web-dev-qa-db-ja.com

TLS 1.1未満の接続に対してわかりやすいエラーメッセージを表示できますか?

セキュリティ上の理由から、TLS1.1より古いTLS接続をすべてブロックしたいと思います。また、自分のサイトでTLS1.1未満を使用しているユーザーにわかりやすいエラーメッセージを表示したいと思います。 IISまたはWindowsでこれを実現する方法はありますか?

答えがノーだとすると、これを達成できる他の方法は何ですか?

2

編集2015-09-22:「ハードウェアのみ」ではなくなりました

Citrixは仮想NetScalerを更新しました。

古い答え

これは、CitrixNetScalerを使用して実行できます。しかし ハードウェアのみ バージョン。 VMバージョンはTLS1.1以降をサポートしていません。

これを行う方法は次のとおりです。すべてのTLS1.0/SSLスイートを禁止します。あとは、TLS1.1以降で導入されたスイートだけが残ります。

次に、「CipherRedirect」と呼ばれる機能を使用します。これにより、不要な暗号との接続が可能になりますが、カスタムエラーページにリダイレクトされます。

1
StackzOfZtuff

ただのアイデア:

おそらく、TLS 1.1未満では続行できないことを非常に明確に示している、プレーンなHTTPランディングページであり、そのページにボタンまたはリンクがあり、HTTPSサイトに移動します。

さらに良いことに、安全なサーバーからリソースをプルしようとするJavaScriptをHTTPページに配置するだけです。画像などが表示されない場合、ユーザーはサイトを使用できなくなります。この男のように: giantgeek.com/blog/?p=89

「下の画像が表示されない場合、ブラウザはこのサイトと互換性がありません...」

つまり、SSLやTLSの履歴をユーザーに説明する必要はなく、「お使いのブラウザはこのサイトと互換性がありません」などと言うだけです。

1
Ryan Ries