基于不可协商的SSL/TLS协议或密码重定向浏览器

我只是HTTPS站点上SSL / TLS协议的众多用户之一.

出于安全性考虑,我想将TLS协商限制为使用AES密码的最小TLS1.1. SSLLabs和OWASP提供了理由.

但我知道旧的浏览器(WinXP上的IE等)会在连接到我的网站的情况下出现问题(协商会失败,因此不会显示任何网站).

我的问题是,我更愿意为我的访问者提供一个关于更新浏览器的后备页面(在一条不安全的行上),而不是将它们留在空白中关于发生的事情(并在服务台上获取大量关于此的调用).

当然有选项启用旧协议和密码,然后将它们放入一些隔离网站,如下面的链接所示.然而,这感觉就像一种解决方法,其中涉及大量额外的工作设备.
 https://devcentral.f5.com/questions/how-do-i-restrict-tls-negotiation-to-minimum-tls-v12

我的问题是:

>在协商失败的情况下,还有另一种我不知道将浏览器发送到“后备”页面的方法吗?
>如果没有,是否可以在TLS协议版本1.3中添加一些东西来解决这个问题?
比如一个“后备”解密字段,应用层可以通过某种方式告知浏览器如果握手不可能,浏览器知道它应该回退到其他资源吗? (也许更多的问题是IETF,但既然他们也读过这个论坛,我会在这里问:)).

最佳答案
我不认为这是一种解决方法,如果服务器首先协商它可以的最佳密码,然后根据密码的质量决定向客户端提供哪个页面,例如:不安全密码的安全页面或后备页面.在此备用页面上,它可以提供有关问题的信息或将客户端重定向到其他信息.

我认为在未来的TLS版本中构建这样的东西没有任何好处,因为提供这些信息的安全性比完全不加密的密码要好得多,就像谈判失败时一样.

但是,如果服务器添加支持以便于使用此行为,例如,一种区分安全密码和安全性较低的密码的方法,可以很容易地为后一种情况添加错误页面.当然,所有人都希望SSLabs和其他人能够检测到这种行为,因此在为此错误消息支持不安全密码时,他们不会得到不好的标记.

转载注明原文:基于不可协商的SSL/TLS协议或密码重定向浏览器 - 代码日志