Defaults.Exposed › 報告
弱加密與過時的 TLS:你的網站還在提供舊版加密嗎?(2026)
發布於 2026-07-01
數據截至 2026-06-29 · 方法論 v7。 基於 261 百萬個已評級域名的彙總普查數據;TLS 版本數據是可通過 HTTPS 訪問的域名所佔的比例。TLS 是掛鎖背後的協議;「弱」是指瀏覽器和審計人員不再信任的舊版本或密碼套件。參見我們如何評級。
互聯網基本上已經告別了舊版加密——但一把強壯的掛鎖並非理所當然,如今薄弱環節更多在於證書而非協議。 在可通過 HTTPS 訪問的網站中,如今 90.51% 已協商使用現代的 TLS 1.3,其餘大多數使用 TLS 1.2。因此,弱協議版本是例外,而非常態。「弱 TLS」仍會造成困擾的地方更為隱蔽:那些悄悄仍然接受舊版本、弱密碼套件的服務器,以及——最常見的——純粹損壞的證書。下面教你如何判斷自己是否屬於例外。
2026 年「弱 TLS」意味著什麼
- 過時的協議版本。 TLS 1.0 和 1.1 已於 2021 年棄用。作為協商使用的版本,如今已很少見——但服務器可以默認使用 TLS 1.3,同時在被請求時仍然接受降級到 1.0,審計會標記這種情況。
- 弱密碼套件。 陳舊的算法(RC4、3DES、出口級密碼套件)以及缺乏前向保密性,即便在現代版本上也會削弱連接。
- 損壞的證書。 這是最常見的情況:加密強度與證書有效性是兩碼事,即便是有效的 TLS 1.3 握手,若配上無效證書,仍會向訪問者顯示警告。在提供證書的域名中,有 8.21% 提供的是無效證書——參見我的證書過期了。
互聯網的真實現狀
已協商的最佳 TLS 版本,佔可通過 HTTPS 訪問的域名的比例,截至 2026-06-29:
| 最佳 TLS 版本 | 比例 |
|---|---|
| TLS 1.3(當前) | 90.51% |
| TLS 1.2(可接受的下限) | 5.38% |
| TLS 1.1 / 1.0(已棄用) | 0.00% |
從協議角度看,情況是健康的。如今的差距在別處:8.21% 的證書無效,而在所有域名中僅有 78.02% 提供 HTTPS——也就是說,互聯網中仍有五分之一根本未加密。
為什麼即便大多數網站沒問題,這仍然重要
- 合規檢查項。 PCI-DSS、許多安全問卷和政府基線要求使用 TLS 1.2+,並且要求主動禁用舊版本和弱密碼套件——而不僅僅是默認不使用。參見問卷會檢查什麼。
- 降級風險。 如果服務器仍然接受舊版本,攻擊者就可以嘗試強制建立一個比雙方都想要的更弱的連接。
- 隱性風險。 弱但仍存在的 TLS 以及仍被接受的舊密碼套件很少觸發瀏覽器警告,因此它們會一直存在,直到有人主動去檢查。
如何確保你的 TLS 足夠強壯
- 將最低版本設為 TLS 1.2,並在服務器或 CDN 上啟用 TLS 1.3——並確認舊版本是被拒絕的,而不僅僅是不使用。參見修復 TLS。
- 更新密碼套件——優先選擇具備前向保密性的套件;棄用 RC4、3DES 和出口級密碼套件。
- 保持證書有效——這是更常見的失敗點。參見修復證書錯誤。
- 強制使用 HTTPS 並添加 HSTS,以拒絕降級到純 HTTP。
- 從外部重新測試——弱 TLS 在瀏覽器中不可見,因此請通過外部檢查加以確認。
常見問題
我的 TLS 過時了嗎? 就版本而言,可能沒有——90.51% 的 HTTPS 網站使用 TLS 1.3。更有可能的薄弱點是證書問題(8.21% 的證書無效),或者服務器在現代默認設置背後仍然接受舊版本。
TLS 1.2 仍然可以嗎? 可以——TLS 1.2 是可接受的下限,而 TLS 1.3 更受青睞。需要擔心的是任何低於 1.2 的版本仍然被接受。
禁用舊版 TLS 會不會影響老舊的訪問者? 很少有現代客戶端需要 TLS 1.0/1.1;相較於合規與安全上的收益,如今的兼容性成本已微乎其微。
弱 TLS 會顯示瀏覽器警告嗎? 弱協議或密碼套件通常不會——它會在審計和掃描中暴露出來。而損壞的證書則會直接向訪問者發出警告。
修復它免費嗎? 免費——這是服務器或 CDN 的配置更改,無需購買。
免費檢查你的 TLS 配置
查看你的 TLS 版本、密碼套件強度和證書狀態——私密進行,且僅限所有者可見。
檢查你的域名 → · 修復 TLS → · 為什麼我的網站顯示「不安全」? → · 我們如何評級 → · 僅使用彙總數據。數據在歐盟境內存儲和處理。