基於不可協商的 SSL/TLS 協議或密碼重定向瀏覽器
我只是 HTTPS 站點上 SSL/TLS 協議的眾多使用者之一。
出於良好的安全原因,我想將 TLS 協商限制為使用 AES 密碼的最低 TLS1.1。原因可在 SSLLabs 和 OWASP 獲得。
但我知道舊版瀏覽器(WinXP 上的 IE 等)在這種情況下連接到我的網站時會出現問題(協商將失敗,因此不會顯示任何網站)。
我的問題是,我寧願為訪問者提供一個關於更新瀏覽器的備份頁面(在不安全的行上),而不是讓他們對發生的事情一無所知(並在幫助台上收到大量關於此的電話)。
當然,可以選擇啟用較舊的協議和密碼,然後將它們放入某個隔離站點,如下面的連結所示。然而,這感覺像是一種解決方法,其中涉及大量額外的工作設備。 https://devcentral.f5.com/questions/how-do-i-restrict-tls-negotiation-to-minimum-tls-v12
我的問題是:
- 如果協商失敗,是否有另一種我不知道的方式將瀏覽器發送到“備份”頁面?
- 如果沒有,是否可以在 TLS 協議 1.3 版中加入一些東西來解決這個問題?例如一個“備份”解密欄位,它為應用層打開,以某種方式通知瀏覽器,如果握手是不可能的,瀏覽器知道它應該回退到其他資源嗎?(也許更多的是 IETF 的問題,但由於他們也閱讀了這個論壇,所以我會在這裡問它:))。
筆記。我見過實際上允許在 http 上連接的網站,例如 http://example
$$ . $$com:443/ 並在這種情況下提供一條消息,您應該使用 https-protocol 重試。類似的東西;)。
如果協商失敗,是否有另一種我不知道的方式將瀏覽器發送到“備份”頁面?
不,因為這不是規範的一部分
您可以做的最好的事情是使用一種配置,該配置在支持它的客戶端上更喜歡更好的密碼,而在不支持它的客戶端上回退到較弱的密碼。您可以使用SSL Labs SSL Test測試您的配置
如果沒有,是否可以在 TLS 協議 1.3 版中加入一些東西來解決這個問題?例如一個“備份”解密欄位,它為應用層打開,以某種方式通知瀏覽器,如果握手是不可能的,瀏覽器知道它應該回退到其他資源嗎?(也許更多的是 IETF 的問題,但由於他們也閱讀了這個論壇,所以我會在這裡問它:))。
我不認為他們讀過… :)