为什么 Azure 上的“最低 TLS1.2”Web 应用服务似乎仍然支持 TLS1.0?

为什么 Azure 上的“最低 TLS1.2”Web 应用服务似乎仍然支持 TLS1.0?

我们有一个应用服务在 Azure 上,正如微软最近(2018 年 4 月 30 日)推出的那样,我们现在可以选择要求 TLS 1.1 或 1.2:

在此处输入图片描述

我们跑黑客卫士扫描为了符合 PCI 合规性,但他们仍然在 TLS 支持上返回失败:

在此处输入图片描述

我还运行了来自 SSL 实验室的 SSL 测试.结果...不清楚:

在此处输入图片描述

Cypher 套件部分中没有 TLS 1.0 Cypher,所有握手模拟都使用 TLS 1.2

最后,如果我尝试在禁用 TLS 1.2 的情况下在 IE 中打开该应用程序,则会失败:

在此处输入图片描述

我不确定下一步该尝试什么。我猜 TLS1.0 仍然受支持,但没有密码,因此所有连接尝试都会失败。除了 IE 测试之外,还有其他方法可以测试 TLS1.0 支持吗?

答案1

这是由功能已完成,但尚未完成问题。更多信息可从 Microsoft 获取截至今天(6 月 19 日),仍有一些边缘情况未得到正确处理。全面支持现已延迟至 7 月初(PCI 合规日期之后)。

(5 月 14 日)

目前,该功能确实可以阻止 TLS 1.0,但报告指出存在不受支持的边缘情况,并可能在本周末之前部署修复程序。SSL Labs 等报告将 TLS 1.0 标记为橙色,表示已阻止但尚未完成。

此问题记录在此处:

https://blogs.msdn.microsoft.com/appserviceteam/2018/05/02/breaking-change-for-sni-ssl-hostnames-on-azure-app-service/

(5 月 21 日)

这稍微延迟了一点,现在正在部署,并将在六月的第一周全面上线,不过有些人可能会更早看到这个更新。

(6 月 14 日 - 有人问)

TLS 1.0 显示已从端口 443 删除。谢谢。

但是,nmap扫描仍然显示端口 455 已启用 TLS 1.0 和 TLS 1.1。

您能否确认您已意识到这一点,并且正在努力从端口 455 删除 TLS 1.0?

(6 月 14 日——答案)

@anotherazureuser - 该特定端口的解决方案将在 2-3 周内部署。敬请期待。

相关内容