Обратный прокси на ClientHello с плохой безопасностью (например, WinXP)
XP кажется очень веселой, в наши дни она связана с безопасностью, особенно с учетом того, что функции безопасности, поддерживаемые XP DOES, постепенно исчезают. для всех тех, кто хочет отказаться от XP, всегда есть проблема, что люди не смогут получить доступ к сайту, тем более что Google предпочитает HTTPS, теперь они, вероятно, ссылаются на сайты HTTPS, которые могут легко не работать, если они ценят безопасность больше, чем XP.
у них, по-видимому, нет шансов дать пользователю предупреждение об обновлении или подобное, и вот вопрос, который пытается решить эту проблему:
возможно ли обратный прокси-сервер с "плохой" безопасностью на основе их clienthello, чтобы они могли быть внутренне перенаправлены на дополнительный сервер со своим собственным сертификатом (например, сертификат SAH1, чтобы его могли видеть даже старые андроиды и XP), который может иметь предупреждение об обновлении, чтобы люди, по крайней мере, знали, что происходит, и провоцировали их с помощью безопасного и правильного использования сайта (например, с Firefox) и объяснения, почему это необходимо, без ущерба для безопасности основной системы.
2 ответа
Весь прокси и предварительный осмотр не нужны.
- Вы разрешаете на сервере также менее безопасные комплекты и протоколы.
- На следующем шаге вы проверяете, какой ciphersuite был согласован (возможно в java и php), и в зависимости от комплекта вы показываете большой красный флаг Alert.
С помощью проверки приветствия клиента вы можете ограничить использование некоторых известных ssl-отпечатков клиентов.
Я вижу, что в PHP доступно много информации ssl: http://www.eschrade.com/page/what-ssl-_server-variables-are-available-in-php/ С Java я имею в виду такие системы, как tomcat / jetty и т. Д.,
Javascript на стороне клиента. А дополнительный прокси для перемещения ботов на другой сервер глуп, потому что он мог бы, если бы вы могли обнаружить ботов.