6月4日，Cloudflare将停止对tls1.0和1.1的支持api.cloudflare.com网站. 此外，仪表板将从到dash.cloudflare.com并且需要支持TLS 1.2或更高版本的浏览器。不会对通过我们的网络代理的客户流量进行任何更改，尽管您可能会决定为您自己的流量强制执行最低版本。我们将很快公开TLS分析，它表明使用TLS 1.0-1.3连接到您的站点的百分比，以及设置特定最低版本的控件。目前，您可以使用Require Modern TLS设置强制实施版本1.2或更高版本。在6月4日之前，使用TLS 1.0或1.1进行的API调用将在响应中插入警告消息，仪表板用户将看到一条横幅，鼓励您升级浏览器。有关这些变化的更多详细信息，以及计划活动的完整时间表，请参见下面的时间表。背景传输层安全（TLS）是当今web上用来加密HTTPS连接的协议。版本1.0在20年前作为SSL 3.0的后续版本被标准化，但由于易受BEAST和POODLE等攻击而被普遍认为是不安全的。[1]版本1.1于2006年发布，减轻了BEAST的影响，但由于一些主要浏览器选择直接跳到TLS 1.2（2008年编撰），因此采用率很低。除了记录在案的漏洞外，支付卡行业安全标准委员会（PCI SSC）和国家标准与技术研究所（NIST）等标准机构建议禁用TLS 1.0和1.1。具体来说，PCI要求站点至少使用TLS 1.1，建议TLS 1.2，NIST要求TLS至少为1.2。幸运的是，几乎所有（>96%）我们看到的交通api.cloudflare.com网站已在使用TLS 1.2或更高版本，因此大多数用户不需要进行任何更改。但是，如果您使用的是下面列出的用户代理或操作系统之一，则可能需要升级。若要检查浏览器或API客户端正在使用的版本，请向https://version.tls.fun。有问题的用户代理以下是TLS 1.0或1.1请求频率最高的用户代理api.cloudflare.com网站. 如果您在该列表中识别出您的API客户端，请尽快采取措施进行升级。curl运行在过时的操作系统上许多开发人员使用Daniel Stenberg构建的APIapi.cloudflare.com网站. 与命令行工具一样，curl依赖于底层的加密库，它是基于这个库构建的，以支持SSL/TLS，例如OpenSSL、NSS等。因此，在密码库过期的操作系统上运行curl的用户很可能会遇到问题。tls1.2支持在2012年3月发布的v1.0.1中首次添加到OpenSSL中。Java 1.7或更早版本tls1.2支持是在1.7.0_131-b12中添加到JRE中的，因此使用Java的古代版本进行的API调用可能会失败。Internet Explorer 10或更早版本在Windows7和WindowsServer2008R2上安装v11之前，默认情况下Internet Explorer没有启用TLS 1.2。虽然这些版本在2015年1月进入了生命终结期（EOL），但正如在我们的边缘观察到的，许多版本仍然存在于野外。详细时间表虽然TLS1.0和1.1将于6月4日（从今天起12周）永久禁用，但在此之前，我们将采取措施鼓励仍在运行过时浏览器和操作系统的用户升级日期从今天算起的几天事件2018年3月12日0此博客文章的发布日期。2018年4月30日49Cloudflare Dashboard可用于dash.cloudflare.com. 部分用户将被自动重定向这里.API答复来自api.cloudflare.com网站将在消息字段中包含一个不推荐警告（当使用TLS 1.0或1.1发出请求时）。2018年5月7日56TLS 1.0和1.1开启二十四（24）小时断电api.cloudflare.com网站。对于使用这两个版本之一进行的调用的所有API响应都将作为HTTP 400/Bad请求返回，并在负载中显示详细的错误消息。2018年6月4日84TLS 1.0和1.1在上永久禁用api.cloudflare.com网站.Cloudflare Dashboard仅在dash.cloudflare.comTLS要求达到或更高。API响应中的弃用消息从4月30日开始，API对api.cloudflare.com网站当使用TLS 1.0或1.1发出请求时，将在"消息"字段中包含一个弃用警告：{"结果"：{"id"："2d4d028de3015345da9420df5514dad0"，...},"成功"：没错，"错误"：[]，"消息"：[{"code"："1911"，"message"："此API调用是使用TLS v1.0进行的。自2018年6月4日起，1.2以下的TLS版本将不再受支持。在此之前必须升级客户端，否则API调用将失败。看到了吗https://blog.cloudflare.com/deprecating cloudflare dashboard和api/上的旧tls版本。"}],"结果信息"：{"页码"：1，...}}二十四（24）小时停电5月7日，我们将临时禁用TLS1.0和1.1，为期24小时"限电"。所有打到的电话api.cloudflare.com网站使用TLS 1.0或1.1将立即返回HTTP 400（错误请求）错误，并且不会处理请求的操作。此外，在此期间，使用TLS1.0或1.1将无法访问Cloudfare仪表板。此限制的目的是向仍在使用传统浏览器或操作系统的Cloudflare客户提供警告。如果API调用在此日期突然停止工作，请查看您的技术堆栈。永久禁用TLS 1.0和1.16月4日，我们将永久禁用TLS 1.0和1.1api.cloudflare.com网站. 所有访问仪表板的用户也需要TLS1.2或更高版本。作为提醒，我们不会对您的流量进行任何更改。虽然出于安全原因，我们建议您也禁用TLS 1.0和1.1，但我们更愿意让我们的客户决定什么是最适合他们的。继续阅读，了解我们将如何为您提供制定和执行此决策所需的数据和控制措施。即将推出的控制和分析目前，您可以在仪表板的"加密"选项卡中同时禁用TLS 1.0和1.1，但不能仅禁用1.0：打开开关，如上面的屏幕截图所示，您的站点只允许TLS1.2或更高版本。尽管TLS1.1占我们在edge上看到的流量的0.2%，但一些客户表示希望继续支持它，但不支持TLS1.0。为了满足这一要求，我们将很快进行以下两项更改。1用最低TLS版本替换"需要现代TLS控制"更换上面的"需要现代TLS"卡将是"最低TLS版本"卡：请注意，虽然一旦部署了最低TLS版本卡，Require Modern TLS UI控件将被删除，但现有API端点将从该日期起继续运行60天。我们将强制两个设置中较大的一个（如果两者都使用的话）。2更新分析以按TLS版本显示使用百分比当前的"通过SSL提供的流量"饼图将得到增强，以显示TLS版本的请求百分比，其中包括HTTP、TLS 1.0、TLS 1.1、TLS 1.2和TLS 1.3。将鼠标悬停在任何部分上都会弹出所选时间段内的请求数。附加通信我们将用任何更改更新此博客文章，并在上述更改生效时发布新文章（包括为您的域提供新的TLS分析，以及强制执行特定最低版本的能力）。仍在使用TLS 1.0或1.1进行API调用的企业客户将收到来自客户成功经理的电子邮件，其中包含有问题的用户代理和频率。其他人如有任何问题，请联系Cloudflare支持部门。BEAST有一个客户端缓解功能，但并不是普遍部署的。此外，TLS POODLE只影响一些实现。↩︎操作系统很重要，因为一些浏览器（如IE和Edge）依赖于与底层操作系统捆绑在一起的加密堆栈来支持SSL/TLS。↩︎