Cosa succederà ai browser più vecchi se disattivo SSLv3 sul mio server web?

20

Abbiamo un sito Web di e-commerce pubblico. Il nostro fornitore di pagamenti con carta di credito ci ha detto che non supporteranno più la crittografia RC4. Hanno affermato che gli utenti con browser più vecchi potrebbero non essere in grado di effettuare ordini sul nostro sito.

Se disabilitiamo SSLv3 sul nostro sito web, cosa succederà agli utenti con un browser precedente quando tentano di accedere alle pagine HTTPS?

    
posta Sam Markani 11.11.2015 - 20:18
fonte

5 risposte

29

Se disattivi SSLv3 sul tuo sito, i browser meno recenti che non supportano TLSv1 o versione successiva non saranno in grado di connettersi al tuo sito tramite SSL / TLS.

Detto questo, SSLv3 è stato ritirato per qualche tempo, grazie a POODLE . Di conseguenza, molti siti Web che utilizzano SSL / TLS hanno smesso di supportare SSLv3 per un po 'di tempo. Pertanto, gli utenti che utilizzano ancora browser meno recenti che non supportano TLSv1.0 o versioni successive hanno probabilmente problemi a connettersi a più siti tramite SSL / TLS (oltre al tuo se hai disabilitato SSLv3).

In effetti, oltre al settore delle carte di pagamento (PCI) che richiede ai siti che accettano le informazioni sulla carta di disabilitare SSLv3 - sono in fase di autorizzazione che questi siti elimina gradualmente anche il supporto per TLSv1.0 . Presto, tutti i siti che accettano le informazioni sulla carta saranno tenuti a supportare TLSv1.1 o versioni successive.

Modifica: guarda questa pagina di Wikipedia per un buon riferimento sui protocolli SSL / TLS supportati da vari browser.

    
risposta data 11.11.2015 - 21:03
fonte
13

È difficile sapere esattamente cosa succederà senza sapere esattamente quale sia il resto della tua configurazione SSL e quali protocolli stai supportando. Ma il risultato più probabile è che IE6 non funzioni, e la versione molto vecchia di Java non funzionerà. Generalmente questo non è un problema per la maggior parte delle persone da quando IE6 è morto e sepolto. Tutto il resto supporta almeno TLS 1, che esiste dal 1999.

Perché indovinare? Crea una configurazione di test su un server pubblicamente rivolto e prova i test SSL Labs . Tra le altre cose, questo sito farà simulazioni di diversi handshake del browser con il tuo server. Probabilmente scoprirai altri problemi che potrebbero richiedere un po 'di pulizia.

    
risposta data 11.11.2015 - 20:54
fonte
4

Se disabiliti SSL v3 sul tuo server, l'impatto principale è che le persone che eseguono Internet Explorer su Windows XP non saranno in grado di connettersi. Ogni altro browser ha supportato TLS v1 con crittografia AES da tempo immemore.

    
risposta data 11.11.2015 - 20:50
fonte
4

Netscaler e altri strumenti di bilanciamento del carico hanno la capacità di reindirizzare i vecchi client SSL in una pagina web che indica all'utente finale di aggiornare il proprio browser.

    
risposta data 11.11.2015 - 21:13
fonte
3

TLSv1 funziona su quasi tutti i browser Web. Il problema principale si verificherà con IE su Windows XP.

Puoi testare il tuo livello SSL su ssllabs.com link e ti fornirà l'elenco di compatibilità del browser

Questa è la mia configurazione SSL di Apache:

SSLEngine on
SSLOptions +StrictRequire
SSLProxyEngine on

# HSTS
Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"

# Prevent Beast attack (requier !RC4 in SSLCipherSuite)
SSLHonorCipherOrder on

# Prevent Crime attack
SSLCompression off

# Prevent Poodle & Heartbleed (requier OpenSSL up to date) attacks
SSLProtocol -all +TLSv1 +TLSv1.1 +TLSv1.2
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4

Ottengo questo elenco di compatibilità (con una sicurezza A classificata):

    
risposta data 12.11.2015 - 12:18
fonte

Leggi altre domande sui tag