Windows XP,Chrome 48 和 RC4

Windows XP,Chrome 48 和 RC4

我最近更新到了 https。不支持 RC4。

我们有一两个客户无法访问我们的网站,并收到错误“无法建立安全连接,因为此网站使用不受支持的协议或密码套件。这可能是由于服务器需要 RC4 而导致的,而 RC4 不再被视为安全。”

它们都使用 XP,但运行最新的 Chrome。

我该如何解决这个问题?考虑到我们不支持 RC4,Chrome 错误消息没有什么帮助。

我假设 Windows XP 和任何尝试访问不支持 RC4 的 HTTPS 站点的新浏览器都会出现问题 - 肯定有解决方法,因为很多人仍在运行 XP?

答案1

您的网站需要支持 Windows XP 中可用的密码,这就是您收到密码套件不匹配的原因。您的 SSL Labs 测试报告列出了以下密码:

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b)   ECDH secp256r1 (eq. 3072 bits RSA)   FS  128
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 (0xc023)   ECDH secp256r1 (eq. 3072 bits RSA)   FS  128
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (0xc009)   ECDH secp256r1 (eq. 3072 bits RSA)   FS 128
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (0xc02c)   ECDH secp256r1 (eq. 3072 bits RSA)   FS  256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 (0xc024)   ECDH secp256r1 (eq. 3072 bits RSA)   FS  256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA (0xc00a)   ECDH secp256r1 (eq. 3072 bits RSA)   FS 256
TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA (0xc008)   ECDH secp256r1 (eq. 3072 bits RSA)   FS    112
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 (0xcc14)   ECDH secp256r1 (eq. 3072 bits RSA)   FS    256P
(P) This server prefers ChaCha20 suites with clients that don't have AES-NI (e.g., Android devices) 

以下是 Windows XP/Server 2003 中支持的 TLS 密码套件。

TLS_RSA_WITH_RC4_128_MD5
TLS_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_DES_CBC_SHA
TLS_DHE_DSS_WITH_DES_CBC_SHA
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA
TLS_RSA_EXPORT_WITH_RC4_40_MD5
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
TLS_RSA_WITH_NULL_MD5
TLS_RSA_WITH_NULL_SHA

https://msdn.microsoft.com/en-us/library/windows/desktop/aa380512(v=vs.85).aspx

您的网站根本无法在 Windows XP 上运行。如果您想支持 Windows XP,则需要添加一个受支持的套件。最常用的似乎是前面提到的TLS_RSA_WITH_3DES_EDE_CBC_SHA

编辑以添加:我刚刚注意到您正在使用 CloudFlare。请务必阅读 SSL 常见问题解答和旧版浏览器支持文章。

https://support.cloudflare.com/hc/en-us/articles/214770928-Legacy-Browser-Support

我知道 Chrome 是一款现代浏览器,但正如我之前所说,它使用适用于其所运行的任何操作系统的 Windows 库,并且直到 Windows Vista 才引入 TLS/SNI 支持。因此,如果您在 CloudFlare 中禁用旧版浏览器支持,那么您也会破坏 XP 上的 Chrome,因为您的网站只能通过支持 SNI 的浏览器访问。

相关内容