偶然之间产了一个有趣的想法
想对各大企业网站检查一下TLS的版本
为什么要检查？ 版本的新旧究竟会改变什么？

HTTPS大势所趋

由于得到了谷歌和微软等国际巨头的推荐，以及letsencrypt等SSL证书供应商的免费提供的“证书”，HTTPS得以在短时间内快速普及，曾经主流的HTTP已经走下舞台

加密传输已经普遍化

在早期互联网才刚开始发展的时候，由于那时候采用的全是HTTP传输，也就直接进行明文传输交换，所以那时候的网站被黑乃是常事，游戏也是如此，像那时候单机游戏基本上随便破解，就算有的厂商做了网游也逃不过“WPE”等封包截取工具的折磨，随着HTTPS的到来，这一切都已经被彻底改变，所有数据包均采用加密形式跟服务器通信，就算数据包被截取，攻击者也无法从中获取任何信息

TLS的改革

TLS自然也不是一步而成的，最开始的时候，我们称它为“SSL”,SSL从开发至今，一共有三个版本，不过我们能知道的只有两个版本，就是SSL2.0和SSL3.0,最初始的1.0版本据说是因为存在严重的安全问题，所以没有发布，不过呢...

SSL接下来的两个版本也连续被曝光存在安全漏洞和隐患，谁都不想自己的重要隐私存在可能被泄密的风险吧，所以为了让大家放心，SSL的的开发公司标准化了SSL并改名为TLS，所有就有了我们接下来所知道的...

TLS至今为止也开发了三个版本

• TLS1.0
• TLS1.1
• TLS1.2
• TLS1.3

为什么是三个版本呢？
咳咳，是因为TLS1.0基本上就是SSL3.0的套皮
所以TLS1.0实际也肯定还存在一些隐患，为了规范各网站的安全标准，美国的VISA和万事达等支付巨头联合推出了一个叫“PCI DSS”的标准，简单点讲就使用HTTPS协议时，至少使用TLS1.0以上的加密方式，虽说有了这样的一个标准，不过随着时间的推移，TLS1.1也被淘汰了，目前市场上所认可的加密只留下了TLS1.2和TLS1.3

时至今日

HTTPS已经遍布互联网的每个角落，使用HTTPS也不会像以前那么“稀奇”，当然也是这样的环境，给了各位“爬墙者”一种新的思路，那都是后话了，我们今天要讲的是最新的TLS1.3

首先我们来看下互联网巨头们的“网站”究竟还在使用那些加密方式吧

• 百度

百度的加密方式通过“MySSL"检测只能评级到B，这是什么原因呢？

答案就是兼容了，就算是不可一世的百度，自然也是要考虑网站兼容性的，特别是这种面向人群较多的，说不定别人拿老人机，照样上百度呢

百度至今为止依旧支持SSL3.0这个古董加密，虽然它已经被证实不安全了，但为了兼容性，我想大企业有大企业的考虑吧

通过浏览器实测得知，一般的新一点的手机和电脑访问都是使用TLS1.2，至于为什么不兼容1.3呢。。。

我想还是因为兼容，加密方式我们可以看到使用的是AES_128_GCM的，AES的加密安全性不用考虑，其中又以GCM协议质量最高，安全度最好

• 淘宝

就算是阿里的淘宝也只评到了“B”，大企业貌似都是一个鸟样？需要注意的是，淘宝并非使用Nginx,而是使用了自己团队“强化”过的版本（说是为了特地针对大流量访问准备的），不过并不在我们今天要讨论的话题内

检查一下加密套件，一眼就能看出里面使用了“不安全”的RC4，而且淘宝比百度做的更有意思的一点是什么呢？ 它把TLS1.2以下其它所有的加密套件都剔除了，仿佛就是为了兼容而来的？

就算做到了这种地步，在兼容测试里IE6/XP，还是兼容失败了，不过相对开启SSL3换取这点兼容，淘宝的做法不为明智之举

• 支付宝

同样是出生于阿里，作为国内的支付“龙头企业”，MySSL上的评级也只给到了A

通过检测可以得知，支付宝也还开启了TLS1.0，且使用CBC算法进行加密，实测最低兼容到WIN7

• Github

最后我们来测一下国外的Github
（由于Github国内被墙，本次测试使用国外的ssllabs）

可以看到一片绿，大大的A+非常明显
且终于支持了TLS1.3！
安全强度相当的高啊，对比国内的一片黄，外国人的想法貌似更激进？

其次是加密套件，可以看到就TLS1.2和1.3两种加密，符合“PCI DSS”标准，唯一的缺点是使用了CBC这种弱加密，其它还有HSTS啊，和CAA保护等，Github基本齐全，说了模范标杆也不为过

唯一遗憾的是兼容一般，如此激进的安全“方法”必然也导致了一部分设备无法使用，不过相对而言，国外的大佬可不会考虑流量这种问题...

最后的最后

想知道我的网站已经做到什么地步了？
不如我们也来测下？ qwq

MySSL上的评级是A+，一片绿，符合“PCI DSS”标准和ATS标准

其次是证书，我使用的zerossl的ECC证书，支持OCSP装订，384比特的加密算法

然后是加密，使用的是纯AES的GCM加密，移除其它所有不安全的加密协议，且完美支持“正向加密”（关于正向加密不懂的可以百度）

最后就是安全特性了，完整的TLS1.3，HSTS，CAA保护，XSS等，基本上能支持的全部支持了

说是模范里的模范也不为过？
（切，到头来就是自己炫耀，哼╭(╯^╰)╮）

咳咳，我是难道是那种专门写一篇文章,呸...

脱离重点了，回到标题

TLS1.3已经来袭这么久了，你现在究竟还在使用TLS几呢？

我只检测自己的吗？各位小伙伴的网站我也都检测了下（谁让我这么闲呢)

发现大多数博主使用的依旧是TLS1.2加密，虽说并不是说TLS1.2不好，不过那可都是2008年的玩意了，相比TLS1.3(2018发布)，足足隔了有10年之久，10年时间能发现的安全漏洞又有多少呢？

大企业为了兼容考虑流量问题，我们这小博主一天也没几个流量，就不用考虑那么多了，安全问题吗，可大可小，轻则密码泄露，网站被黑，重则...

扯远了，不过呢还是建议大家都尽早用上TLS1.3
其中所带来的安全和性能提升还是相当之高的qwq

结尾

非常感谢你能看到这里 (又水了一篇)
这篇文章收集了不少素材，所以比预计的发布时间长了点，不过总算把它写完了qwq

下一篇我们来简单的聊聊BTC与“区块链”
再见~(～￣▽￣)～