Назад | Перейти на главную страницу

Могу ли я дать понятное сообщение об ошибке для соединений ниже TLS 1.1?

По соображениям безопасности я хочу заблокировать все соединения TLS старше TLS1.1. Я также хочу дать понятное сообщение об ошибке для пользователей, которые используют на моем сайте менее TLS 1.1. Есть ли способ сделать это в IIS или Windows?

Предполагая, что ответ отрицательный, какими еще методами я могу добиться этого?

Изменить 2015-09-22: больше не "только оборудование"

Citrix обновила свои виртуальные NetScaler.

Старый ответ

Вы можете сделать это с помощью Citrix NetScaler. Но только с ТС версия. Версия ВМ не поддерживает TLS1.1 и выше.

Способ сделать это так: вы запрещаете все TLS1.0 / SSL-наборы. Тогда все, что у вас останется, это комплекты, представленные с TLS1.1 и выше.

Затем вы используете функцию под названием «CipherRedirect». Это позволит установить соединение с нежелательным шифром, но затем перенаправит на пользовательскую страницу ошибки.

Просто идея:

Возможно, это обычная целевая страница HTTP, на которой очень четко указано, что они не смогут продолжить работу с чем-либо меньшим, чем TLS 1.1, с кнопкой или ссылкой на этой странице, которая затем перенаправит их на сайт HTTPS.

А еще лучше, просто разместите на HTTP-странице какой-нибудь JavaScript, который пытается получить ресурс с вашего защищенного сервера. Если изображение или что-то еще не отображается, мы знаем, что пользователь не сможет использовать ваш сайт. Как этот парень: Giantgeek.com/blog/?p=89

"Если вы не видите изображение ниже, ваш браузер несовместим с этим сайтом ..."

Я имею в виду, что вам не нужно объяснять пользователям историю SSL и TLS, просто скажите «ваш браузер несовместим с этим сайтом» или что-то в этом роде.