หลังจากช่องโหว่ของพุดเดิ้ลถูกเปิดเผยเมื่อเร็ว ๆ นี้ทีมของเราตัดสินใจที่จะดำเนินการต่อจาก SSLv3 แต่ก่อนที่จะกำจัดสมบูรณ์พวกเขาต้องการที่จะเตือนผู้ใช้งานในชีวิตประจำวันที่ใช้เบราว์เซอร์ของพวกเขาเลิก SSLv3 ดังนั้นเราจึงเกิดแนวคิดขึ้นมา
- ตรวจจับโปรโตคอล (SSLv3, TLS1 และอื่น ๆ ... ) จาก front-offloading การถ่าย SSL (เราใช้ nginx)
- ส่งข้อมูลนั้น (โปรโตคอล SSL) ผ่านส่วนหัว HTTP ไปยัง Apache-backend
แล้วรหัสแบ็กเอนด์ของเราจะดำเนินการที่ส่วนหัวและให้คำเตือนถ้าลูกค้าใช้ SSLv3
ผมทราบว่า Nginx proxy_set_headerมีคุณสมบัติ ดังนั้นอันนี้จะง่ายเหมือน
proxy_set_header X-HTTPS-Protocol $something;
ตอนนี้ปัญหาคือ: เห็นได้ชัดว่า nginx รู้จักโปรโตคอลที่ลูกค้าใช้ แต่ฉันจะส่งข้อมูลนั้นเพื่อแบ็กเอนด์ผ่านส่วนหัว HTTP ได้อย่างไร
ขอบคุณ
ตามที่ชี้โดยผู้ใช้ Apache ที่คล้ายกันในเธรดถ้าพวกเขาใช้ SSLv3แนวคิดนี้อาจกลายเป็นความคิดที่แย่มาก
เหตุผลคือการจับมือกันของ TLS เกิดขึ้นก่อนที่ทราฟฟิก HTTP จะถูกส่งผ่านอุโมงค์ TLS เมื่อแบ็กเอนด์ของเราตรวจพบโปรโตคอล SSL ไคลเอนต์อาจส่งข้อมูลส่วนตัวในคำขอแรกของเขา สำหรับโซลูชันระยะยาวและถาวรเราควรพิจารณาปิดการใช้งาน SSLv3