TLS 1.1未満の接続に対してわかりやすいエラーメッセージを表示できますか？

Question

セキュリティ上の理由から、TLS1.1より古いTLS接続をすべてブロックしたいと思います。また、自分のサイトでTLS1.1未満を使用しているユーザーにわかりやすいエラーメッセージを表示したいと思います。 IISまたはWindowsでこれを実現する方法はありますか？

答えがノーだとすると、これを達成できる他の方法は何ですか？

StackzOfZtuff · Answer

編集2015-09-22：「ハードウェアのみ」ではなくなりました

Citrixは仮想NetScalerを更新しました。

Citrix Systems、Inc.、2015-06-03、 NetScaler 10.5リリースのビルド57.7のリリースノート

NetScaler VPXアプライアンスは、TLSプロトコルバージョン1.1および1.2をサポートするようになりました。

これは、CitrixNetScalerを使用して実行できます。しかしハードウェアのみバージョン。 VMバージョンはTLS1.1以降をサポートしていません。

これを行う方法は次のとおりです。すべてのTLS1.0/SSLスイートを禁止します。あとは、TLS1.1以降で導入されたスイートだけが残ります。

次に、「CipherRedirect」と呼ばれる機能を使用します。これにより、不要な暗号との接続が可能になりますが、カスタムエラーページにリダイレクトされます。

Citrixドキュメント： http://support.citrix.com/proddocs/topic/netscaler-ssl-93/ns-ssl-config-cipher-redirect-tsk.html
監査人がこれを知らない場合、セキュリティ監査中に危険信号が発生する可能性があります：「弱い暗号のSSLセキュリティスキャナーの誤検知-NetScalerの強度」 http://support.citrix.com/article/CTX11999

Ryan Ries · Answer

ただのアイデア：

おそらく、TLS 1.1未満では続行できないことを非常に明確に示している、プレーンなHTTPランディングページであり、そのページにボタンまたはリンクがあり、HTTPSサイトに移動します。

さらに良いことに、安全なサーバーからリソースをプルしようとするJavaScriptをHTTPページに配置するだけです。画像などが表示されない場合、ユーザーはサイトを使用できなくなります。この男のように： giantgeek.com/blog/?p=89

「下の画像が表示されない場合、ブラウザはこのサイトと互換性がありません...」

つまり、SSLやTLSの履歴をユーザーに説明する必要はなく、「お使いのブラウザはこのサイトと互換性がありません」などと言うだけです。