I am having trouble finding a list [of old browsers that only support TLS 1.0]
I problemi nel trovare un elenco adatto potrebbero essere in parte perché un elenco di questo tipo potrebbe essere grande, incompleto, cambiare frequentemente e potrebbe dover tenere conto di un numero molto elevato di plug-in e componenti aggiuntivi.
Come ha detto Tripehound in un commento. Un browser potrebbe non essere incluso in tale elenco poiché ha supporto per TLS 1.2 anche se il supporto per 1.1 e 1.2 è disabilitato per impostazione predefinita . Questo fa affidamento su un elenco più rischioso.
A seconda di ciò che stai facendo, potresti non aver bisogno di un elenco di browser (user agent?).
Se hai bisogno di capire quanti dei clienti di un server fanno affidamento su TLS 1.0, puoi abilitare la registrazione della versione di TLS in Apache e probabilmente in altri webserver ecc. Dopo un periodo adeguato (ad esempio una settimana), si otterrebbero delle buone statistiche sul numero di clienti interessati.
Spesso è possibile configurare web server e altri servizi per non supportare TLS 1.0 - bloccando così i browser che non supportano versioni più recenti.
Puoi utilizzare il nostro buon amico Posso usare , che ci dice che TLS v1.1 è supportato poiché:
Il supporto globale è del 95,61%. Può variare leggermente in base ai mercati di destinazione.
Quindi disabilitare TLS v1.0 significherebbe rifiutare HTTPS da un po 'oltre il 4% dei browser là fuori.
Probabilmente vorresti confrontarti con i tuoi dati personali per l'impatto sul tuo sito.
Tieni presente che ci sono molti altri parametri che influiscono sulla sicurezza, inclusi crittografie e varie altre impostazioni.
Mozilla ha pubblicato diversi profili TLS con vari compromessi di compatibilità / sicurezza. C'è anche uno strumento che fornirà la configurazione del server TLS per ciascuno di questi profili ( per Apache, Nginx, HAProxy).
La massima sicurezza ("moderna"), ma la più bassa compatibilità, ha il suo punto limite su Firefox 27, Chrome 30, IE 11 su Windows 7, Edge, Opera 17, Safari 9, Android 5.0 e Java 8.
Il livello intermedio ha il suo punto limite in Firefox 1, Chrome 1, IE 7, Opera 5 e Safari 1 (ma non supporta Windows XP).
Naturalmente, anche l'ultimo e il più grande hanno bisogno di supporto lato server!
I lab SSL hanno un elenco HTML .
Offrono anche un buon elenco JSON . TLS 1.0 sembra essere codificato come highestprotocol come 769 .
Usando PowerShell puoi analizzarlo in questo modo:
PS C:\> Invoke-WebRequest -Uri https://api.ssllabs.com/api/v3/getClients -OutFile getClients.json
PS C:\> Get-Content .\getClients.json | Out-String | ConvertFrom-Json | foreach {$_ | select *} | where {$_.highestprotocol -like "769"
} | select name, version, useragent, highestprotocol | sort name, version, useragent
name version userAgent
---- ------- ---------
Android 2.3.7 Mozilla/5.0 (Linux; U; Android 2.3.7; en-us; Genymotion ('Phone' version) Build/GWK74) AppleWebKit/533.1 (KHTML, like Gecko) Ver...
Android 4.0.4 Mozilla/5.0 (Linux; U; Android 4.0.4; en-us; Android SDK built for x86 Build/IMM76D) AppleWebKit/534.30 (KHTML, like Gecko) Vers...
Android 4.1.1 Mozilla/5.0 (Linux; U; Android 4.1.1; en-us; Nexus S - 4.1.1 - API 16 - 480x800 Build/JRO03S) AppleWebKit/534.30 (KHTML, like Ge...
Android 4.2.2 Mozilla/5.0 (Linux; U; Android 4.2.2; en-us; Nexus 4 - 4.2.2 - API 17 - 768x1280 Build/JDQ39E) AppleWebKit/534.30 (KHTML, like G...
Android 4.3 Mozilla/5.0 (Linux; U; Android 4.3; en-us; Nexus 4 - 4.3 - API 18 - 768x1280 Build/JLS36G) AppleWebKit/534.30 (KHTML, like Gecko...
Baidu Jan 2015 Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)
BingBot Dec 2013
BingPreview Dec 2013
BingPreview Jun 2014 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534+ (KHTML, like Gecko) BingPreview/1.0b
Firefox 10.0.12 ESR
Firefox 17.0.7 ESR
Firefox 21
Firefox 21
Firefox 22
Firefox 24
Firefox 24.2.0 ESR
Firefox 26
Googlebot Jun 2014 Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)
Googlebot Oct 2013
IE 10 Mozilla/5.0 (compatible; MSIE 10.0; Windows Phone 8.0; Trident/6.0; IEMobile/10.0; ARM; Touch; NOKIA; Lumia 925)
IE 7
IE 8
IE 8
IE 8
IE 8-10
IE 8-10 Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; Trident/6.0)
IE 9
Java 6u45
Java 7u25
OpenSSL 0.9.8y
Opera 12.15
Safari 5.1.9
Safari 6.0.4
Tor 17.0.9
Yahoo Slurp Oct 2013
YandexBot May 2014
(Non ho idea delle doppie voci per es. IE 8.)
Non sono sicuro se questo è ciò che stai cercando, ma se si tratta di fornire un bel messaggio di errore ai client non conformi potresti essere interessato a questa mia vecchia risposta: link
Questo articolo della Knowledge di SalesForce elenca il supporto TLS dei principali browser bene.
Per migliorare la sicurezza della cifratura, non dovresti semplicemente bloccare certe stringhe di user-agent, poiché il client (o forse anche un middleman) può forzare un downgrade ciphersuite anche nei browser più recenti e i browser possono inviare falsi user-agent. Non fidarti del client.
Il modo sicuro è bloccare completamente il traffico TLS 1.0. Ma non sarebbe essere molto user-friendly per farlo e lasciare che il browser gestisca il messaggio di errore .
Ciò che si vuole fare è consentire di stabilire una connessione, ma controllare la ciphersuite concordata prima di consegnare qualsiasi contenuto su di essa, e se TLS 1.0 viene utilizzato, visualizzare una pagina di errore descrittiva. ("La connessione non è sicura, molto probabilmente il tuo browser è troppo vecchio.") Se è possibile leggere la ciphersuite di una connessione https nel software del server web che usi, non posso dire.
Come altri già hanno scritto, perché vuoi quella lista? Se è per testare che il tuo sito blocca correttamente TLS 1.0, puoi ad es. usa FireFox e in about:config imposta sia security.tls.version.min che security.tls.version.max a 1.
Ora Firefox accetta solo TLS 1.0 e dovrebbe essere bloccato se lo si utilizza per accedere al proprio sito.
Presumo che altri browser abbiano impostazioni simili.
Anche se sono d'accordo con le altre risposte che disabilitare il lato server TLS 1.0 è il modo migliore per spegnerlo e che i log del server sono le più adatte a misurare l'impatto, sapendo che cosa è importante escludere dal tuo servizio web, in quanto potresti avere casi d'uso speciali.
Posso usare e Labs SSL sono già stati citati, ma Vorrei aggiungere Wikipedia alla lista. Nella mia esperienza è una delle liste più complete per quanto riguarda la compatibilità con i browser SSL / TLS.
Inoltre, non dimenticare di disabilitare suite di crittografia non necessarie. Questo potrebbe già soddisfare le esigenze di sicurezza, senza disabilitare una versione completa del protocollo. Quando si disattiva TLS 1.0, è necessario disabilitare anche le suite di crittografia che funzionano solo con esso.
Prima di disabilitare (o abilitare) qualsiasi cosa assicurati di sapere cosa stai facendo. Sempre leggi raccomandazioni prima cambiando cose e assicurati di testare la configurazione .
Leggi altre domande sui tag web-browser tls