编辑 2015-09-22:不再“仅限硬件”

编辑 2015-09-22:不再“仅限硬件”

出于安全原因,我想阻止所有早于 TLS1.1 的 TLS 连接。我还想向在我的网站上使用低于 TLS 1.1 的用户提供友好的错误消息。有没有办法在 IIS 或 Windows 中实现这一点?

假设答案是否定的,我还可以通过哪些其他方法实现这一目标?

答案1

只是一个想法:

也许是一个简单的 HTTP 登录页面,非常清楚地表明他们将无法继续使用低于 TLS 1.1 的任何操作,然后该页面上的按钮或链接会将他们带到 HTTPS 网站。

更好的是,只需在 HTTP 页面上添加一些 JavaScript 即可尝试从安全服务器中提取资源。如果图像或其他内容未显示,那么我们就知道用户将无法使用您的网站。就像这个人:giantgeek.com/blog/?p=89

“如果您没有看到下面的图片,则表示您的浏览器与本网站不兼容……”

我的意思是你不必向用户解释 SSL 和 TLS 的历史,只需说“您的浏览器与此网站不兼容”之类的。

答案2

编辑 2015-09-22:不再“仅限硬件”

Citrix 已更新其虚拟 NetScalers。

旧答案

您可以使用 Citrix NetScaler 来实现这一点。但是仅限硬件版本。虚拟机版本不支持TLS1.1及以上版本。

执行此操作的方法是:禁用所有 TLS1.0/SSL 套件。然后剩下的就是 TLS1.1 及更高版本引入的套件。

然后,您可以使用“CipherRedirect”功能。这将允许使用不需要的密码进行连接,但随后重定向到自定义错误页面。

相关内容