Esiste un elenco di vecchi browser che supportano solo TLS 1.0?

19

Sto cercando di bloccare tutti i vecchi browser che supportano solo TLS 1.0. Poiché TLS 1.0 è fuori dalla conformità PCI, è una misura di sicurezza che voglio prendere. Ma ho difficoltà a trovare un elenco di questi vecchi browser. Qualcuno può aiutarti?

    
posta Jason 09.01.2018 - 18:04
fonte

7 risposte

50

I am having trouble finding a list [of old browsers that only support TLS 1.0]

Elenco di browser con funzioni specifiche

I problemi nel trovare un elenco adatto potrebbero essere in parte perché un elenco di questo tipo potrebbe essere grande, incompleto, cambiare frequentemente e potrebbe dover tenere conto di un numero molto elevato di plug-in e componenti aggiuntivi.

Come ha detto Tripehound in un commento. Un browser potrebbe non essere incluso in tale elenco poiché ha supporto per TLS 1.2 anche se il supporto per 1.1 e 1.2 è disabilitato per impostazione predefinita . Questo fa affidamento su un elenco più rischioso.

A seconda di ciò che stai facendo, potresti non aver bisogno di un elenco di browser (user agent?).

Previsione dell'impatto dei browser di esclusione che utilizzano TLS 1.0

Se hai bisogno di capire quanti dei clienti di un server fanno affidamento su TLS 1.0, puoi abilitare la registrazione della versione di TLS in Apache e probabilmente in altri webserver ecc. Dopo un periodo adeguato (ad esempio una settimana), si otterrebbero delle buone statistiche sul numero di clienti interessati.

Prevenzione dell'uso di protocolli non sicuri dai browser

Spesso è possibile configurare web server e altri servizi per non supportare TLS 1.0 - bloccando così i browser che non supportano versioni più recenti.

    
risposta data 09.01.2018 - 18:22
fonte
23

Puoi utilizzare il nostro buon amico Posso usare , che ci dice che TLS v1.1 è supportato poiché:

  • Chrome 22
  • Firefox 24
  • IE 11
  • Safari 7
  • Opera 12.1
  • iOS Safari 5.1

Il supporto globale è del 95,61%. Può variare leggermente in base ai mercati di destinazione.

Quindi disabilitare TLS v1.0 significherebbe rifiutare HTTPS da un po 'oltre il 4% dei browser là fuori.

Probabilmente vorresti confrontarti con i tuoi dati personali per l'impatto sul tuo sito.

Tieni presente che ci sono molti altri parametri che influiscono sulla sicurezza, inclusi crittografie e varie altre impostazioni.

Mozilla ha pubblicato diversi profili TLS con vari compromessi di compatibilità / sicurezza. C'è anche uno strumento che fornirà la configurazione del server TLS per ciascuno di questi profili ( per Apache, Nginx, HAProxy).

La massima sicurezza ("moderna"), ma la più bassa compatibilità, ha il suo punto limite su Firefox 27, Chrome 30, IE 11 su Windows 7, Edge, Opera 17, Safari 9, Android 5.0 e Java 8.

Il livello intermedio ha il suo punto limite in Firefox 1, Chrome 1, IE 7, Opera 5 e Safari 1 (ma non supporta Windows XP).

Naturalmente, anche l'ultimo e il più grande hanno bisogno di supporto lato server!

    
risposta data 10.01.2018 - 11:18
fonte
8

Prova l'elenco Labs SSL

I lab SSL hanno un elenco HTML .

Offrono anche un buon elenco JSON . TLS 1.0 sembra essere codificato come highestprotocol come 769 .

Usando PowerShell puoi analizzarlo in questo modo:

PS C:\> Invoke-WebRequest -Uri https://api.ssllabs.com/api/v3/getClients -OutFile getClients.json
PS C:\> Get-Content .\getClients.json | Out-String | ConvertFrom-Json | foreach {$_ | select *} | where {$_.highestprotocol -like "769"
} | select name, version, useragent, highestprotocol | sort name, version, useragent

name        version     userAgent
----        -------     ---------
Android     2.3.7       Mozilla/5.0 (Linux; U; Android 2.3.7; en-us; Genymotion ('Phone' version) Build/GWK74) AppleWebKit/533.1 (KHTML, like Gecko) Ver...
Android     4.0.4       Mozilla/5.0 (Linux; U; Android 4.0.4; en-us; Android SDK built for x86 Build/IMM76D) AppleWebKit/534.30 (KHTML, like Gecko) Vers...
Android     4.1.1       Mozilla/5.0 (Linux; U; Android 4.1.1; en-us; Nexus S - 4.1.1 - API 16 - 480x800 Build/JRO03S) AppleWebKit/534.30 (KHTML, like Ge...
Android     4.2.2       Mozilla/5.0 (Linux; U; Android 4.2.2; en-us; Nexus 4 - 4.2.2 - API 17 - 768x1280 Build/JDQ39E) AppleWebKit/534.30 (KHTML, like G...
Android     4.3         Mozilla/5.0 (Linux; U; Android 4.3; en-us; Nexus 4 - 4.3 - API 18 - 768x1280 Build/JLS36G) AppleWebKit/534.30 (KHTML, like Gecko...
Baidu       Jan 2015    Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)
BingBot     Dec 2013
BingPreview Dec 2013
BingPreview Jun 2014    Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534+ (KHTML, like Gecko) BingPreview/1.0b
Firefox     10.0.12 ESR
Firefox     17.0.7 ESR
Firefox     21
Firefox     21
Firefox     22
Firefox     24
Firefox     24.2.0 ESR
Firefox     26
Googlebot   Jun 2014    Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)
Googlebot   Oct 2013
IE          10          Mozilla/5.0 (compatible; MSIE 10.0; Windows Phone 8.0; Trident/6.0; IEMobile/10.0; ARM; Touch; NOKIA; Lumia 925)
IE          7
IE          8
IE          8
IE          8
IE          8-10
IE          8-10        Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; Trident/6.0)
IE          9
Java        6u45
Java        7u25
OpenSSL     0.9.8y
Opera       12.15
Safari      5.1.9
Safari      6.0.4
Tor         17.0.9
Yahoo Slurp Oct 2013
YandexBot   May 2014

(Non ho idea delle doppie voci per es. IE 8.)

Aggiornamento: reindirizzamento di crittografia

Non sono sicuro se questo è ciò che stai cercando, ma se si tratta di fornire un bel messaggio di errore ai client non conformi potresti essere interessato a questa mia vecchia risposta: link

    
risposta data 09.01.2018 - 20:26
fonte
4

Questo articolo della Knowledge di SalesForce elenca il supporto TLS dei principali browser bene.

    
risposta data 09.01.2018 - 18:11
fonte
3

Per migliorare la sicurezza della cifratura, non dovresti semplicemente bloccare certe stringhe di user-agent, poiché il client (o forse anche un middleman) può forzare un downgrade ciphersuite anche nei browser più recenti e i browser possono inviare falsi user-agent. Non fidarti del client.

Il modo sicuro è bloccare completamente il traffico TLS 1.0. Ma non sarebbe essere molto user-friendly per farlo e lasciare che il browser gestisca il messaggio di errore .

Ciò che si vuole fare è consentire di stabilire una connessione, ma controllare la ciphersuite concordata prima di consegnare qualsiasi contenuto su di essa, e se TLS 1.0 viene utilizzato, visualizzare una pagina di errore descrittiva. ("La connessione non è sicura, molto probabilmente il tuo browser è troppo vecchio.") Se è possibile leggere la ciphersuite di una connessione https nel software del server web che usi, non posso dire.

    
risposta data 10.01.2018 - 12:25
fonte
3

Come altri già hanno scritto, perché vuoi quella lista? Se è per testare che il tuo sito blocca correttamente TLS 1.0, puoi ad es. usa FireFox e in about:config imposta sia security.tls.version.min che security.tls.version.max a 1.
Ora Firefox accetta solo TLS 1.0 e dovrebbe essere bloccato se lo si utilizza per accedere al proprio sito.

Presumo che altri browser abbiano impostazioni simili.

Riferimento

    
risposta data 10.01.2018 - 14:50
fonte
2

Anche se sono d'accordo con le altre risposte che disabilitare il lato server TLS 1.0 è il modo migliore per spegnerlo e che i log del server sono le più adatte a misurare l'impatto, sapendo che cosa è importante escludere dal tuo servizio web, in quanto potresti avere casi d'uso speciali.

Posso usare e Labs SSL sono già stati citati, ma Vorrei aggiungere Wikipedia alla lista. Nella mia esperienza è una delle liste più complete per quanto riguarda la compatibilità con i browser SSL / TLS.

Inoltre, non dimenticare di disabilitare suite di crittografia non necessarie. Questo potrebbe già soddisfare le esigenze di sicurezza, senza disabilitare una versione completa del protocollo. Quando si disattiva TLS 1.0, è necessario disabilitare anche le suite di crittografia che funzionano solo con esso.

Prima di disabilitare (o abilitare) qualsiasi cosa assicurati di sapere cosa stai facendo. Sempre leggi raccomandazioni prima cambiando cose e assicurati di testare la configurazione .

    
risposta data 11.01.2018 - 10:23
fonte

Leggi altre domande sui tag