽量升级到TLS1.3 使用 ECDHE 椭圆曲线函数，前向安全，速度快。...当使用 OpenSSL 1.0.2 或更高版本时，该指令设置服务器支持的曲线列表。因此，为了使 ECDSA 证书发挥作用，更为重要的是使用包含在证书中的曲线。...注意Nginx 官方并没有提供支持分布式服务器的 Session Cache 的实现，所以需要第三方组件提供存储支持，实现的方案也很多，比较简单的是使用第三方缓存中间件。...当客户端支持会话票证时，服务器将使用只有服务器拥有的密钥（会话票证加密密钥（STEK））加密会话密钥，并将其发送到客户端。客户端收到之后需要保存好会话票证以及如何还原会话密钥的必要参数。...当然这都是2013年的设置，现在的处理方案各方面都已经不一样了，因为推特早就已经支持 TLS1.3 。

6424 0

截获TLS密钥——Windows Schannel

TLS1.3。...所有这些对应用程序来说都是透明的，它只使用来自schannel.dll的函数。...官方文档26说列表至少将包含包含客户端和服务端提供的random的缓冲区，但在某些情况下，它只包含类型为22和25的缓冲区。...不过Wireshark不支持使用Session Hash将密钥绑定到会话。当然，当我们试图从服务器连接中获取密钥时，我们会得到Session Hash而不是client random。...如果远程服务器支持并愿意使用，这也可用于客户端连接。因此我们需要寻找一种新的方式，在不基于现有的pParameterList或TLS session id的方式来提取client random。

4K1 0

Tengine 使用 Brotli 开启TLS1.3 并优化 HTTPS 访问速度

Tengine 准备 Tengine是由淘宝网发起的Web服务器项目。它在Nginx的基础上，针对大访问量网站的需求，添加了很多高级功能和特性。...&& make install 参数说明： •--with-http_v2_module 开启 HTTP/2•--with-openssl-opt=enable-tls1_3 开启 TLS 1.3 支持...1.1.1c FIPS 28 May 2019 TLS SNI support enabled configure arguments: --with-http_v2_module --with-openssl-opt...WARNING] 若你的 conf 文件有多个 server 的配置，则需要每个 server 都一样的进行配置 TLS1.3 ，否则将无法开启成功。如何验证我们配置的加密方法和TLS呢？...优化后启用了TLS1.3： TLS1.3

7153 0

OpenSSL升级 TLS1.3 后网站访问不了了。。。

怎么升级的，就不赘述了，网上都有，比如《Nginx 启用 OpenSSL TLS1.3 CHACHA20-POLY1305 相关》，其中 Nginx 1.10 不支持 OpenSSL 1.1.1（？）...居然只支持 TLS 1.3 了，要知道现在支持 TLS 1.3 的浏览器少之又少，看了下网站配置： ...... ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;...编译 Nginx 则是在原基础上增加了参数： --with-openssl=...../src/openssl-1.1.1 --with-openssl-opt='enable-tls1_3 enable-weak-ssl-ciphers' 好像没啥问题啊，到底是哪里出错了呢？...同站服务器另一个站点可以正常访问，不过端口不一样，那我切换个端口试试，再访问看看： ? 图 2：访问正常（图片不显示？）我了个去，这是什么骚操作？？

3.4K2 0

HTTPS 握手会影响性能吗？废话，肯定会

现在大部分网址都已从 HTTP 迁移至 HTTPS 协议，所以我们需要考虑的问题是：如何优化 HTTPS？这次，就从多个角度来优化 HTTPS。...而且，TLS1.3 对密码套件进行“减肥”了，对于密钥交换算法，废除了不支持前向安全性的 RSA 和 DH 算法，只支持 ECDHE 算法。...对于对称加密和签名算法，只支持目前最安全的几个密码套件，比如 openssl 中仅支持下面 5 种密码套件： TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256...TLS_AES_128_GCM_SHA256 TLS_AES_128_CCM_8_SHA256 TLS_AES_128_CCM_SHA256 之所以 TLS1.3 仅支持这么少的密码套件，是因为...将 TLS1.2 升级 TLS1.3，因为 TLS1.3 的握手过程只需要 1 RTT，而且安全性更强。

1.1K2 0

时隔快半年再次体验 HTTPS 的 TLSv1.3 协议

早在今年年初的时候，明月其实都有对 TLSv1.3 的多次尝试，在【纯自嗨，LNMP 下启用 TLSv1.3 支持过程全记录】一文里甚至分享了在军哥 LNMP1.4 一键安装包环境下如何启用 TLSv1.3...当时，受制于 TLSv1.3 支持情况实在是凤毛麟角（无论是客户端浏览器还是服务器层面的 CDN 都是少有支持的），没有“自嗨”几天就给停用了。 ?...没有想到随后又拍云 CDN 开始提供对 TLSv1.3 的支持，刚开始仅仅是测试仅支持几个 CDN 节点，现在已经正式支持 TLSv1.3 协议了，也就是说只要你的服务器端支持 TLSv1.3，那么使用又拍云...CDN 后所有的 CDN 节点也可以使用 TLSv1.3，随着 TLSv1.3 正式上线我感觉是越来越近了（可参考【IETF 正式批准 TLS1.3 成为互联网新标准】），感觉还是越早部署越好了，免得到时候...现在看来在服务器端启用 TLSv1.3 算是一个“半自嗨”了，相对于之前的“纯自嗨”还是有不少进步的，哈哈！

9383 0

真正“搞”懂HTTPS协议18之TLS特性解析

经过这一番瘦身后，TLS1.3只保留了AES、ChaCha20对称加密算法，分组模式只能用 AEAD 的 GCM、CCM 和 Poly1305，摘要算法只能用 SHA256、SHA384，密钥交换算法只有...ECDHE 和 DHE，椭圆曲线也被“砍”到只剩 P-256 和 x25519 等 5 种。　　...在第一次传递记录的时候，就把支持的版本号吖、key_share等等传递给了服务器，服务器就可以根据这些字段处理数据返回给客户端，换句话说，其实就是打个提前量，减少请求次数。　　...Handshake Protocol: Client Hello Version: TLS 1.2 (0x0303) Random: cebeb6c05403654d66c2329…...这时只交换了两条消息，客户端和服务器就拿到了四个共享信息：Client Random 和 Server Random、Client Params 和 Server Params，两边就可以各自用 ECDHE

1.4K2 0

HTTP - TLS1.3 初次解读

这时候就要用到扩展协议（Extension Protocol），扩充协议有点类似“追加条款”，只支持TLS1.2的服务器，当无法识别扩展协议而被忽略退化为TLS1.2握手，反之则认为可以进行TLS1.3...注意这里的退化还不止那么简单，TLS1.3 的退化只支持TLS1.2，不支持TLS1.2以下任何版本，所以这一招还偷偷把一些老古董请下去。...这个扩展的语义是客户端仅支持在这些模式下使用 PSK。如何防止 psk_key_exchange_modes 被滥用？...图片我们可以这样理解：我是服务器，我支持TLS1.3，我从一个客户端得到一个连接，它说它只支持 TLS 1.2 或更低版本，但是实际上我支持更高级的版本，我会把这些信息改写到Server Random的最后一段...TLS 1.3 只支持 (EC)DHE 的密钥协商算法，直接干掉了 RSA 密钥交换算法（减少学习成本，笑），加密套件削减为5个，并且所有基于公钥的密钥交换算法现在都能提供前向安全。

3K1 0

TLS1.3 正式版发布 — 特性与开启方式科普

，不再支持静态 RSA 密钥交换，握手将默认使用前向安全 Diffie-Hellman，客户端只需要一次往返就能与服务器建立安全和验证的连接，等等。...我们把使互联网实现安全通信的基础性技术称为传输层安全协议（TLS）。TLS是安全套接层协议（SSL）的进化版本，SSL是由Netscape公司在1990年代研发的。...TLS1.3信奉“少即是多”哲学，取消了对一些老旧而衰弱的加密方式的支持。这意味着你无法打开那些潜在的漏洞。...网页加载时间的一个主要组成部分就是浏览器和web服务器之间发送数据耗费的“延迟时间”。 “延迟时间”特别会显著影响到：移动设备用户 服务器在地理上相距很远的用户 ?...不仅如此，而 TLS1.3 还有其他的优点。对于近期访问过的站点，你可以在第一次给服务器发消息时就发送有用的数据。这叫做“零消息往来”模式（0-RTT），会使网页加载变得更快！

2.8K3 0

让互联网更快的协议，QUIC 在腾讯的实践及性能优化

多台服务器间的 ID 数据无法共享。明确了问题，那工程层面就需要实现多进程共享及分布式多集群的 ID 共享。...如何测试 AES-NI 的性能呢？.../evp/e_aes.c # define AESNI_CAPABLE (OPENSSL_ia32cap_P[1]&(1<<(57-32))) 进行设置。...当然，如果手机端支持 AES-NI 指令的话，chacha20 就没有优势了。 Openssl 在 1.1.0 版本中正式支持了 chacha20-poly1305。...虽然后续可能会采用 TLS1.3 协议，但是事实上是 QUIC 推动了 TLS1.3 的发展。为了实现传输的并发性，它又实现了 HTTP2 的大部分特性，包括多路复用，流量控制等。

4.6K8 1

网络安全的第一道防线：深入探索sslscan在SSLTLS证书安全检测中的原理与实践

需要注意的是，此参数对于IIS/Schannel服务器，将返回空，暂不支持此类场景。...--tls11 只检查是否开启TLS1.1 --tls12 只检查是否开启TLS1.2 --tls13 只检查是否开启TLS1.3...--tlsall只检查TLS1.0、TLS1.1、TLS1.2、TLS1.3按需选择参数，不一一列举，以TLS1.1为例：sslscan --tls11 或者检测tls所有版本（默认行为），则是...：sslscan --tlsall 可以看到除了TLS1.3未启用，其它都是开启状态。...无论是进行基本的服务器扫描，还是深入分析特定的密码套件或证书信息，都能提供强大的支持。期间也通过抓包分析了sslscan是如何拿到扫描结果。

让互联网更快的协议，QUIC在腾讯的实践及性能优化

对 HTTPS，SPDY，HTTP2，QUIC 等应用层协议、高性能服务器技术、云网络技术、用户访问速度、分布式文件传输等有较深的理解。...多台服务器间的 ID 数据无法共享。明确了问题，那工程层面就需要实现多进程共享及分布式多集群的 ID 共享。.../evp/e_aes.c # define AESNI_CAPABLE (OPENSSL_ia32cap_P[1]&(1<<(57-32))) 进行设置。...当然，如果手机端支持 AES-NI 指令的话，chacha20 就没有优势了。 Openssl 在 1.1.0 版本中正式支持了 chacha20-poly1305。...虽然后续可能会采用 TLS1.3 协议，但是事实上是 QUIC 推动了 TLS1.3 的发展。为了实现传输的并发性，它又实现了 HTTP2 的大部分特性，包括多路复用，流量控制等。

1.1K2 0

SSLTLS 双向认证(一) — SSLTLS 工作原理

TLS1.2: RFC5246, 目前已广泛使用 TLS1.3: RFC8446 下面我们将介绍 TLS1.x 如何保证通讯安全。...compression methods 列表，用于后续的信息压缩传输随机数 random_C，用于后续的密钥的生成扩展字段 extensions，支持协议与算法的相关参数以及其它辅助信息等，常见的...此时客户端已经获取全部的计算协商密钥需要的信息：两个明文随机数 random_C 和 random_S 与自己计算产生的 pre-master，计算得到协商密钥 enc_key=Fuc(random_C...+ encrypted_handshake_message 服务器用私钥解密加密的 pre-master 数据，基于之前交换的两个明文随机数 random_C 和 random_S，计算得到协商密钥:...我们只看 TLSv1.1 的数据包：第一包 (No. 25) Client Hello 包，即 SSL/TLS 单向认证流程的 (1) 第二包 (No. 27) Server Hello 包，包含服务器证书等

7.6K1 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭