Перенаправьте пользователей, соединяющихся с SSLv3 в nginx
Я надеялся отбрасывать всю поддержку должного SSLv3 ПУДЕЛЮ, но нашел, что существуют все еще некоторые люди, происходящие из старых браузеров для подобных IE на Windows XP.
Как я обнаруживаю этих SSLv3-единственных пользователей из nginx и перенаправляю их к некоторой странице помощника с дальнейшими инструкциями?
Мне определенно не нужны никакие обходные решения для хранения этих пользователей, использующих небезопасные браузеры.
И я буду особенно счастлив, если я мог бы сделать то же самое ко всем non-SNI браузерам: SSLv3 не идет с SNI, поэтому если я мог бы перенаправить non-SNI браузеры, он решит проблему SSLv3 также.
Не говоря уже о том, чтобы оставить SSLv3 включенным, вы можете просто указать nginx на перенаправление в зависимости от того, используется ли протокол SSLv3:
if ($ssl_protocol = SSLv3) {
rewrite ^ /poodle-doodle.html;
}
Вы можете проверить это из оболочки:
$ wget --secure-protocol=SSLv3 -O - $SERVER_URL
# or
$ curl -v -3 $SERVER_URL
Я не эксперт в конфигурации nginx, но должна быть возможность иметь настройку для определенного имени хоста и, кроме того, настройку по умолчанию для всех других запросов. Настройка для хоста на основе имени будет автоматически использоваться с https, если клиент использует SNI и имя хоста, указанное в SNI, соответствует конфигурации. Во всех других случаях, это другое имя хоста, клиенты TLS без SNI и клиенты с SSL 3.0 (который не поддерживает SNI) используется настройка по умолчанию, чтобы вы могли обслуживать там различную информацию. Затем эта настройка по умолчанию может выдавать все предупреждения, которые вы хотите выдавать старым клиентам.
Таким образом, вы также можете использовать разные сертификаты, например, предоставить всем клиентам SNI сертификат, подписанный с помощью SHA-256, а другим только один, подписанный с помощью SHA- 1, потому что эти старые клиенты могут еще не поддерживать SHA-256.
Изменить: согласно комментариям Ксавьера Лукаса он будет использовать только настройки сертификата из конфигурации по умолчанию (не-SNI), но другие настройки зависят от Заголовок хоста. Это означает, что нет другого корня документа для клиентов без SNI.