Назад | Перейти на главную страницу

Windows XP, Chrome 48 и RC4

Я недавно обновился до https. Не поддерживает RC4.

У нас есть один или два клиента, которые не могут получить доступ к нашему сайту и получают сообщение об ошибке «Невозможно установить безопасное соединение, поскольку этот сайт использует неподдерживаемый протокол или набор шифров. Это может быть вызвано тем, что серверу требуется RC4, который больше не считается безопасным ».

Все они работают на XP, но используют последнюю версию Chrome.

Как я могу это обойти? Учитывая, что мы не поддерживаем RC4, сообщение об ошибке Chrome не очень помогает.

Я предполагаю, что есть проблема с Windows XP и любым новым браузером, пытающимся получить доступ к любому сайту HTTPS, который не поддерживает RC4 - конечно, есть обходной путь, так как большая часть людей все еще использует XP?

Ваш сайт должен поддерживать шифрование, доступное в Windows XP, поэтому вы получаете несоответствие набора шифров. В вашем отчете о тестировании SSL Labs перечислены следующие шифры:

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b)   ECDH secp256r1 (eq. 3072 bits RSA)   FS  128
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 (0xc023)   ECDH secp256r1 (eq. 3072 bits RSA)   FS  128
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (0xc009)   ECDH secp256r1 (eq. 3072 bits RSA)   FS 128
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (0xc02c)   ECDH secp256r1 (eq. 3072 bits RSA)   FS  256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 (0xc024)   ECDH secp256r1 (eq. 3072 bits RSA)   FS  256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA (0xc00a)   ECDH secp256r1 (eq. 3072 bits RSA)   FS 256
TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA (0xc008)   ECDH secp256r1 (eq. 3072 bits RSA)   FS    112
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 (0xcc14)   ECDH secp256r1 (eq. 3072 bits RSA)   FS    256P
(P) This server prefers ChaCha20 suites with clients that don't have AES-NI (e.g., Android devices) 

Вот поддерживаемые наборы шифров TLS в Windows XP / Server 2003.

TLS_RSA_WITH_RC4_128_MD5
TLS_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_DES_CBC_SHA
TLS_DHE_DSS_WITH_DES_CBC_SHA
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA
TLS_RSA_EXPORT_WITH_RC4_40_MD5
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
TLS_RSA_WITH_NULL_MD5
TLS_RSA_WITH_NULL_SHA

https://msdn.microsoft.com/en-us/library/windows/desktop/aa380512(v=vs.85).aspx

Ваш сайт вообще не будет работать с Windows XP. Вам необходимо добавить один из поддерживаемых наборов, если вы хотите поддерживать Windows XP. Наиболее часто используется, по-видимому, вышеупомянутый TLS_RSA_WITH_3DES_EDE_CBC_SHA.

Изменить, чтобы добавить: Я только что заметил, что вы используете CloudFlare. Убедитесь, что вы прочитали часто задаваемые вопросы по SSL и статьи поддержки устаревшего браузера.

https://support.cloudflare.com/hc/en-us/articles/214770928-Legacy-Browser-Support

Я знаю, что Chrome - это современный браузер, но, как я уже сказал, он использует библиотеки Windows для любой ОС, в которой он работает, а поддержка TLS / SNI не была представлена ​​до Windows Vista. Поэтому, если вы отключите поддержку устаревшего браузера в CloudFlare, вы также сломаете Chrome на XP, потому что ваш сайт будет доступен только из браузеров, поддерживающих SNI.