Una società di hosting ha il diritto di disabilitare tutti tranne TLS 1.2 come protocolli accettabili con SSL?

4

Ho ricevuto alcune lamentele da parte di visitatori di un sito che gestisco che non sono in grado di connettersi al loro sito web a causa delle impostazioni TLS del proprio browser. Se selezionato, i dispositivi in questione erano impostati per eseguire TLS 1.1.

  • È comune che i client non abbiano TLS 1.2 o non lo disabilitino nel 2017?
  • Un web server LAMP può essere configurato per gestire TLS 1.1, oltre a offrire il 1.2 più sicuro?

Sto considerando di cambiare provider di hosting che è più compatibile.

    
posta oli2020 11.10.2017 - 21:13
fonte

2 risposte

2
Is it common for clients to not have TLS 1.2 or have it disabled in 2017?

Per le versioni precedenti di Internet Explorer (8,9,10 su Windows 7), sì in base a questo: link

Queste vecchie versioni di IE sono purtroppo ancora relativamente comuni, quindi il provider di hosting potrebbe essere un po 'troppo aggressivo nella sua politica.

Can a LAMP Webserver be patched to handle 1.1 TLS, alongside offering the more secure 1.2?

Tutto è possibile se hai abbastanza controllo. Sembra che tu stia utilizzando un ambiente condiviso piuttosto che un server dedicato. In un ambiente condiviso, in genere non otterrai il livello di controllo desiderato.

Prima di passare a un ambiente dedicato, devi capire che è un'arma a doppio taglio. Un ambiente di hosting gestito significa che il provider di hosting gestisce tutto, inclusi i problemi di sicurezza. Normalmente un server dedicato significa che devi farlo.

    
risposta data 11.10.2017 - 21:58
fonte
3

Is it common for clients to not have TLS 1.2 or have it disabled in 2017?

Tutti i moderni client TLS supportano TLS 1.2. Non è così comune che un client supporta TLS 1.1 ma non TLS 1.2 perché la maggior parte dei principali stack TLS come OpenSSL (Unix, Android), SChannel (Windows) o NSS (Firefox, Chrome precedente) hanno iniziato a supportare TLS 1.1 e TLS 1.2 a circa lo stesso tempo. Un motivo per questo è che TLS 1.1 è stato standardizzato nel 2006 e TLS 1.2 2008, cioè poco dopo e la maggior parte degli stack TLS non ha iniziato a supportare nessuno di questi protocolli fino al 2012..2014 quindi li hanno implementati entrambi contemporaneamente.

È ancora comune che alcuni client non supportino né TLS 1.1 né TLS 1.2 (Android precedente, Windows precedente) ma supportare TLS 1.1 e non TLS 1.2 è raro.

Sul lato server la maggior parte dei siti offre TLS 1.0, TLS 1.1 e TLS 1.2 mentre alcuni siti con requisiti di sicurezza più elevati (come API di pagamento Paypal) richiedono almeno TLS 1.2.

Can a LAMP Webserver be patched to handle 1.1 TLS, alongside offering the more secure 1.2?

Se hai il pieno controllo del server (che di solito richiede il root sul sistema) dovresti essere in grado di abilitare TLS 1.0 e TLS 1.1 e anche solo TLS 1.1 insieme a TLS 1.2. Se non hai il pieno controllo e condividi solo lo stesso server web con altri utenti, non puoi farlo.

    
risposta data 11.10.2017 - 21:26
fonte

Leggi altre domande sui tag