编辑 2015-09-22：不再“仅限硬件”

Question 1

只是一个想法：

也许是一个简单的 HTTP 登录页面，非常清楚地表明他们将无法继续使用低于 TLS 1.1 的任何操作，然后该页面上的按钮或链接会将他们带到 HTTPS 网站。

更好的是，只需在 HTTP 页面上添加一些 JavaScript 即可尝试从安全服务器中提取资源。如果图像或其他内容未显示，那么我们就知道用户将无法使用您的网站。就像这个人：giantgeek.com/blog/?p=89

“如果您没有看到下面的图片，则表示您的浏览器与本网站不兼容……”

我的意思是你不必向用户解释 SSL 和 TLS 的历史，只需说“您的浏览器与此网站不兼容”之类的。

Answer

只是一个想法：

也许是一个简单的 HTTP 登录页面，非常清楚地表明他们将无法继续使用低于 TLS 1.1 的任何操作，然后该页面上的按钮或链接会将他们带到 HTTPS 网站。

更好的是，只需在 HTTP 页面上添加一些 JavaScript 即可尝试从安全服务器中提取资源。如果图像或其他内容未显示，那么我们就知道用户将无法使用您的网站。就像这个人：giantgeek.com/blog/?p=89

“如果您没有看到下面的图片，则表示您的浏览器与本网站不兼容……”

我的意思是你不必向用户解释 SSL 和 TLS 的历史，只需说“您的浏览器与此网站不兼容”之类的。

Question 2

Citrix 已更新其虚拟 NetScalers。

Citrix Systems, Inc.，2015 年 6 月 3 日，NetScaler 10.5 版本 57.7 发行说明

NetScaler VPX 设备现在支持 TLS 协议版本 1.1 和 1.2。

旧答案

您可以使用 Citrix NetScaler 来实现这一点。但是仅限硬件版本。虚拟机版本不支持TLS1.1及以上版本。

执行此操作的方法是：禁用所有 TLS1.0/SSL 套件。然后剩下的就是 TLS1.1 及更高版本引入的套件。

然后，您可以使用“CipherRedirect”功能。这将允许使用不需要的密码进行连接，但随后重定向到自定义错误页面。

Citrix 文档：http://support.citrix.com/proddocs/topic/netscaler-ssl-93/ns-ssl-config-cipher-redirect-tsk.html
如果审计员不知道这一点，则可能会在安全审计期间引发危险信号：“NetScaler 上的 SSL 安全扫描程序对弱密码强度的误报”，http://support.citrix.com/article/CTX119993

Answer

Citrix 已更新其虚拟 NetScalers。

Citrix Systems, Inc.，2015 年 6 月 3 日，NetScaler 10.5 版本 57.7 发行说明

NetScaler VPX 设备现在支持 TLS 协议版本 1.1 和 1.2。

您可以使用 Citrix NetScaler 来实现这一点。但是仅限硬件版本。虚拟机版本不支持TLS1.1及以上版本。

执行此操作的方法是：禁用所有 TLS1.0/SSL 套件。然后剩下的就是 TLS1.1 及更高版本引入的套件。

然后，您可以使用“CipherRedirect”功能。这将允许使用不需要的密码进行连接，但随后重定向到自定义错误页面。

Citrix 文档：http://support.citrix.com/proddocs/topic/netscaler-ssl-93/ns-ssl-config-cipher-redirect-tsk.html
如果审计员不知道这一点，则可能会在安全审计期间引发危险信号：“NetScaler 上的 SSL 安全扫描程序对弱密码强度的误报”，http://support.citrix.com/article/CTX119993