随着POODLE的公告,我希望我的服务器接受SSL3.0连接,但让他们提供一个页面,表明用户应该更新到一个新的浏览器与TLS的支持。 这似乎应该是可能的,因为IIS应该知道哪个密码套件正在使用,但我想不出任何方式来configuration这些信息,以允许托pipe不同的内容或被转发到网站本身做的事情。
有没有办法让IIS根据SSL / TLS协商过程中使用的密码套件进行redirect?还是有一种方法可以使密码套件可用于网站?
SSL / TLS协商发生在IIS之外的https.sys中。 当stream量到达IIS时,所有与encryption相关的工作都已经完成。
我不知道有任何API将协商的协议公开到基于IIS的应用程序。 你总是可以尝试从另一个来源抓住它,但我怀疑这将certificate狡猾,至多。
loggingSchannel成功事件将生成显示协商参数的事件ID 36880事件,但Microsoft并不打扰在这些日志条目中包含客户端IP地址(至less不是我所看到的)。 (这本来是不错的,但是微软也不会在事件日志中包含IP地址… Grrrr!)
您可以将数据包捕获运行到环形缓冲区中,查找SSL 2.0协商并将其logging到某种持久性存储中。 您的应用程序可以查询该存储,将客户端IP地址与协商日志相关联,然后继续进行警告。 我认为这是一个可行的做法,但看起来像很多工作(和“移动部分”),以实现很less。 (这听起来像是有趣的东西,虽然…)