Ssl

是否可以將 IIS 配置為基於用於連接的 SSL 密碼套件進行重定向?

  • October 15, 2014

隨著 POODLE 的發布,我希望我的伺服器接受 SSL3.0 連接,但讓它們提供一個頁面,指示使用者應該更新到具有 TLS 支持的新瀏覽器。似乎這應該是可能的,因為 IIS 應該知道正在使用哪個密碼套件,但我想不出任何方法來配置此資訊以允許託管不同的內容或被轉發到站點本身做一些事情。

有沒有辦法讓 IIS 基於 SSL/TLS 協商期間使用的密碼套件進行重定向,或者讓有關密碼套件的資訊可用於站點?

SSL / TLS 協商發生在https.sysIIS 內部和外部。當流量到達 IIS 時,所有與加密相關的工作都已完成。

我不知道有任何 API 將協商協議公開給基於 IIS 的應用程序。您總是可以嘗試從其他來源獲取它,但我懷疑這將被證明是狡猾的,充其量。

記錄Schannel 成功事件將生成顯示協商參數的事件 ID 36880 事件,但 Microsoft 沒有費心在這些日誌條目中包含客戶端 IP 地址(至少,我沒有看到)。(那本來很好,但是,微軟再一次沒有費心在事件日誌中包含 IP 地址…… Grrrr!)

您可以在環形緩衝區中執行數據包擷取,尋找 SSL 2.0 協商並將它們記錄到某種持久儲存中。您的應用程序可以查詢該商店,將客戶端 IP 地址與協商日誌相關聯,然後繼續發出警告。我認為這是一種可行的做法,但這似乎確實需要大量工作(和“移動元件”)才能完成的很少。(不過,這聽起來確實很有趣……)

引用自:https://serverfault.com/questions/637261