web-dev-qa-db-ja.com

TLS 1.0のみをサポートする古いブラウザのリストはありますか?

TLS 1.0のみをサポートする古いブラウザをすべてブロックしたいと考えています。 TLS 1.0はPCIコンプライアンスに準拠していないため、私がとりたいのは安全対策です。しかし、私はこれらの古いブラウザのリストを見つけるのに苦労しています。誰か助けてもらえますか?

tlsweb-browser
22
Jason

[TLS 1.0のみをサポートする古いブラウザのリスト]を見つけるのに問題があります

特定の機能を持つブラウザのリスト

適切なリストが見つからないのは、そのようなリストが大きく、不完全で、頻繁に変更され、非常に多数のプラグインとアドオンを考慮する必要があるためです。

トライハウンドがコメントで述べたように。 1.1/1.2のサポートがデフォルトで無効になっている場合でも、ブラウザはTLS 1.2をサポートしている/[+ //]であるため、ブラウザはそのようなリストにない可能性があります。これにより、リストへの依存がより危険になります。

何をしているのかによっては、ブラウザー(ユーザーエージェント?)のリストは必要ない場合があります。

TLS 1.0を使用するブラウザーを禁止することの影響の予測

サーバーの顧客の何人がTLS 1.0に依存しているかを計算する必要がある場合は、 Apache およびおそらく他のWebサーバーなどでTLSバージョンのロギングを有効にすることができます。適切な期間の後(例:1週間)影響を受ける顧客の数に関する優れた統計がいくつかあります。

ブラウザーによる安全でないプロトコルの使用の防止

TLS 1.0 をサポートしないようにWebサーバーおよびその他のサービスを構成することがしばしば可能です-したがって、より新しいバージョンをサポートしないブラウザーをブロックします。

50
RedGrittyBrick

私たちの親友 Can I Use を使用できます。これは、TLS v1.1がサポートされていることを示しています。

  • クローム22
  • Firefox 24
  • IE 11
  • Safari 7
  • Opera 12.1
  • iOS Safari 5.1

グローバルサポートは95.61%です。ターゲット市場によって多少異なる場合があります。

したがって、TLS v1.0を無効にすると、4%を少し超えるブラウザからのHTTPSが拒否されます。

おそらく、自分のサイトへのビジネスへの影響について、自分のアナリティクスと比較したいでしょう。

暗号やその他のさまざまな設定など、セキュリティに影響を与える他の多くのパラメータがあることに注意してください。

MozillaはいくつかのTLSプロファイルを公開しました さまざまな互換性/セキュリティのトレードオフがあります。これらのプロファイル(Apache、Nginx、HAProxy用)ごとに TLSサーバー構成を提供するツール もあります。

最高のセキュリティ( "モダン")ですが、互換性は最低ですが、Firefox 27、Chrome 30、IE 11 on Windows 7)が限界です。 Edge、Opera 17、Safari 9、Android 5.0、およびJava 8。

中間レベルは、Firefox 1、Chrome 1、IE 7、Opera 5およびSafariにカットオフポイントがあります。 1(ただし、Windows XPはサポートされていません)。

もちろん、最新かつ最高のものもサーバー側のサポートが必要です!

29
jcaron

SSL Labsリストを試す

SSLラボには HTMLリスト があります。

彼らはニース JSONリスト も提供しています。 TLS 1.0はhighestprotocol769としてエンコードされているようです。

PowerShellを使用すると、次のように解析できます。

PS C:\> Invoke-WebRequest -Uri https://api.ssllabs.com/api/v3/getClients -OutFile getClients.json
PS C:\> Get-Content .\getClients.json | Out-String | ConvertFrom-Json | foreach {$_ | select *} | where {$_.highestprotocol -like "769"
} | select name, version, useragent, highestprotocol | sort name, version, useragent

name        version     userAgent
----        -------     ---------
Android     2.3.7       Mozilla/5.0 (Linux; U; Android 2.3.7; en-us; Genymotion ('Phone' version) Build/GWK74) AppleWebKit/533.1 (KHTML, like Gecko) Ver...
Android     4.0.4       Mozilla/5.0 (Linux; U; Android 4.0.4; en-us; Android SDK built for x86 Build/IMM76D) AppleWebKit/534.30 (KHTML, like Gecko) Vers...
Android     4.1.1       Mozilla/5.0 (Linux; U; Android 4.1.1; en-us; Nexus S - 4.1.1 - API 16 - 480x800 Build/JRO03S) AppleWebKit/534.30 (KHTML, like Ge...
Android     4.2.2       Mozilla/5.0 (Linux; U; Android 4.2.2; en-us; Nexus 4 - 4.2.2 - API 17 - 768x1280 Build/JDQ39E) AppleWebKit/534.30 (KHTML, like G...
Android     4.3         Mozilla/5.0 (Linux; U; Android 4.3; en-us; Nexus 4 - 4.3 - API 18 - 768x1280 Build/JLS36G) AppleWebKit/534.30 (KHTML, like Gecko...
Baidu       Jan 2015    Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)
BingBot     Dec 2013
BingPreview Dec 2013
BingPreview Jun 2014    Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534+ (KHTML, like Gecko) BingPreview/1.0b
Firefox     10.0.12 ESR
Firefox     17.0.7 ESR
Firefox     21
Firefox     21
Firefox     22
Firefox     24
Firefox     24.2.0 ESR
Firefox     26
Googlebot   Jun 2014    Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)
Googlebot   Oct 2013
IE          10          Mozilla/5.0 (compatible; MSIE 10.0; Windows Phone 8.0; Trident/6.0; IEMobile/10.0; ARM; Touch; NOKIA; Lumia 925)
IE          7
IE          8
IE          8
IE          8
IE          8-10
IE          8-10        Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; Trident/6.0)
IE          9
Java        6u45
Java        7u25
OpenSSL     0.9.8y
Opera       12.15
Safari      5.1.9
Safari      6.0.4
Tor         17.0.9
Yahoo Slurp Oct 2013
YandexBot   May 2014

(たとえばIE 8.の二重エントリについてはわかりません)。

更新:暗号リダイレクト

これがあなたの目的であるかどうかはわかりませんが、これが準拠していないクライアントにニースのエラーメッセージを提供することである場合は、この古い私の答えに興味があるかもしれません: https://serverfault.com/a/ 644167/253701

10
StackzOfZtuff

これは、SalesForceの Knowledge Article で、主要なブラウザのTLSサポートをよく示しています。

4
waltonob

暗号のセキュリティを向上させるには、特定のユーザーエージェント文字列をブロックするだけではなく、クライアント(またはおそらく仲介者)が新しいブラウザーで暗号スイートのダウングレードを強制し、ブラウザーが偽のユーザーエージェントを送信する可能性があるためです。 クライアントを信頼しないでください。

安全な方法は、TLS 1.0トラフィックを完全にブロックすることです。 しかし、それを行ってブラウザにエラーメッセージを処理させるのは、あまりユーザーフレンドリーではありません

やりたいことは、接続の確立を許可することですが、コンテンツを配信する前に合意された暗号スイートを確認し、TLS 1.0が使用されている場合は、説明的なエラーページを表示します。 (「接続が安全ではありません。おそらくお使いのブラウザは古すぎます。」)お使いのウェブサーバーソフトウェアでhttps接続の暗号スイートを読み取ることができるかどうかはわかりません。

3
Alexander

他の人がすでに書いたように、なぜあなたはそのリストが欲しいのですか?サイトがTLS 1.0を正しくブロックすることをテストする場合は、たとえば、 FireFoxを使用し、about:config両方を設定security.tls.version.minおよびsecurity.tls.version.maxから1。
FirefoxはTLS 1.0のみを受け入れるようになり、サイトへのアクセスに使用する場合はブロックする必要があります。

他のブラウザにも同様の設定があると思います。

参考

3
user13695

TLS 1.0のサーバー側を無効にすることがTLS 1.0をオフにする最善の方法であり、 server logs が影響を測定するのに最も適していると他の回答に同意しますが、Webサービスから除外するものを知っていますあなたが特別なユースケースを持っているかもしれないので、重要です。

使用できます および SSL Labs についてはすでに言及していますが、Wikipedia に追加したいリスト。私の経験では、SSL/TLSブラウザーの互換性に関しては、これは最も完全なリストの1つです。

また、不要な暗号スイートを無効にすることを忘れないでください。これは、完全なプロトコルバージョンを無効にすることなく、セキュリティのニーズをすでに満たしている可能性があります。 TLS 1.0をオフにする場合は、TLS 1.0でのみ機能する暗号スイートも無効にする必要があります。

何かを無効(または有効)にする前に、何をしているのかを確認してください。 常にreadrecommendationsbeforechangeingthings およびmake必ず 設定をテスト してください。

2
Timlukas B.

英国のワーウィック大学は、これについて素晴らしいヘルプページを作成しました。TLS1.0および1.1を削除した後、どのデバイスが機能し、機能しないのかについてのリストがあります。見てください:

https://warwick.ac.uk/services/its/servicessupport/web/sign-on/help/tls1-eol/

彼らは各OSとサポートされているものの上部にサブページを持っています。

ほとんどの場合、FirefoxまたはChrome=を実行すると、古いデバイス/ OSでも新しいSSLが取得されます。それ以外の場合、TL; DRはWindows 7およびXP =サポートされないまま、Windows 8はIE11がインストールされた状態で動作します。MacOS Sierra(10.12)以降はsafariで動作します。iOS9以降は動作しますが、古いものは動作しません。Android 5.0 Lollipop以降が動作し、KitKat以前はしません。

0
Professor Falken