RedGrittyBrick

2018-01-09 23:22:58 UTC

view on stackexchange narkive permalink

Ho problemi a trovare un elenco [di vecchi browser che supportano solo TLS 1.0]

Elenchi di browser con caratteristiche specifiche

Difficoltà a trovare un elenco adatto potrebbe essere in parte dovuto al fatto che tale elenco potrebbe essere grande, incompleto, che cambia frequentemente e potrebbe dover tenere conto di un numero molto elevato di plug-in e componenti aggiuntivi.

Come menzionato da Tripehound in un commento. Un browser potrebbe non essere in tale elenco perché ha il supporto per TLS 1.2 anche se il supporto per 1.1 e 1.2 è disabilitato per impostazione predefinita . Questo rende più rischioso fare affidamento su un elenco.

A seconda di ciò che stai facendo, potresti non aver bisogno di un elenco di browser (agenti utente?).

Prevedere l'impatto del blocco dei browser che utilizzano TLS 1.0

Se devi calcolare quanti clienti di un server si affidano a TLS 1.0, puoi abilitare il log della versione TLS in Apache e probabilmente in altri server web ecc. Dopo un periodo adeguato (ad es. una settimana) potresti avere delle buone statistiche sul numero di clienti interessati.

Prevenzione dell'uso di protocolli non sicuri da parte dei browser

Spesso è possibile configurare i server web e altri servizi in modo che non supportino TLS 1.0, bloccando così i browser che non supportano le versioni più recenti.

Questo è il modo più completo ed efficiente per gestire questo problema.Disabilita 1.0 sul * server *

Presumo che l'OP stia cercando di determinare quanto grande sarebbe l'impatto della disabilitazione di 1.0 prima di lanciare l'interruttore.

@PeterGreen, ma anche l'analisi dell'impatto dovrebbe essere eseguita sul server.Guarda i log per vedere quando viene utilizzato TLS 1.0 e misura da quello, non da un elenco generico.

Quando viene utilizzato TLS 1.0 non è _necessariamente_ lo stesso di quando è l'unica opzione disponibile.Sebbene, sospetto, la maggior parte dei browser che _può_ fare meglio di 1.0 saranno configurati per farlo, potrebbero essercene alcuni che potrebbero fare di meglio ma non sono (attualmente) configurati per farlo.IIRC quando IE ha aggiunto per la prima volta la possibilità di eseguire TLS 1.1 / 1.2, le opzioni per utilizzarle erano disabilitate per impostazione predefinita (sebbene gli aggiornamenti successivi le abilitassero per impostazione predefinita).

@TripeHound Poiché l'handshake TLS avviato dal client è lo stesso per TLSv1 / TLSv1.1 / TLSv1.2 e consente al server di scegliere tra le suite di crittografia supportate dal client, il server dovrebbe sempre essere in grado di determinare se il client può supportare TLS> v1 a meno che il client non sia intenzionalmente evasivo al riguardo.Ad esempio, forzando la suite di cifratura `AES256-GCM-SHA384` (definita in TLSv1.2) a essere preferita su` AES256-SHA` (definita in SSLv3 / TLSv1) sul lato server finirà sempre per scegliere `AES256-GCM-SHA384`, dimostrando che il client supporta TLSv1.2.

Il tuo punto sul "supporto" rispetto a "essere abilitato" è, tuttavia, ben accolto perché ci sono molte installazioni MSIE compatibili con TLSv1.2 dove TLSv1.1 e TLSv1.2 sono semplicemente disabilitati nella configurazione - il che è un vero peccato.

jcaron

2018-01-10 16:18:40 UTC

view on stackexchange narkive permalink

Puoi utilizzare il nostro buon amico Posso usare, che ci dice che TLS v1.1 è supportato da:

Chrome 22
Firefox 24
IE 11
Safari 7
Opera 12.1
iOS Safari 5.1

Il supporto globale è del 95,61%. Può variare leggermente in base ai mercati di destinazione.

Quindi disabilitare TLS v1.0 significherebbe rifiutare HTTPS da poco più del 4% dei browser in circolazione.

Probabilmente vorrai confronta con i tuoi dati analitici per l'impatto aziendale sul tuo sito.

Tieni presente che esistono molti altri parametri che influiscono sulla sicurezza, inclusi cifrari e varie altre impostazioni.

Mozilla ha pubblicato diversi profili TLS con vari compromessi di compatibilità / sicurezza. C'è anche uno strumento che fornirà la configurazione del server TLS per ciascuno di questi profili (per Apache, Nginx, HAProxy).

La massima sicurezza ("moderna"), ma la più bassa compatibilità, ha il suo punto limite in Firefox 27, Chrome 30, IE 11 su Windows 7, Edge, Opera 17, Safari 9, Android 5.0 e Java 8.

Il livello intermedio ha il suo limite off point su Firefox 1, Chrome 1, IE 7, Opera 5 e Safari 1 (ma non supporta Windows XP).

Ovviamente, anche l'ultimo e il migliore ha bisogno del supporto lato server!

In realtà se non si utilizzano i flag, alcuni di essi possono essere abilitati, quindi dire che IE 11 non lo supporta sembra falso.

@Pureferret, Non sto dicendo che IE11 non lo supporta, sto dicendo che è supportato da IE11.Può effettivamente essere abilitato su versioni precedenti di IE, ma di solito ci si preoccupa dell'impatto sul pubblico in generale che non cambierà flag e impostazioni, utilizzandolo così come è configurato "out of the box".Le 3 versioni di IE su cui questo potrebbe essere fatto rappresentano circa lo 0,54%, quindi non sono sicuro che contino comunque.

@Pureferret non sappiamo ancora cosa volesse effettivamente l'OP ... Conoscere i browser che saranno interessati prima di interrompere TLS 1.0 o sapere come bloccare quei browser, quindi stiamo solo speculando ...

+1 per l'utilissimo elenco "Posso utilizzare", ma per le metriche, vorrei sottolineare che "Può variare di ** molto ** in base ai mercati di destinazione".Non sappiamo se OP sta parlando di un servizio specifico a livello mondiale o regionale (le metriche dell'Asia differiscono notevolmente dall'Europa occidentale, ad esempio), se si rivolge a un pubblico specifico, ecc.

Nella maggior parte dei casi le metriche sono abbastanza simili, anche se sembra esserci una grande eccezione per la Cina.Ma come affermato, l'ideale è utilizzare l'analisi del proprio sito in base all'elenco dei browser.Un sito destinato agli appassionati di sicurezza degli Stati Uniti ovviamente non avrà gli stessi risultati di un sito destinato alle nonne cinesi :-)

Ironia della sorte, il sito web CanIUse stesso [non supporta TLS v.1.1] (https://github.com/Fyrd/caniuse/issues/4198).

StackzOfZtuff

2018-01-10 01:26:11 UTC

view on stackexchange narkive permalink

Prova l'elenco SSL Labs

SSL Labs ha un elenco HTML.

Offrono anche un bel elenco JSON. TLS 1.0 sembra essere codificato come più alto protocollo essendo 769.

Usando PowerShell puoi analizzarlo in questo modo:

  PS C: \ > Invoke-WebRequest -Uri https://api.ssllabs.com/api/v3/getClients -OutFile getClients.jsonPS C: \ > Get-Content. \ GetClients.json | Out-String | ConvertFrom-Json | foreach {$ _ | seleziona *} | dove {$ _. più alto protocollo -come "769"} | selezionare nome, versione, agente utente, protocollo più alto | ordina nome, versione, useragentname versione userAgent ---- ------- --------- Android 2.3.7 Mozilla / 5.0 (Linux; U; Android 2.3.7; en-us; Genmony (Versione 'Telefono') Build / GWK74) AppleWebKit / 533.1 (KHTML, come Gecko) Ver ... Android 4.0.4 Mozilla / 5.0 (Linux; U; Android 4.0.4; en-us; Android SDK costruito per x86 Build / IMM76D) AppleWebKit / 534.30 (KHTML, come Gecko) Vers ... Android 4.1.1 Mozilla / 5.0 (Linux; U; Android 4.1.1; en-us; Nexus S - 4.1.1 - API 16 - 480x800 Build / JRO03S) AppleWebKit / 534.30 (KHTML, come Ge ... Android 4.2.2 Mozilla / 5.0 (Linux; U; Android 4.2.2; en-us; Nexus 4 - 4.2.2 - API 17 - 768x1280 Build / JDQ39E) AppleWebKit /534.30 (KHTML, come G ... Android 4.3 Mozilla / 5.0 (Linux; U; Android 4.3; en-us; Nexus 4 - 4.3 - API 18 - 768x1280 Build / JLS36G) AppleWebKit / 534.30 (KHTML, come Gecko .. .Baidu gennaio 2015 Mozilla / 5.0 (compatibile; Baiduspider / 2.0; + http: //www.baidu.com/search/spider.html) BingBot dicembre 2013Bin gPreview dicembre 2013BingPreview giugno 2014 Mozilla / 5.0 (Windows NT 6.1; WOW64) AppleWebKit / 534 + (KHTML, like Gecko) BingPreview / 1.0bFirefox 10.0.12 ESRFirefox 17.0.7 ESRFirefox 21Firefox 21Firefox 22Firefox 24Firefox 24.2.0 ESRFirefox 26Googlebot giugno 2014 Mozilla / 5.0 (compatibile; Googlebot / 2.1; + http www.google.com/bot.html)Googlebot ottobre 2013
IE 10 Mozilla / 5.0 (compatibile; MSIE 10.0; Windows Phone 8.0; Trident / 6.0; IEMobile / 10.0; ARM; Touch; NOKIA; Lumia 925) IE 7IE 8IE 8IE 8IE 8-10IE 8-10 Mozilla / 5.0 (compatibile; MSIE 10.0; Windows NT 6.1; Trident / 6.0) IE 9Java 6u45Java 7u25OpenSSL 0.9.8yOpera 12.15Safari 5.1.9Safari 6.0.4Tor 17.0.9Yahoo Slurp ottobre 2013YandexBot maggio 2014

(Non ho idea del doppio voci per es. IE 8.)

Update: Cipher redirect

Non sono sicuro se questo è ciò che stai cercando, ma se si tratta di fornire un bel messaggio di errore a client non conformi potresti essere interessato a questa mia vecchia risposta: https://serverfault.com/a/644167/253701

Tale elenco è impreciso / errato perché la versione TLS utilizzata non dipende esclusivamente dal browser.Più specificamente, IE 10 e versioni precedenti utilizzeranno la versione TLS massima supportata / abilitata dal sistema operativo e * può * avere TLS 1.2 abilitato ma non lo farà per impostazione predefinita.Allo stesso modo, le versioni precedenti di Java (OpenJDK 7?) Supportavano TLS 1.1 e 1.2 ma non lo avevano abilitato per impostazione predefinita - presumibilmente applicazioni e configurazioni specifiche lo avrebbero abilitato.

@Bob È improbabile che le risposte perfette siano necessarie qui.Come qualcuno ha sottolineato, per ottenere la conformità PCI è sufficiente disabilitare TLS 1.0.Più probabilmente la domanda riguarda l'impatto della disabilitazione di TLS 1.0, che richiede solo una buona risposta, non perfetta.

Prova un giorno "invoke-restmethod".Potrebbe farti risparmiare un po 'di digitazione per l'analisi json.

waltonob

2018-01-09 23:11:55 UTC

view on stackexchange narkive permalink

Questo articolo della conoscenza di SalesForce elenca bene il supporto TLS dei principali browser.

Per essere onesti, la domanda richiede un elenco e pubblicare quell'elenco qui non è molto utile.Sebbene la risposta sia non utilizzare un elenco, questo risponde ragionevolmente alla domanda.

Alexander

2018-01-10 17:25:00 UTC

view on stackexchange narkive permalink

Per migliorare la sicurezza della cifratura, non dovresti semplicemente bloccare alcune stringhe dell'agente utente, poiché il client (o forse anche un intermediario) può forzare un downgrade della suite cifrata anche nei browser più recenti, e i browser possono inviare agenti utente fasulli. Non fidarti del client.

Il modo sicuro è bloccare completamente il traffico TLS 1.0. Ma non sarebbe molto intuitivo farlo e lasciare che il browser gestisca il messaggio di errore.

Quello che vuoi fare è consentire di stabilire una connessione, ma controlla ciphersuite prima di distribuire qualsiasi contenuto su di esso e, se viene utilizzato TLS 1.0, visualizzare una pagina di errore descrittiva. ("La connessione non è sicura, molto probabilmente il tuo browser è troppo vecchio.") Se la lettura della suite di cifratura di una connessione https è possibile nel software del server web che utilizzi, non posso dire.

user13695

2018-01-10 19:50:43 UTC

view on stackexchange narkive permalink

Come altri hanno già scritto, perché vuoi quell'elenco? Se è per verificare che il tuo sito blocchi correttamente TLS 1.0, puoi ad es. usa FireFox e in about: config imposta sia security.tls.version.min e security.tls.version.max su 1.
Ora Firefox accetterà solo TLS 1.0 e dovrebbe essere bloccato se lo utilizzi per accedere al tuo sito.

Presumo che altri browser abbiano impostazioni simili.

Riferimenti

Timlukas B.

2018-01-11 15:23:40 UTC

view on stackexchange narkive permalink

Anche se sono d'accordo con le altre risposte che la disabilitazione di TLS 1.0 lato server è il modo migliore per spegnerlo e che i log del server sono più adatti per misurare l'impatto, sapendo da cosa si esclude il tuo servizio web è importante, poiché potresti avere casi d'uso speciali.

Posso usare e SSL Labs sono già stati menzionati, ma Vorrei aggiungere Wikipedia all'elenco. Nella mia esperienza è uno degli elenchi più completi per quanto riguarda la compatibilità del browser SSL / TLS.

Inoltre non dimenticare di disabilitare le suite di cifratura non necessarie. Ciò potrebbe già soddisfare le esigenze di sicurezza, senza disabilitare una versione completa del protocollo. Quando disattivi TLS 1.0 dovresti anche disabilitare le suite di cifratura che funzionano solo con esso.

Prima di disabilitare (o abilitare) qualcosa assicurati di sapere cosa stai facendo. sempre leggi consigli prima cambia cose e fai assicurati di testare la tua configurazione.

Professor Falken

2019-10-10 03:03:19 UTC

view on stackexchange narkive permalink

L'università di Warwick nel Regno Unito ha creato una grande pagina di aiuto su questo, ha elenchi di quali dispositivi funzioneranno e non funzioneranno dopo aver rimosso TLS 1.0 e 1.1. Dai un'occhiata:

https://warwick.ac.uk/services/its/servicessupport/web/sign-on/help/tls1-eol/

Hanno pagine secondarie nella parte superiore per ciascun sistema operativo e cosa è supportato.

Nella maggior parte dei casi, l'esecuzione di Firefox o Chrome ti fornirà un nuovo SSL, anche su vecchi dispositivi / sistemi operativi. Altrimenti, TL; DR è che Windows 7 e XP rimangono non supportati, Windows 8 funziona con IE11 installato. Mac OS Sierra (10.12) e versioni successive funzionano con Safari. iOS 9+ funziona, quelli meno recenti no. Android 5.0 Lollipop e versioni successive funzionano, Kitkat e versioni precedenti no.