Bagi mereka yang tidak tahu apa itu Suche.org, itu adalah situs web yang memiliki peringkat A + sempurna pada SSL Labs di setiap kategori: (hasil Suche.org SSL Labs ). Saya mengetahui situs web ini ketika saya membuka tiket lain tentang sertifikat ECC yang tidak berfungsi di Chrome , dan salah satu responden menggunakan situs tersebut sebagai contoh.
Yang membingungkan saya adalah bahwa meskipun Protocol Support
bagian dari laporan mengatakan bahwa situs web hanya menggunakan TLSv1.2 ...
TLS 1.2 Yes
TLS 1.1 No
TLS 1.0 No
SSL 3 No
SSL 2 No
Itu jelas tidak terjadi karena di bawah Handshake Simulation
bagian ini, ini menampilkan bahwa beberapa klien lama yang disimulasikan menggunakan TLSv1.0 untuk menghubungkan ...
Android 4.0.4 EC 384 (SHA256) TLS 1.0 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA ECDH secp521r1 FS
Android 4.1.1 EC 384 (SHA256) TLS 1.0 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA ECDH secp521r1 FS
Android 4.2.2 EC 384 (SHA256) TLS 1.0 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA ECDH secp521r1 FS
Android 4.3 EC 384 (SHA256) TLS 1.0 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA ECDH secp521r1 FS
Android 4.4.2 EC 384 (SHA256) TLS 1.2 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 ECDH secp521r1 FS
Ini agak frustasi karena jika saya menonaktifkan TLSv1.0 di situs web pengujian saya seperti ...
# Apache example
SSLProtocol all -SSLv3 -SSLv2 -TLSv1
Menjalankan pemindaian Labs SSL di situs web pengujian saya menghasilkan yang berikut untuk beberapa klien lama:
Android 4.0.4 Server closed connection
Android 4.1.1 Server closed connection
Android 4.2.2 Server closed connection
Android 4.3 Server closed connection
Android 4.4.2 EC 384 (SHA256) TLS 1.2 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS
Bagaimana mungkin untuk secara bersamaan mengizinkan hanya koneksi TLSv1.2, namun mendukung klien yang lebih tua juga?
Jawaban:
Saya cukup yakin bahwa mereka sedang memeriksa kemampuan klien dan bertindak sesuai, seperti dijelaskan di utas yang terkait dengan jawaban @ Jeff .
Untuk mendapatkan gambaran bagaimana ini bisa terlihat secara detail, lihat ini . Ini menunjukkan implementasi yang dibuat dengan
HAProxy
untuk melayani klien yang berbeda, sertifikat yang berbeda, tergantung pada kemampuan mereka. Saya sudah melakukan copy / paste lengkap, untuk mencegah pembusukan tautan, dan karena saya pikir pertanyaan ini mungkin menarik di masa depan:sumber
Pertanyaan serupa ditanyakan di https://community.qualys.com/thread/16387
Saya pikir jawaban ini adalah solusinya:
sumber