Estoy buscando bloquear todos los navegadores antiguos que solo admiten TLS 1.0. Dado que TLS 1.0 está fuera del cumplimiento de PCI, es una medida de seguridad que quiero tomar. Pero estoy teniendo problemas para encontrar una lista de estos navegadores antiguos. ¿Alguien puede ayudar?
Tengo problemas para encontrar una lista [de navegadores antiguos que solo admiten TLS 1.0]
Los problemas para encontrar una lista adecuada pueden deberse en parte a que dicha lista puede ser grande, incompleta, cambiante con frecuencia y puede que tenga que tener en cuenta un gran número de complementos y complementos.
Como mencionó Tripehound en un comentario. Es posible que un navegador no esté en dicha lista porque tiene compatibilidad con TLS 1.2 , incluso si la compatibilidad con 1.1 y 1.2 está deshabilitada de forma predeterminada . Esto hace que confiar en una lista sea más riesgoso.
Dependiendo de lo que esté haciendo, es posible que no necesite una lista de navegadores (¿agentes de usuarios?).
Si necesita averiguar cuántos clientes de un servidor dependen de TLS 1.0, puede habilitar el registro de la versión TLS en Apache y probablemente en otros servidores web, etc. Después de un período adecuado (por ejemplo, una semana) usted tendría algunas buenas estadísticas sobre el número de clientes afectados.
A menudo es posible configure los servidores web y otros servicios para que no admitan TLS 1.0 , bloqueando así los navegadores que no admiten las versiones más recientes.
Puede usar nuestro buen amigo ¿Puedo usar , que nos dice que TLS v1.1 es compatible desde:
El soporte global es del 95.61%. Puede variar un poco en función de sus mercados objetivo.
Por lo tanto, deshabilitar TLS v1.0 significaría rechazar HTTPS de un poco más del 4% de los navegadores.
Probablemente desee comparar con sus propios Analytics para el impacto comercial en su propio sitio.
Tenga en cuenta que hay muchos otros parámetros que afectan la seguridad, incluidos los cifrados y otras configuraciones.
Mozilla publicó varios perfiles TLS con diversas compensaciones de compatibilidad / seguridad. También hay una herramienta que proporcionará la configuración del servidor TLS para cada uno de estos perfiles ( para Apache, Nginx, HAProxy).
La seguridad más alta ("moderna"), pero la compatibilidad más baja, tiene su punto de corte en Firefox 27, Chrome 30, IE 11 en Windows 7, Edge, Opera 17, Safari 9, Android 5.0 y Java 8.
El nivel intermedio tiene su punto de corte en Firefox 1, Chrome 1, IE 7, Opera 5 y Safari 1 (pero no es compatible con Windows XP).
Por supuesto, ¡lo último y lo mejor también necesita soporte del lado del servidor!
SSL labs tiene una lista de HTML .
También ofrecen una buena lista JSON . TLS 1.0 parece estar codificado como highestprotocol siendo 769 .
Usando PowerShell puedes analizarlo así:
PS C:\> Invoke-WebRequest -Uri https://api.ssllabs.com/api/v3/getClients -OutFile getClients.json
PS C:\> Get-Content .\getClients.json | Out-String | ConvertFrom-Json | foreach {$_ | select *} | where {$_.highestprotocol -like "769"
} | select name, version, useragent, highestprotocol | sort name, version, useragent
name version userAgent
---- ------- ---------
Android 2.3.7 Mozilla/5.0 (Linux; U; Android 2.3.7; en-us; Genymotion ('Phone' version) Build/GWK74) AppleWebKit/533.1 (KHTML, like Gecko) Ver...
Android 4.0.4 Mozilla/5.0 (Linux; U; Android 4.0.4; en-us; Android SDK built for x86 Build/IMM76D) AppleWebKit/534.30 (KHTML, like Gecko) Vers...
Android 4.1.1 Mozilla/5.0 (Linux; U; Android 4.1.1; en-us; Nexus S - 4.1.1 - API 16 - 480x800 Build/JRO03S) AppleWebKit/534.30 (KHTML, like Ge...
Android 4.2.2 Mozilla/5.0 (Linux; U; Android 4.2.2; en-us; Nexus 4 - 4.2.2 - API 17 - 768x1280 Build/JDQ39E) AppleWebKit/534.30 (KHTML, like G...
Android 4.3 Mozilla/5.0 (Linux; U; Android 4.3; en-us; Nexus 4 - 4.3 - API 18 - 768x1280 Build/JLS36G) AppleWebKit/534.30 (KHTML, like Gecko...
Baidu Jan 2015 Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)
BingBot Dec 2013
BingPreview Dec 2013
BingPreview Jun 2014 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534+ (KHTML, like Gecko) BingPreview/1.0b
Firefox 10.0.12 ESR
Firefox 17.0.7 ESR
Firefox 21
Firefox 21
Firefox 22
Firefox 24
Firefox 24.2.0 ESR
Firefox 26
Googlebot Jun 2014 Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)
Googlebot Oct 2013
IE 10 Mozilla/5.0 (compatible; MSIE 10.0; Windows Phone 8.0; Trident/6.0; IEMobile/10.0; ARM; Touch; NOKIA; Lumia 925)
IE 7
IE 8
IE 8
IE 8
IE 8-10
IE 8-10 Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; Trident/6.0)
IE 9
Java 6u45
Java 7u25
OpenSSL 0.9.8y
Opera 12.15
Safari 5.1.9
Safari 6.0.4
Tor 17.0.9
Yahoo Slurp Oct 2013
YandexBot May 2014
(No tengo idea acerca de las entradas dobles para, por ejemplo, IE 8)
No estoy seguro de si esto es lo que está buscando, pero si se trata de proporcionar un buen mensaje de error a los clientes que no cumplen, puede que le interese esta antigua respuesta mía: enlace
Este Knowledge Article de SalesForce enumera el soporte TLS de los principales navegadores bien.
Para mejorar la seguridad del cifrado, no solo debe bloquear ciertas cadenas de agente de usuario, ya que el cliente (o tal vez incluso un intermediario) también puede forzar una degradación del conjunto de cifrado en los navegadores más nuevos, y los navegadores pueden enviar agentes de usuario falsos. No confíes en el cliente.
La forma segura es bloquear el tráfico TLS 1.0 completamente. Pero no lo haría sea muy fácil de usar y deje que el navegador maneje el mensaje de error .
Lo que desea hacer es permitir el establecimiento de una conexión, pero verifique el conjunto de cifrado acordado antes de entregar cualquier contenido sobre él, y si se usa TLS 1.0, muestre una página de error descriptivo. ("La conexión es insegura, lo más probable es que su navegador sea demasiado antiguo".) No puedo decir si es posible leer el conjunto de cifrado de una conexión https en el software de servidor web que utiliza.
Como otros ya escribieron, ¿por qué quieres esa lista? Si es para probar que su sitio bloquea correctamente TLS 1.0, puede, por ejemplo, use FireFox y en about:config establezca tanto security.tls.version.min como security.tls.version.max en 1.
Ahora Firefox solo aceptará TLS 1.0 y debería bloquearse si lo usas para acceder a tu sitio.
Supongo que otros navegadores tienen una configuración similar.
Aunque estoy de acuerdo con las otras respuestas, deshabilitar el servidor TLS 1.0 es la mejor manera de apagarlo y que los registros del servidor son los más adecuados para medir el impacto, es importante saber qué excluir de su servicio web, ya que puede tener casos de uso especiales.
¿Puedo usar y SSL Labs ya se han mencionado, pero me gustaría agregar Wikipedia a la lista. En mi experiencia, es una de las listas más completas cuando se trata de la compatibilidad del navegador SSL / TLS.
Tampoco se olvide de desactivar las suites de cifrado innecesarias. Es posible que esto ya satisfaga las necesidades de seguridad, sin deshabilitar una versión de protocolo completa. Al desactivar TLS 1.0, también debe desactivar las suites de cifrado que solo funcionan con él.
Antes de desactivar (o habilitar) cualquier cosa, asegúrese de saber lo que está haciendo. Siempre read recomendaciones anterior changing cosas y asegúrese de probar su configuración .
Lea otras preguntas en las etiquetas web-browser tls