Tengo un escenario en el que un sitio web seguro con una calificación general de A ssllabs está recibiendo algunas advertencias debido a la falta de soporte para navegadores que no son SNI.
- Android 2.3.7 Certificado incorrecto porque este cliente no admite SNI
- IE 6 / XP Conexión cerrada del servidor
- IE 8 / XP Certificado incorrecto porque este cliente no admite SNI
- Java 6u45 El cliente no admite los parámetros DH > 1024 bits
Me dieron la idea (quizás no la mejor) de permitir que esos navegadores accedan al sitio web enviando las solicitudes a un backend secundario inseguro (no https) utilizando la información del agente de usuario http.
Entiendo que permitir que esos clientes accedan al sitio web sería una violación de la seguridad, pero al menos podrán ver el sitio web.
Entonces, mi pregunta es sobre una concepción de seguridad, ¿qué es peor / mejor? ¿Permitir que esos clientes accedan al sitio web incluso si esto implica un problema de seguridad o dejar de ofrecer soporte para esos navegadores?