Tenemos un sitio web público de comercio electrónico. Nuestro proveedor de pago con tarjeta de crédito nos ha dicho que ya no admitirá el cifrado RC4. Dijeron que los usuarios con navegadores más antiguos pueden o no pueden realizar pedidos en nuestro sitio.
Si deshabilitamos SSLv3 en nuestro sitio web, ¿qué pasará con los usuarios con un navegador más antiguo cuando intenten acceder a las páginas HTTPS?
Si deshabilitas SSLv3 en tu sitio, los navegadores más antiguos que no admiten TLSv1 o superior no podrán conectarse a tu sitio mediante SSL / TLS.
Habiendo dicho eso, SSLv3 ha estado en desuso por algún tiempo, gracias a POODLE . Como resultado, muchos sitios web que emplean SSL / TLS han dejado de soportar SSLv3 por un tiempo. Por lo tanto, es probable que los usuarios que aún utilizan navegadores antiguos que no admiten TLSv1.0 o superior tengan problemas para conectarse a muchos sitios mediante SSL / TLS (además del suyo si ha desactivado SSLv3).
De hecho, además de que la industria de tarjetas de pago (PCI) requiere que los sitios que aceptan información de la tarjeta deshabiliten SSLv3, están en el proceso de exigir que estos sitios también elimina el soporte para TLSv1.0 . Pronto, todos los sitios que acepten la información de la tarjeta deberán ser compatibles con TLSv1.1 o superior.
Editar: consulte esta página de Wikipedia para obtener una buena referencia sobre los protocolos SSL / TLS compatibles con varios navegadores.
Es difícil saber exactamente qué sucederá sin saber exactamente qué es el resto de su configuración SSL y qué protocolos está admitiendo. Pero el resultado más probable es que IE6 no funcionará, y una versión muy antigua de Java no funcionará. En general, eso no es un gran problema para la mayoría de las personas, ya que IE6 está muerto y enterrado. Todo lo demás es compatible con al menos TLS 1, que ha existido desde 1999.
¿Por qué adivinar si? Coloque una configuración de prueba en un servidor que se enfrenta públicamente y apunte la prueba de laboratorios de SSL en ella . Entre otras cosas, este sitio realizará simulaciones de diferentes handshakes de navegadores con su servidor. Es probable que descubras algunos otros problemas que puedan necesitar alguna limpieza.
El Netscaler y otros balanceadores de carga tienen la capacidad de redirigir a los clientes SSL más antiguos a una página web que le indica al usuario final que actualice su navegador.
TLSv1 funciona en casi todos los navegadores web. El problema principal se producirá con IE en Windows XP.
Puede probar su nivel de SSL en ssllabs.com enlace y le dará la lista de compatibilidad del navegador
Esta es la configuración SSL de mi Apache:
SSLEngine on
SSLOptions +StrictRequire
SSLProxyEngine on
# HSTS
Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"
# Prevent Beast attack (requier !RC4 in SSLCipherSuite)
SSLHonorCipherOrder on
# Prevent Crime attack
SSLCompression off
# Prevent Poodle & Heartbleed (requier OpenSSL up to date) attacks
SSLProtocol -all +TLSv1 +TLSv1.1 +TLSv1.2
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4
Obtengo esta lista de compatibilidad (con una clasificación de seguridad A):
Lea otras preguntas en las etiquetas tls