Dla tych, którzy nie wiedzą, czym jest Suche.org, jest to strona internetowa, która ma doskonałą ocenę A + w SSL Labs w każdej kategorii: (wynik Suche.org SSL Labs ). Dowiedziałem się o tej stronie, kiedy otworzyłem kolejny bilet na certyfikaty ECC niedziałające w Chrome , a jeden z respondentów wykorzystał tę stronę jako przykład.
To, co mnie dezorientuje, to fakt, że chociaż Protocol Support
sekcja raportu mówi, że strona używa tylko TLSv1.2 ...
TLS 1.2 Yes
TLS 1.1 No
TLS 1.0 No
SSL 3 No
SSL 2 No
Wyraźnie tak nie jest, ponieważ w tej Handshake Simulation
sekcji pokazano, że niektórzy symulowani starsi klienci używają TLSv1.0 do łączenia ...
Android 4.0.4 EC 384 (SHA256) TLS 1.0 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA ECDH secp521r1 FS
Android 4.1.1 EC 384 (SHA256) TLS 1.0 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA ECDH secp521r1 FS
Android 4.2.2 EC 384 (SHA256) TLS 1.0 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA ECDH secp521r1 FS
Android 4.3 EC 384 (SHA256) TLS 1.0 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA ECDH secp521r1 FS
Android 4.4.2 EC 384 (SHA256) TLS 1.2 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 ECDH secp521r1 FS
Jest to trochę frustrujące, ponieważ jeśli wyłączę TLSv1.0 na mojej stronie testowej tak ...
# Apache example
SSLProtocol all -SSLv3 -SSLv2 -TLSv1
Uruchomienie skanowania SSL Labs na mojej stronie testowej daje następujące wyniki dla niektórych starszych klientów:
Android 4.0.4 Server closed connection
Android 4.1.1 Server closed connection
Android 4.2.2 Server closed connection
Android 4.3 Server closed connection
Android 4.4.2 EC 384 (SHA256) TLS 1.2 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS
Jak można jednocześnie zezwalać tylko na połączenia TLSv1.2, a jednocześnie obsługiwać starszych klientów?
Odpowiedzi:
Jestem pewien, że sprawdzają możliwości klienta i działają odpowiednio, jak wyjaśniono w wątku powiązanym z odpowiedzią @Jeff .
Aby dowiedzieć się, jak to szczegółowo może wyglądać, spójrz na to . Pokazuje implementację wykonaną w
HAProxy
celu obsługi różnych klientów różnych certyfikatów, w zależności od ich możliwości. Zrobiłem pełną kopię / wklej, aby zapobiec gniciu linków, a ponieważ uważam, że to pytanie może być interesujące w przyszłości:źródło
Podobne pytanie zadano na https://community.qualys.com/thread/16387
Myślę, że ta odpowiedź jest rozwiązaniem:
źródło