Apache: reindirizzamento a una pagina non SSL se la negoziazione TLS non riesce


0

Come posso configurare apache per reindirizzare l'utente a una pagina non SSL, se la negoziazione della connessione TLS fallisce (cioè non sono d'accordo su un protocollo SSL comune con cifratura supportata)

Sta usando mod_ssl, apache:2.4.6

Capisco che non crea nemmeno una connessione quando non riesce a concordare qualcosa di comune per stabilire una connessione TLS, quindi servire la risposta con il reindirizzamento dell'intestazione non è un'opzione diretta

Risposte:


2

Non puoi. Se un browser accettasse un reindirizzamento da un sito Web non autenticato (leggi: probabilmente impostore) dopo che non è riuscito a stabilire una connessione sicura al sito Web sicuro effettivo, sarei livido. Sarebbe un grave difetto di sicurezza.


possiamo abilitare il fallback a cifratura più debole e protocollo TLS più debole per un solo pattern URL?
Jigar Joshi,

1
@JigarJoshi: poiché l'URL completo è noto solo dopo che l'handshake SSL è stato eseguito correttamente, non è possibile avere protocolli o cifre diversi a seconda del modello di URL.
Steffen Ullrich,

qualcosa del genere, prova a eseguire l'handshake SSL con un set di protocolli e cifre di livello 1, se fallisce prova a farlo con il livello 2 ma una volta fatto con il livello 2, ora quando la richiesta passa attraverso apache, vedi il livello al quale hanno concordato e se è di livello 2, quindi consenti solo richieste per determinati URL @Steffen
Jigar Joshi,


@Steffen grazie !, a livello di applicazione posso determinare il tempo in cui è stata stabilita la connessione su quale cifra, stavo pensando di fare qualcosa come utente di terra a pagina di crittografia più debole, quindi tutti possono atterrare, effettuare una chiamata in un'altra area con Javascript e controlla la risposta, se riesce a ottenere una risposta di successo significa che questo client sarà in grado di parlare con cifre forti per conoscerne l'app
Jigar Joshi,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.