我们在最佳实践文章中建议大家如何去配置协议和密码套件，但是如果服务器软件（nginx、apache等）所使用的ssl协议库存在SSL漏洞，或者不支持那些现代化的密码套件和特性，那么无论你如何去修改配置都无法改善现在的安全问题。

所以我们在配置前，或者发现按照推荐配置进行了调整《SSL/TLS安全评估报告》还是无法满足要求，那么可以检查下所使用的OpenSSL等加密库是否版本过低。

如何检查OpenSSL版本

nginx

nginx -V

nginx version: nginx/1.10.2
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-4) (GCC)
built with OpenSSL 1.0.1e-fips 11 Feb 2013
TLS SNI support enabled

或者通过openssl命令查看(适用于非自己通过openssl源码编译的）

openssl version

推荐的OpenSSL版本

1. OpenSSL 1.0.2用户需更新到1.0.2h 以上。
2. OpenSSL 1.0.1用户需更新到1.0.1t 以上。
3. OpenSSL官方已停止对 0.9.8和 1.0.0 两个版本的升级维护，请使用这两个版本的用户将其升级至1.0.2h版本以上。

OpenSSL 1.0.1以下不支持tls1.2
升级前请做好测试