我已在 azure 服务总线配置中将
minimumTlsVersion
设置为 1.2
。在 yournamespace.servicebus.windows.net
上进行穿透或端点扫描后。服务还是支持TLS 1.0
TLS 1.1
。
并且还启用了弱密码套装 TLS 1.2
。
我的 Azure 函数使用
.net6.0
目标框架,并且我在应用程序启动时应用了安全协议。
ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls12;
如何禁用服务总线的弱密码套件并阻止来自
TLS 1.0
、 TLS 1.1
、 TLS 1.2
的任何服务总线请求?
关于 TLS 版本,这似乎是对 Azure 服务总线当前设置最低 TLS 版本的方式的限制。
我知道潜在的限制是服务总线实例在许多 Azure 用户之间共享,因此虽然他们有一个设置可以“有效地”阻止一个命名空间(也就是说,您的特定总线)使用某些 TLS版本,这并不意味着同一服务总线上的另一个命名空间不支持它。
最后,他们必须(预先)接受许多版本,只有在解析了实际的命名空间之后,他们才会强制执行该命名空间的版本。
来自
话虽这么说,我没有关于设置密码套件的答案。如果使用的 TLS 版本低于配置的最低 TLS 版本,网络跟踪将显示 TCP 连接的成功建立和 TLS 协商的成功,然后返回 401。
- 上的渗透或端点扫描将指示支持 TLS 1.0、TLS 1.1 和 TLS 1.2,因为该服务将继续支持所有这些协议。在命名空间级别强制执行的最低 TLS 版本指示命名空间将支持的最低 TLS 版本。
yournamespace.servicebus.windows.net
- 因此,当 Microsoft 表示 TLS 1.0 和 1.1 最终会失败时,网络检查工具会报告 TLS 1.0 和 1.1 受到支持,只是晚于工具建议的时间。