如何配置 Azure 应用程序网关以重定向旧的 SSL 连接?
How can I configure Azure Application Gateway to redirect old SSL connections?
我有一个网站,我希望允许 SSL 访问所有内容,但 TLS 1.2 仅适用于 API,以及应用程序的任何敏感部分。
任何过时的客户端都应该转到错误页面,解释他们无法访问资源的原因,以及 "it's not us, its you" 关于过时浏览器的警告。
如何在 App Gateway 中配置此等效功能(存在于 Netscaler BTW 上)?
我记得我曾建议您在不同的线程上尝试。事后看来,我现在很后悔,因为文档没有提到任何检测 TLS 协议版本和采取自定义操作的能力。
然而,对于已经存在更长时间的东西,比如 nginx,这几乎是微不足道的:
if ($ssl_protocol != "TLSv1.2") {
return 302 https://example.com/outdated.html;
}
查看此主题以进行更广泛的讨论:
https://community.qualys.com/thread/12758
当然,您的方法的缺点是任何 PCI-ish 安全审计工具都会将您标记为 "insecure",因为您在 TLS 1.0 和 1.1 上握手。
无论做什么,都不要与 SSLv3 握手,not even once。
在其他新闻中,Citrix 似乎拥有自带许可证 NetScaler offering on Azure。
我有一个网站,我希望允许 SSL 访问所有内容,但 TLS 1.2 仅适用于 API,以及应用程序的任何敏感部分。
任何过时的客户端都应该转到错误页面,解释他们无法访问资源的原因,以及 "it's not us, its you" 关于过时浏览器的警告。
如何在 App Gateway 中配置此等效功能(存在于 Netscaler BTW 上)?
我记得我曾建议您在不同的线程上尝试。事后看来,我现在很后悔,因为文档没有提到任何检测 TLS 协议版本和采取自定义操作的能力。
然而,对于已经存在更长时间的东西,比如 nginx,这几乎是微不足道的:
if ($ssl_protocol != "TLSv1.2") {
return 302 https://example.com/outdated.html;
}
查看此主题以进行更广泛的讨论:
https://community.qualys.com/thread/12758
当然,您的方法的缺点是任何 PCI-ish 安全审计工具都会将您标记为 "insecure",因为您在 TLS 1.0 和 1.1 上握手。
无论做什么,都不要与 SSLv3 握手,not even once。
在其他新闻中,Citrix 似乎拥有自带许可证 NetScaler offering on Azure。