¿Hay una lista de navegadores antiguos que solo sean compatibles con TLS 1.0?

19

Estoy buscando bloquear todos los navegadores antiguos que solo admiten TLS 1.0. Dado que TLS 1.0 está fuera del cumplimiento de PCI, es una medida de seguridad que quiero tomar. Pero estoy teniendo problemas para encontrar una lista de estos navegadores antiguos. ¿Alguien puede ayudar?

    
pregunta Jason 09.01.2018 - 18:04
fuente

7 respuestas

50
  

Tengo problemas para encontrar una lista [de navegadores antiguos que solo admiten TLS 1.0]

Listas de navegadores con características específicas

Los problemas para encontrar una lista adecuada pueden deberse en parte a que dicha lista puede ser grande, incompleta, cambiante con frecuencia y puede que tenga que tener en cuenta un gran número de complementos y complementos.

Como mencionó Tripehound en un comentario. Es posible que un navegador no esté en dicha lista porque tiene compatibilidad con TLS 1.2 , incluso si la compatibilidad con 1.1 y 1.2 está deshabilitada de forma predeterminada . Esto hace que confiar en una lista sea más riesgoso.

Dependiendo de lo que esté haciendo, es posible que no necesite una lista de navegadores (¿agentes de usuarios?).

Predicción del impacto de la restricción de los navegadores que utilizan TLS 1.0

Si necesita averiguar cuántos clientes de un servidor dependen de TLS 1.0, puede habilitar el registro de la versión TLS en Apache y probablemente en otros servidores web, etc. Después de un período adecuado (por ejemplo, una semana) usted tendría algunas buenas estadísticas sobre el número de clientes afectados.

Evitar el uso de protocolos inseguros por los navegadores

A menudo es posible configure los servidores web y otros servicios para que no admitan TLS 1.0 , bloqueando así los navegadores que no admiten las versiones más recientes.

    
respondido por el RedGrittyBrick 09.01.2018 - 18:22
fuente
23

Puede usar nuestro buen amigo ¿Puedo usar , que nos dice que TLS v1.1 es compatible desde:

  • Chrome 22
  • Firefox 24
  • IE 11
  • Safari 7
  • Opera 12.1
  • iOS Safari 5.1

El soporte global es del 95.61%. Puede variar un poco en función de sus mercados objetivo.

Por lo tanto, deshabilitar TLS v1.0 significaría rechazar HTTPS de un poco más del 4% de los navegadores.

Probablemente desee comparar con sus propios Analytics para el impacto comercial en su propio sitio.

Tenga en cuenta que hay muchos otros parámetros que afectan la seguridad, incluidos los cifrados y otras configuraciones.

Mozilla publicó varios perfiles TLS con diversas compensaciones de compatibilidad / seguridad. También hay una herramienta que proporcionará la configuración del servidor TLS para cada uno de estos perfiles ( para Apache, Nginx, HAProxy).

La seguridad más alta ("moderna"), pero la compatibilidad más baja, tiene su punto de corte en Firefox 27, Chrome 30, IE 11 en Windows 7, Edge, Opera 17, Safari 9, Android 5.0 y Java 8.

El nivel intermedio tiene su punto de corte en Firefox 1, Chrome 1, IE 7, Opera 5 y Safari 1 (pero no es compatible con Windows XP).

Por supuesto, ¡lo último y lo mejor también necesita soporte del lado del servidor!

    
respondido por el jcaron 10.01.2018 - 11:18
fuente
8

Prueba la lista de SSL Labs

SSL labs tiene una lista de HTML .

También ofrecen una buena lista JSON . TLS 1.0 parece estar codificado como highestprotocol siendo 769 .

Usando PowerShell puedes analizarlo así:

PS C:\> Invoke-WebRequest -Uri https://api.ssllabs.com/api/v3/getClients -OutFile getClients.json
PS C:\> Get-Content .\getClients.json | Out-String | ConvertFrom-Json | foreach {$_ | select *} | where {$_.highestprotocol -like "769"
} | select name, version, useragent, highestprotocol | sort name, version, useragent

name        version     userAgent
----        -------     ---------
Android     2.3.7       Mozilla/5.0 (Linux; U; Android 2.3.7; en-us; Genymotion ('Phone' version) Build/GWK74) AppleWebKit/533.1 (KHTML, like Gecko) Ver...
Android     4.0.4       Mozilla/5.0 (Linux; U; Android 4.0.4; en-us; Android SDK built for x86 Build/IMM76D) AppleWebKit/534.30 (KHTML, like Gecko) Vers...
Android     4.1.1       Mozilla/5.0 (Linux; U; Android 4.1.1; en-us; Nexus S - 4.1.1 - API 16 - 480x800 Build/JRO03S) AppleWebKit/534.30 (KHTML, like Ge...
Android     4.2.2       Mozilla/5.0 (Linux; U; Android 4.2.2; en-us; Nexus 4 - 4.2.2 - API 17 - 768x1280 Build/JDQ39E) AppleWebKit/534.30 (KHTML, like G...
Android     4.3         Mozilla/5.0 (Linux; U; Android 4.3; en-us; Nexus 4 - 4.3 - API 18 - 768x1280 Build/JLS36G) AppleWebKit/534.30 (KHTML, like Gecko...
Baidu       Jan 2015    Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)
BingBot     Dec 2013
BingPreview Dec 2013
BingPreview Jun 2014    Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534+ (KHTML, like Gecko) BingPreview/1.0b
Firefox     10.0.12 ESR
Firefox     17.0.7 ESR
Firefox     21
Firefox     21
Firefox     22
Firefox     24
Firefox     24.2.0 ESR
Firefox     26
Googlebot   Jun 2014    Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)
Googlebot   Oct 2013
IE          10          Mozilla/5.0 (compatible; MSIE 10.0; Windows Phone 8.0; Trident/6.0; IEMobile/10.0; ARM; Touch; NOKIA; Lumia 925)
IE          7
IE          8
IE          8
IE          8
IE          8-10
IE          8-10        Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; Trident/6.0)
IE          9
Java        6u45
Java        7u25
OpenSSL     0.9.8y
Opera       12.15
Safari      5.1.9
Safari      6.0.4
Tor         17.0.9
Yahoo Slurp Oct 2013
YandexBot   May 2014

(No tengo idea acerca de las entradas dobles para, por ejemplo, IE 8)

Actualización: Redireccionamiento de cifrado

No estoy seguro de si esto es lo que está buscando, pero si se trata de proporcionar un buen mensaje de error a los clientes que no cumplen, puede que le interese esta antigua respuesta mía: enlace

    
respondido por el StackzOfZtuff 09.01.2018 - 20:26
fuente
4

Este Knowledge Article de SalesForce enumera el soporte TLS de los principales navegadores bien.

    
respondido por el waltonob 09.01.2018 - 18:11
fuente
3

Para mejorar la seguridad del cifrado, no solo debe bloquear ciertas cadenas de agente de usuario, ya que el cliente (o tal vez incluso un intermediario) también puede forzar una degradación del conjunto de cifrado en los navegadores más nuevos, y los navegadores pueden enviar agentes de usuario falsos. No confíes en el cliente.

La forma segura es bloquear el tráfico TLS 1.0 completamente. Pero no lo haría sea muy fácil de usar y deje que el navegador maneje el mensaje de error .

Lo que desea hacer es permitir el establecimiento de una conexión, pero verifique el conjunto de cifrado acordado antes de entregar cualquier contenido sobre él, y si se usa TLS 1.0, muestre una página de error descriptivo. ("La conexión es insegura, lo más probable es que su navegador sea demasiado antiguo".) No puedo decir si es posible leer el conjunto de cifrado de una conexión https en el software de servidor web que utiliza.

    
respondido por el Alexander 10.01.2018 - 12:25
fuente
3

Como otros ya escribieron, ¿por qué quieres esa lista? Si es para probar que su sitio bloquea correctamente TLS 1.0, puede, por ejemplo, use FireFox y en about:config establezca tanto security.tls.version.min como security.tls.version.max en 1.
Ahora Firefox solo aceptará TLS 1.0 y debería bloquearse si lo usas para acceder a tu sitio.

Supongo que otros navegadores tienen una configuración similar.

Referencia

    
respondido por el Jan Doggen 10.01.2018 - 14:50
fuente
2

Aunque estoy de acuerdo con las otras respuestas, deshabilitar el servidor TLS 1.0 es la mejor manera de apagarlo y que los registros del servidor son los más adecuados para medir el impacto, es importante saber qué excluir de su servicio web, ya que puede tener casos de uso especiales.

¿Puedo usar y SSL Labs ya se han mencionado, pero me gustaría agregar Wikipedia a la lista. En mi experiencia, es una de las listas más completas cuando se trata de la compatibilidad del navegador SSL / TLS.

Tampoco se olvide de desactivar las suites de cifrado innecesarias. Es posible que esto ya satisfaga las necesidades de seguridad, sin deshabilitar una versión de protocolo completa. Al desactivar TLS 1.0, también debe desactivar las suites de cifrado que solo funcionan con él.

Antes de desactivar (o habilitar) cualquier cosa, asegúrese de saber lo que está haciendo. Siempre read recomendaciones anterior changing cosas y asegúrese de probar su configuración .

    
respondido por el Timlukas B. 11.01.2018 - 10:23
fuente

Lea otras preguntas en las etiquetas