鉴于POODLE,我们迫切需要在面向公众的web服务器上closuresSSL2 / 3和TLS 1.0。 然而,我们是一个公共部门机构,大约5-10%的访问者使用运行Windows XP和较低浏览器的机器,而我们的用户并不是最精通技术的人员,如果他们试图访问我们的帮助热线他们经常使用的网站只是发现它是'失望'。
我们想要做的是向旧浏览器的用户显示一条消息,通知他们SSL2 / 3已经不在了,build议他们升级操作系统/浏览器以继续使用你的网站。 但是,似乎要检测SSL2 / 3,我们必须在我们的服务器上启用SSL2 / 3 …
有没有其他安全的方式来检测通过SSL2 / 3的请求,并作出相应的反应?
关于我能想到的唯一的事情就是在网站前面有一个仍然支持旧标准的代理,并且如果它检测到SSL2或3连接(或不支持的浏览器string?),将用户redirect到另一个站点?
当然,要做到这一点,您需要一个代理服务器,可以将旧协议安全地与旧版浏览器交谈,而不会影响来自更安全端点的连接。 这并不容易, 您需要保持代理本身的安全性和可靠性,并且能够保证这种情况会导致SSL2或3等不安全的协议被禁用,当然,对您的站点进行的PCI审计将通过此代理进行处理无益的结果,如果这是你的问题。 祝你好运,所有这一切。
自从我早些时候回答这个问题以来,你可能只需要接受那个时间来减less你的损失。 除此之外,我不禁想象,任何没有从IE6升级的人都不是或者是公司networking的一部分, 也不是 。
SSL握手发生在任何应用程序级通信之前,所以如果你想禁止2/3浏览器会得到一个非常丑陋的信息。
另一方面,您可以启用2/3,让您的应用程序检测到低版本,并向用户返回特定的错误消息。 不幸的是,在这一点上,他们已经向您发送了任何会话cookie等,他们已经在旧的SSL版本上发布,可能会暴露他们。 阻止用户传输此数据的唯一方法是在握手期间阻止旧的SSL版本,并与不正常的用户体验一起生活。