我有一个网站,我想允许SSL访问所有内容,但TLS 1.2仅限于API,以及应用程序的任何敏感部分。
任何过时的客户端都应该转到错误页面,解释他们无法访问资源的原因,以及“不是我们,它是你”对过时浏览器的警告。
如何在App Gateway中配置此等效功能(存在于Netscaler BTW上)?
答案 0 :(得分:1)
我记得建议你在不同的主题上尝试。事后我现在后悔了,因为文档没有提到任何检测TLS协议版本和采取自定义操作的能力。
然而,在那些已经存在更长时间的事情中,例如nginx,这几乎是微不足道的:
if ($ssl_protocol != "TLSv1.2") {
return 302 https://example.com/outdated.html;
}
请参阅此主题以进行更广泛的讨论:
https://community.qualys.com/thread/12758
当然,你的方法的缺点是任何PCI-ish安全审计工具都会将你标记为“不安全”,因为你在TLS 1.0和1.1上进行握手。
无论你做什么,都不要与SSLv3握手, not even once 。
在其他新闻中,Citrix似乎拥有自带许可证NetScaler offering on Azure。