Defaults.Exposed

Defaults.Exposed › 报告

弱加密与过时的 TLS:你的网站还在提供旧版加密吗?(2026)

发布于 2026-07-01

数据截至 2026-06-29 · 方法论 v7。 基于 261 百万个已评级域名的汇总普查数据;TLS 版本数据是可通过 HTTPS 访问的域名所占的比例。TLS 是挂锁背后的协议;“弱”是指浏览器和审计人员不再信任的旧版本或密码套件。参见我们如何评级

互联网基本上已经告别了旧版加密——但一把强壮的挂锁并非理所当然,如今薄弱环节更多在于证书而非协议。 在可通过 HTTPS 访问的网站中,如今 90.51% 已协商使用现代的 TLS 1.3,其余大多数使用 TLS 1.2。因此,弱协议版本是例外,而非常态。“弱 TLS”仍会造成困扰的地方更为隐蔽:那些悄悄仍然接受旧版本、弱密码套件的服务器,以及——最常见的——纯粹损坏的证书。下面教你如何判断自己是否属于例外。

2026 年“弱 TLS”意味着什么

互联网的真实现状

已协商的最佳 TLS 版本,占可通过 HTTPS 访问的域名的比例,截至 2026-06-29:

最佳 TLS 版本比例
TLS 1.3(当前)90.51%
TLS 1.2(可接受的下限)5.38%
TLS 1.1 / 1.0(已弃用)0.00%

从协议角度看,情况是健康的。如今的差距在别处:8.21% 的证书无效,而在所有域名中仅有 78.02% 提供 HTTPS——也就是说,互联网中仍有五分之一根本未加密。

为什么即便大多数网站没问题,这仍然重要

如何确保你的 TLS 足够强壮

  1. 将最低版本设为 TLS 1.2,并在服务器或 CDN 上启用 TLS 1.3——并确认旧版本是被拒绝的,而不仅仅是不使用。参见修复 TLS
  2. 更新密码套件——优先选择具备前向保密性的套件;弃用 RC4、3DES 和出口级密码套件。
  3. 保持证书有效——这是更常见的失败点。参见修复证书错误
  4. 强制使用 HTTPS 并添加 HSTS,以拒绝降级到纯 HTTP。
  5. 从外部重新测试——弱 TLS 在浏览器中不可见,因此请通过外部检查加以确认。

常见问题

我的 TLS 过时了吗? 就版本而言,可能没有——90.51% 的 HTTPS 网站使用 TLS 1.3。更有可能的薄弱点是证书问题(8.21% 的证书无效),或者服务器在现代默认设置背后仍然接受旧版本。

TLS 1.2 仍然可以吗? 可以——TLS 1.2 是可接受的下限,而 TLS 1.3 更受青睐。需要担心的是任何低于 1.2 的版本仍然被接受。

禁用旧版 TLS 会不会影响老旧的访问者? 很少有现代客户端需要 TLS 1.0/1.1;相较于合规与安全上的收益,如今的兼容性成本已微乎其微。

弱 TLS 会显示浏览器警告吗? 弱协议或密码套件通常不会——它会在审计和扫描中暴露出来。而损坏的证书则会直接向访问者发出警告。

修复它免费吗? 免费——这是服务器或 CDN 的配置更改,无需购买。

免费检查你的 TLS 配置

查看你的 TLS 版本、密码套件强度和证书状态——私密进行,且仅限所有者可见。

检查你的域名 → · 修复 TLS → · 为什么我的网站显示“不安全”? → · 我们如何评级 → · 仅使用汇总数据。数据在欧盟境内存储和处理。