TLS 1.0および1.1は安全であると見なされなくなったため、これらのWebサイトでのサポートは廃止されます。
この変更によって影響を受ける訪問者の割合をどのように確認できますか? (つまり、TLS 1.2をサポートしていない訪問者。)
Windows Server 2012 R2 w/IIS8を使用しています。
2番目のサーバー(仮想マシン、または同じホスト上の2番目のデーモンなど)をセットアップします。書き換えルールを使用して リバースプロキシ ページに隠された非表示の画像など、2番目のサーバーにオプションの何かを要求します。 TLS1.2のみを許可するように2番目のサーバーを構成します。別のホスト名にホットリンクしないでください...必ずプロキシしてください。そうしないと、安全ではないため、ブラウザに警告が表示されるか、画像が読み込まれない可能性があります。
次に、画像のリクエストを追跡します。サポートされていないクライアントでは、SSL/TLSエラーが発生するはずです。サポートされているクライアントは、約200のOKログを生成します。ログに有用な情報が何も記載されていない場合は、代わりにJavaScriptにプロキシしてみてください。これにより、成功したときにトラフィックをログに記録するAJAXリクエストを実行できます(ただし、スクリプトブロッカーがこれを停止する場合があります)。
ログに依存して意味をなす前に、2番目のサーバーのssl/tlsサポートをテストするには、多くの詳細をリストできるnmapのような優れたテストを使用します。
nmap --script ssl-enum-ciphers example.com
1つの可能性は、SSL/TLSハンドシェイクバージョンをログに記録できるリバースプロキシ(Squid、Apacheなど)を使用することです。または、(1桁と言えば)Webサービスホストの数が非常に限られている場合は、サーバーで直接Wiresharkを使用してハンドシェイクを分析できます。
私はサーバーログをチェックしてWindowsサーバーの接続に使用されたSSL/TLSプロトコルを確認する方法を知りません(NginxとApacheで十分簡単です)。
したがって、これを実行する上で考えられる最良の方法は、OSとブラウザのバージョンを追跡する分析ソフトウェア(Google Analyticsなど)を使用する場合です。これは100%正確ではありません(ブラウザでJavaScriptやトラッキングをオフにしている人もいます)。
Google Analyticsなどを使用することは、不可解なUSER_AGENTフィールドを理解しようとするよりもはるかに優れていますが、理論的にはこれは別の方法であり、おそらくサーバーに記録されますログ。必要に応じてその方法でそれを行う方法の詳細については、ここを参照してください: https://stackoverflow.com/questions/17798944/get-browser-name-and-version-from-iis-log- file-in-log-parser 。
訪問者のブラウザとOSバージョンを入手したら、この表を調べて、TLS 1.2をサポートしているかどうかを確認できます。 https://en.m.wikipedia.org/wiki/Transport_Layer_Security#Web_browsers 、そしてそれはあなたが大まかなパーセンテージを計算することを可能にするはずです。
Ssllabsスキャンツール( https://www.ssllabs.com/ssltest/ )を使用して、サイトをスキャンし、SSL/TLS設定をテストすることもできます-TLSのバージョンの通知も含まれます参照ブラウザのリストが使用する暗号。とにかくこのスキャンを実行して、SSL/TLS構成の状態を確認することを強くお勧めします。
主に、古いバージョンのIEおよび古いバージョンのAndroidに関心があります。
また、TLS 1.0および1.1をオフにする前に、Webサイトでブラウザー検出を行って、これらのユーザーに1か月ほど警告を追加することもできます。 「[if lt IE 11]」ステートメントを使用して、古いIEバージョンの警告を表示するCSSスタイルシートを含めることは非常に簡単ですが、IE10はありませんは標準モードでこの構文をサポートしなくなり、影響を受けるブラウザになります。古いAndroidブラウザでもこれを行うのは簡単ではありません。