web-dev-qa-db-ja.com

TLSバージョンを指定するための同等のHSTSはありますか?

HSTSを使用すると、クライアントはHTTPSを使用して自分のWebサイトに強制的に接続できますが、SSL、TLSのバージョン、または禁止している暗号は指定されていません。

指定できるHSTSの代替または拡張機能はありますか

  • TLS最小バージョン(1.2)
  • TLS暗号(TLS 1.3にリストされているもの)
6

TLSでは、クライアントが提案し、サーバーが選択します。

TLS 1.2と使用する特定のサーバースイートのみを許可するようにサーバーを構成するのと同じくらい簡単にしたいもの。特別なことは必要ありません。

7
user10211

No-そのようなメカニズムはなく、開発される可能性は低いです。

まず要約すると、HSTSを使用すると、サーバーはクライアントに特定のドメインでHTTPSを強制的に使用させることができます。 HSTSがなくてもmydomain.comでSSLを有効にできますが、攻撃者のサイトがクライアントを乗っ取り(DNSポイズニングなど)、mydomain.comに無許可のプレーンHTTPコンテンツを提供するリスクがあります。ユーザーの意識が高ければ常にこれを防ぐことができます(南京錠をチェックしてください)が、HSTSのポイントは、初心者ユーザーでも保護を提供することです。

Terry Chiaが言うように、TLSバージョンに関しては、サーバーがサポートするバージョンを決定できます。不正なサーバーがサーバーになりすまし、有効にしていないTLSバージョンを使用する可能性があります。しかし、彼らはあなたのドメインのための証明書、または彼らが利用している古いバージョンのTLSのある種の脆弱性を持っている必要があります。公開されたTLSプロトコルの脆弱性は、証明書なしではなりすましを許可しない微妙な問題であることを考えると、そのようなシステムの開発には誰も興味がありません。

1
paj28