我只是 HTTPS 站点上 SSL/TLS 协议的众多用户之一。
出于良好的安全原因,我想将 TLS 协商限制为使用 AES 密码的最低 TLS1.1。SSLLabs 和 OWASP 提供了原因。
但我知道旧浏览器(WinXP 上的 IE 等)在连接到我的网站时会出现问题(协商将失败,因此不会显示任何网站)。
我的问题是,我宁愿为我的访问者提供一个关于更新浏览器的后备页面(在不安全的线路上),而不是让他们对发生的事情一无所知(并在帮助台上接到大量关于此的电话)。
当然,可以选择启用旧协议和密码,然后将它们放入某个隔离站点,如下面的链接所示。然而,这感觉像是一种解决方法,其中涉及到大量额外的工作设备。 https://devcentral.f5.com/questions/how-do-i-restrict-tls-negotiation-to-minimum-tls-v12
我的问题是:
笔记。我见过实际上允许在 http 上连接的网站,例如 http://example[.]com:443/ 并在这种情况下提供消息,您应该使用 https 协议重试。类似的东西;)。