Назад | Перейти на главную страницу

Почему TLS1.0 по-прежнему поддерживается службой веб-приложений с минимальным уровнем TLS1.2 на лазурном сервере?

У нас есть служба приложений в Azure, и поскольку Microsoft сделала это недавно (30 апреля 2018 г.), теперь у нас есть возможность потребовать TLS 1.1 или 1.2:

Мы бегаем хакерское сканирование для соответствия PCI, но они по-прежнему возвращают ошибку при поддержке TLS:

Я также запустил ssl-тест из ssl labs. И результат был ... неясным:

В разделе Cypher suites нет TLS 1.0 Cypher, и все моделирование рукопожатия использует TLS 1.2.

Наконец, если я попытаюсь открыть приложение в IE с отключенным TLS 1.2, произойдет сбой:

Я не уверен, что попробовать дальше. Я предполагаю, что TLS1.0 все еще поддерживается, но без шифрования, поэтому все попытки подключения терпят неудачу. Есть ли другой способ проверить поддержку TLS1.0, кроме моего теста IE?

Это вызвано функция сделана, но еще не готова вопрос. Больше информации доступен от Microsoft. На сегодняшний день (19 июня) все еще есть некоторые крайние случаи, которые не обрабатываются правильно. Полная поддержка теперь отложена до начала июля (после даты соблюдения требований PCI).

(14 мая)

На данный момент это действительно работает при блокировке TLS 1.0, но в отчетах обнаруживается неподдерживаемый пограничный случай, который, скорее всего, развертывает исправление к концу недели. В таких отчетах, как SSL Labs, TLS 1.0 помечается оранжевым цветом как заблокированный, но не полный.

Эта проблема задокументирована здесь:

https://blogs.msdn.microsoft.com/appserviceteam/2018/05/02/breaking-change-for-sni-ssl-hostnames-on-azure-app-service/

(21 мая)

Это было немного отложено, развертывается прямо сейчас и будет полностью запущено в течение первой недели июня, хотя некоторые могут увидеть это обновление раньше.

(14 июня - кто-то спросил)

TLS 1.0 отображается как удаленный из порта 443. Спасибо.

Однако сканирование nmap по-прежнему показывает, что для порта 455 включены TLS 1.0 и TLS 1.1.

Не могли бы вы подтвердить, что вы знаете об этом и работаете над удалением TLS 1.0 из порта 455?

(14 июня - ответ)

@anotherazureuser - решение для этого порта будет развернуто через 2-3 недели. Быть в курсе.