В свете POODLE у нас есть срочное требование отключить SSL2 / 3 и TLS 1.0 на наших общедоступных веб-серверах. Однако мы работаем в государственном секторе, и около 5-10% посещений наших сайтов совершаются с использованием компьютеров под управлением Windows XP и более ранних версий браузеров, а наши пользователи не самые технически подкованные и начнут наводнять наши горячие линии, если они попытаются посетить сайт, который они регулярно посещают, только чтобы обнаружить, что он не работает.
Мы хотели бы показать пользователям старых браузеров сообщение, информирующее их о том, что SSL2 / 3 больше нет, и советуем им обновить ОС / браузер, чтобы продолжать использовать ваши сайты. Однако может показаться, что для обнаружения SSL2 / 3 нам нужно включить SSL2 / 3 на наших серверах ...
Есть ли другой безопасный способ обнаружения запросов через SSL2 / 3 и соответствующей реакции?
Подтверждение связи SSL происходит до любой связи на уровне приложения, поэтому, если вы хотите запретить 2/3, браузеры получат очень неприятное сообщение.
С другой стороны, вы можете включить 2/3, и ваше приложение обнаружит младшую версию и вернет пользователю конкретное сообщение об ошибке. К сожалению, на данный момент они уже отправили вам все файлы cookie сеанса и т. Д., Которые они имеют, поверх старой версии SSL, потенциально подвергая их воздействию. Единственный способ предотвратить передачу этих данных пользователем - заблокировать старые версии SSL во время рукопожатия и жить с неудобным пользовательским интерфейсом.
Единственное, о чем я могу думать, - это прокси-сервер перед сайтом, который по-прежнему поддерживает старые стандарты и перенаправляет пользователя на другой сайт, если он обнаруживает соединения SSL2 или 3 (или неподдерживаемую строку браузера?)
Конечно, для этого вам понадобится прокси-сервер, который может безопасно передавать старые протоколы старым браузерам, не подвергая опасности соединения с более безопасными конечными точками. Это будет нелегко; вам нужно будет держать прокси исправленным и защищенным, а также частично гарантировать, что в этом случае будут отключены небезопасные протоколы, такие как SSL2 или 3, и, конечно же, аудит PCI вашего сайта пройдет через этот прокси и даст бесполезные результаты, если это проблема для вас. Удачи со всем этим.
Поразмыслив после того, как я ранее пытался ответить на этот вопрос, вам, возможно, просто нужно признать, что пора сократить свои потери. Помимо всего прочего, я не могу не представить, что любой, кто еще не обновился с IE6, либо не собирается, либо является частью корпоративной сети и не могу.