สำหรับผู้ที่ไม่ทราบว่า Suche.org คืออะไรเป็นเว็บไซต์ที่มีคะแนน A + ที่สมบูรณ์แบบสำหรับ SSL Labs ในทุกหมวดหมู่: ( ผลลัพธ์ Suche.org SSL Labs ) ฉันตระหนักถึงเว็บไซต์นี้เมื่อฉันเปิดตั๋วอีกใบเกี่ยวกับใบรับรอง ECC ที่ไม่ทำงานใน Chromeและหนึ่งในผู้ตอบกลับใช้เว็บไซต์เป็นตัวอย่าง
สิ่งที่ทำให้ฉันสับสนคือแม้ว่าProtocol Support
ส่วนของรายงานระบุว่าเว็บไซต์ใช้ TLSv1.2 เท่านั้น ...
TLS 1.2 Yes
TLS 1.1 No
TLS 1.0 No
SSL 3 No
SSL 2 No
เห็นได้ชัดว่าไม่ใช่ในกรณีตั้งแต่ในHandshake Simulation
ส่วนมันแสดงว่าไคลเอนต์เก่าที่จำลองบางส่วนกำลังใช้ TLSv1.0 เพื่อเชื่อมต่อ ...
Android 4.0.4 EC 384 (SHA256) TLS 1.0 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA ECDH secp521r1 FS
Android 4.1.1 EC 384 (SHA256) TLS 1.0 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA ECDH secp521r1 FS
Android 4.2.2 EC 384 (SHA256) TLS 1.0 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA ECDH secp521r1 FS
Android 4.3 EC 384 (SHA256) TLS 1.0 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA ECDH secp521r1 FS
Android 4.4.2 EC 384 (SHA256) TLS 1.2 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 ECDH secp521r1 FS
นี่เป็นเรื่องที่น่าผิดหวังเพราะถ้าฉันปิดการใช้งาน TLSv1.0 ในเว็บไซต์ทดสอบของฉันเช่นนั้น ...
# Apache example
SSLProtocol all -SSLv3 -SSLv2 -TLSv1
การเรียกใช้การสแกน SSL Labs บนเว็บไซต์ทดสอบของฉันให้ผลตอบแทนต่อไปนี้สำหรับลูกค้าเก่าบางคน:
Android 4.0.4 Server closed connection
Android 4.1.1 Server closed connection
Android 4.2.2 Server closed connection
Android 4.3 Server closed connection
Android 4.4.2 EC 384 (SHA256) TLS 1.2 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS
เป็นไปได้อย่างไรที่จะอนุญาตการเชื่อมต่อ TLSv1.2 พร้อมกัน แต่ยังรองรับไคลเอนต์รุ่นเก่าด้วย?