出于安全原因,我想阻止所有早于 TLS1.1 的 TLS 连接。我还想向在我的网站上使用低于 TLS 1.1 的用户提供友好的错误消息。有没有办法在 IIS 或 Windows 中实现这一点?
假设答案是否定的,我还可以通过哪些其他方法实现这一目标?
答案1
只是一个想法:
也许是一个简单的 HTTP 登录页面,非常清楚地表明他们将无法继续使用低于 TLS 1.1 的任何操作,然后该页面上的按钮或链接会将他们带到 HTTPS 网站。
更好的是,只需在 HTTP 页面上添加一些 JavaScript 即可尝试从安全服务器中提取资源。如果图像或其他内容未显示,那么我们就知道用户将无法使用您的网站。就像这个人:giantgeek.com/blog/?p=89
“如果您没有看到下面的图片,则表示您的浏览器与本网站不兼容……”
我的意思是你不必向用户解释 SSL 和 TLS 的历史,只需说“您的浏览器与此网站不兼容”之类的。
答案2
编辑 2015-09-22:不再“仅限硬件”
Citrix 已更新其虚拟 NetScalers。
- Citrix Systems, Inc.,2015 年 6 月 3 日,NetScaler 10.5 版本 57.7 发行说明
NetScaler VPX 设备现在支持 TLS 协议版本 1.1 和 1.2。
旧答案
您可以使用 Citrix NetScaler 来实现这一点。但是仅限硬件版本。虚拟机版本不支持TLS1.1及以上版本。
执行此操作的方法是:禁用所有 TLS1.0/SSL 套件。然后剩下的就是 TLS1.1 及更高版本引入的套件。
然后,您可以使用“CipherRedirect”功能。这将允许使用不需要的密码进行连接,但随后重定向到自定义错误页面。
- Citrix 文档:http://support.citrix.com/proddocs/topic/netscaler-ssl-93/ns-ssl-config-cipher-redirect-tsk.html
- 如果审计员不知道这一点,则可能会在安全审计期间引发危险信号:“NetScaler 上的 SSL 安全扫描程序对弱密码强度的误报”,http://support.citrix.com/article/CTX119993