我在 AWS 上托管了一个网站,想要禁用来自除 TLS 1.2 之外的任何密码的流量。这在 ELB 上很容易实现,但我想为那些需要更新浏览器才能访问该网站的用户创建一个自定义“登录页面”。
我找到了这篇文章如果所有 ELB 注册实例都关闭了,是否可以显示静态页面?它似乎提供了类似的东西,但功能并不完全相同。
答案1
您不能拒绝连接(由于非 TLSv1.2)并同时接受连接以显示错误消息。您要么接受,要么不接受,您不能同时做到这两点。
但是,您可以接受 TCP/SSL 级别的所有连接,并且阿帕奇或Nginx或应用检查所使用的协议,如果 TLS 版本不正确,则重定向到错误页面TLS 1.2。
在 Apache 中,可以通过以下 mod_rewrite 规则实现:
RewriteCond %{SSL:SSL_PROTOCOL} !"TLSv1.2"
RewriteRule (.*) http://%{SERVER_NAME}/error_page.html [L,R=302]
參閱mod_rewrite和mod_ssl了解详情。
不幸的是,这不适用于 AWS ELB,因为您的服务器不会直接与客户端通信,并且 SSL 会话在 ELB 上终止。但是在这种情况下,您可以使用新的AWS 网络负载均衡器它将原始 TCP 流量转发到负载平衡的 EC2 实例,并且您的服务器负责与客户端协商 SSL 协议。在这种情况下,您的服务器将拥有有关所用 TLS 协议的所有信息,您可以使用上述检查。
希望有帮助:)