Мы отключим поддержку браузеров, которые поддерживают только TLS1.0.
Когда мы отключим поддержку TLS 1.0 на нашем веб-сервере, можем ли мы перенаправить браузеры, которые не поддерживают TLS 1.1 или выше, на страницу http, объясняя, почему у них нет доступа и что они могут с этим поделать?
Многие пользователи уже имеют наш https: // в избранном, поэтому мы не можем предположить, что они перейдут на сайт http. первый где мы могли бы отобразить сообщение для неподдерживаемых браузеров или перенаправить поддерживаемые браузеры на безопасный сайт.
Это невозможно.
HTTPS сначала создает безопасное соединение, а затем он использует это безопасное соединение для отправки и получения HTTP-сообщений по этому защищенному соединению (включая перенаправления).
Отсутствие общих шифров / версия TLS означает отсутствие соединения и, следовательно, отсутствие сообщений HTTP.
HTTPS делает не предлагать откат, когда безопасное соединение не может быть установлено, поскольку это было бы вектором атаки, чтобы заблокировать безопасное соединение HTTPS.
Если оставить в стороне эти рассуждения, @Hbruijn дает хороший совет о том, как измерить и, следовательно, попытаться минимизировать воздействие.
По мере того, как удаление TLSv1 становится обычным явлением (в соответствии с требованиями PCI), все больше и больше сайтов будут отключать это, и пользователи, скорее всего, будут часто получать это сообщение, поэтому им следует понимать подсказку. Таким образом, количество затронутых пользователей должно быть небольшим и очевидным.
В качестве основного воздействия (по крайней мере, для просмотра) яскорее всего будет IE10 вы также можете на некоторое время добавить что-то вроде следующего в верхнюю часть страницы, прежде чем удалять поддержку TLSv1.
<!--[if lt IE 11]>
<p class=“old-ie”>
We notice you are using an old version of Internet Explorer that is shortly due to be unsupported on this site. Please upgrade to be able to continue to use this site.
</p>
<![endif]-->
При этом используются специальные теги if для IE, а затем вы можете стилизовать его так, чтобы сделать его большим красным очевидным предупреждением.
Старый Android - еще один вероятный кандидат (который выше не поможет), но с версии 4.4 Chrome Webview (который поддерживает TLSv1.2) по умолчанию, поэтому, надеюсь, большинство пользователей Android не пострадают.
Во всяком случае, для большинства западных сайтов это обычно боты, сканеры и другие подобные инструменты, а не реальный трафик.
Когда мы отключим поддержку TLS 1.0 на нашем веб-сервере, можем ли мы перенаправить браузеры, которые не поддерживают TLS 1.1 или выше, на страницу http, объясняя, почему у них нет доступа и что они могут с этим поделать?
Нет. Как только вы отключите поддержку TLS 1.0 на своем веб-сервере, ваши посетители с устаревшими браузерами больше не смогут подключаться, поэтому вы не сможете перенаправить их.
Также: если вы используете HSTS вы, вероятно, не сможете перенаправить на обычную HTTP-страницу в вашем собственном домене. (Хотя, если их браузеры не поддерживают TLS 1.1 или более позднюю версию, они, вероятно, не будут соблюдать HSTS тоже, так что это не проблема.)
Вместо этого: до отключив поддержку TLS 1.0, вы можете начать журнал сколько клиентов все еще используют старые шифры и проводят информированный анализ воздействия с помощью чего-то вроде:
CustomLog logs/ssl_cipher_log \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%{User-agent}i\""
Также / дополнительно вы можете использовать Переменная среды SSL SSL_PROTOCOL (SSLv3, TLSv1, TLSv1.1, TLSv1.2), чтобы создать правило mod_rewrite для обнаружения старых шифров и, например, перенаправления этих запросов (не проверено):
RewriteCond %{SSL:SSL_PROTOCOL} =SSLv3 [OR]
RewriteCond %{SSL:SSL_PROTOCOL} =TLSv1
RewriteRule (.*) http://%{SERVER_NAME}/unsupported_tls_version.html [L,R=302]