我希望阻止所有仅支持 TLS 1.0 的旧浏览器。由于 TLS 1.0 不符合 PCI 合规性,这是我想要采取的安全措施。但是我很难找到这些旧浏览器的列表。任何人都可以帮忙吗?
是否有仅支持 TLS 1.0 的旧浏览器列表?
信息安全
tls
网页浏览器
2021-08-09 06:11:38
4个回答
我无法找到 [仅支持 TLS 1.0 的旧浏览器的列表]
具有特定功能的浏览器列表
找不到合适的列表可能部分是因为这样的列表可能很大、不完整、经常更改,并且可能需要考虑大量的插件和插件。
正如Tripehound在评论中提到的那样。浏览器可能不在此类列表中,因为它支持TLS 1.2 ,即使默认禁用对 1.1 和 1.2 的支持。这使得依赖列表的风险更大。
根据您在做什么,您可能不需要浏览器列表(用户代理?)。
预测禁止使用 TLS 1.0 的浏览器的影响
如果您需要计算出有多少服务器的客户依赖于 TLS 1.0,您可以在 Apache以及可能在其他网络服务器等中启用 TLS 版本日志记录。经过一段合适的时间(例如一周)后,您将有一些关于数量的良好统计数据受影响的客户。
防止浏览器使用不安全的协议
通常可以将Web 服务器和其他服务配置为不支持 TLS 1.0,从而阻止不支持更新版本的浏览器。
您可以使用我们的好朋友Can I Use,它告诉我们支持 TLS v1.1,因为:
- 铬 22
- 火狐 24
- 即 11
- 野生动物园 7
- 歌剧 12.1
- iOS Safari 5.1
全球支持率为 95.61%。根据您的目标市场,它可能会有所不同。
所以禁用 TLS v1.0 意味着拒绝 HTTPS 来自超过 4% 的浏览器。
您可能希望与自己的 Analytics 进行比较,以了解对您自己网站的业务影响。
请注意,还有许多其他参数会影响安全性,包括密码和各种其他设置。
Mozilla 发布了几个具有不同兼容性/安全性权衡的 TLS 配置文件。还有一个工具可以为每个配置文件(用于 Apache、Nginx、HAProxy)提供 TLS 服务器配置。
最高的安全性(“现代”),但最低的兼容性,在 Firefox 27、Chrome 30、Windows 7 上的 IE 11、Edge、Opera 17、Safari 9、Android 5.0 和 Java 8 有其分界点。
中间级别的分界点是 Firefox 1、Chrome 1、IE 7、Opera 5 和 Safari 1(但不支持 Windows XP)。
当然,最新最好的也需要服务器端的支持!
试试 SSL Labs 列表
SSL 实验室有一个HTML 列表。
他们还提供了一个不错的JSON 列表。TLS 1.0 似乎被编码highestprotocol为769.
使用 PowerShell 你可以像这样解析它:
PS C:\> Invoke-WebRequest -Uri https://api.ssllabs.com/api/v3/getClients -OutFile getClients.json
PS C:\> Get-Content .\getClients.json | Out-String | ConvertFrom-Json | foreach {$_ | select *} | where {$_.highestprotocol -like "769"
} | select name, version, useragent, highestprotocol | sort name, version, useragent
name version userAgent
---- ------- ---------
Android 2.3.7 Mozilla/5.0 (Linux; U; Android 2.3.7; en-us; Genymotion ('Phone' version) Build/GWK74) AppleWebKit/533.1 (KHTML, like Gecko) Ver...
Android 4.0.4 Mozilla/5.0 (Linux; U; Android 4.0.4; en-us; Android SDK built for x86 Build/IMM76D) AppleWebKit/534.30 (KHTML, like Gecko) Vers...
Android 4.1.1 Mozilla/5.0 (Linux; U; Android 4.1.1; en-us; Nexus S - 4.1.1 - API 16 - 480x800 Build/JRO03S) AppleWebKit/534.30 (KHTML, like Ge...
Android 4.2.2 Mozilla/5.0 (Linux; U; Android 4.2.2; en-us; Nexus 4 - 4.2.2 - API 17 - 768x1280 Build/JDQ39E) AppleWebKit/534.30 (KHTML, like G...
Android 4.3 Mozilla/5.0 (Linux; U; Android 4.3; en-us; Nexus 4 - 4.3 - API 18 - 768x1280 Build/JLS36G) AppleWebKit/534.30 (KHTML, like Gecko...
Baidu Jan 2015 Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)
BingBot Dec 2013
BingPreview Dec 2013
BingPreview Jun 2014 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534+ (KHTML, like Gecko) BingPreview/1.0b
Firefox 10.0.12 ESR
Firefox 17.0.7 ESR
Firefox 21
Firefox 21
Firefox 22
Firefox 24
Firefox 24.2.0 ESR
Firefox 26
Googlebot Jun 2014 Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)
Googlebot Oct 2013
IE 10 Mozilla/5.0 (compatible; MSIE 10.0; Windows Phone 8.0; Trident/6.0; IEMobile/10.0; ARM; Touch; NOKIA; Lumia 925)
IE 7
IE 8
IE 8
IE 8
IE 8-10
IE 8-10 Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; Trident/6.0)
IE 9
Java 6u45
Java 7u25
OpenSSL 0.9.8y
Opera 12.15
Safari 5.1.9
Safari 6.0.4
Tor 17.0.9
Yahoo Slurp Oct 2013
YandexBot May 2014
(不知道例如 IE 8 的双重条目。)
更新:密码重定向
不确定这是否是您所追求的,但如果这是为了向不合规的客户提供一个很好的错误消息,您可能会对我的这个旧答案感兴趣:https ://serverfault.com/a/644167/253701
SalesForce 的这篇知识文章很好地列出了主要浏览器的 TLS 支持。