Как можно определить устаревшего ssl клиента и отправить его на http?

Question

[Дмитрий]

Проблема такова, что включили tls 1.1+ И появились жалобы на невозможность подключения.
Во всех случаях это были старые клиенты NT 5.1 и прочие и $schema https.
Как можно в случае неудачи подключения по https - сделать редирект на http
Или хотя бы логировать эти неудачи.

Comments

[Boris Köln]

Как можно в случае неудачи подключения по https - сделать редирект на http?

Как можно в случае неудачи открытия сейфа по сложному паролю - открыть сейф без пароля?

[Дмитрий]

Кому интересно, вот статистика за сутки по tls / cipher с таким конфигом:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers ALL:!aNULL:!eNULL:@STRENGTH;

Top values
 TLSv1.2/ECDHE-RSA-AES128-GCM-SHA256	58.11%	13,035,267
 TLSv1.2/ECDHE-RSA-AES256-GCM-SHA384	18.27%	4,099,063
 TLSv1.2/ECDHE-RSA-AES256-SHA384	10.60%	2,378,524
 TLSv1/AES256-SHA	5.99%	1,342,986
 TLSv1/ECDHE-RSA-AES256-SHA	5.81%	1,303,399
Others
TLSv1.2/ECDHE-RSA-AES256-SHA	1.03%	230,179
TLSv1/RC4-SHA	0.12%	26,693
TLSv1.1/ECDHE-RSA-AES256-SHA	0.06%	12,967
TLSv1.2/AES256-SHA256	0.00%	620
TLSv1/DES-CBC3-SHA	0.00%	518
TLSv1/ECDHE-RSA-AES128-SHA	0.00%	479
TLSv1/DHE-RSA-AES256-SHA	0.00%	249
TLSv1/AES128-SHA	0.00%	123
TLSv1.2/AES256-GCM-SHA384	0.00%	45
TLSv1.1/AES256-SHA	0.00%	42
TLSv1.2/AES256-SHA	0.00%	16
TLSv1.2/ECDHE-RSA-AES128-SHA256	0.00%	2

В моем случае вонь началась из-за TLSv1/RC4-SHA 0.12% =)
Доля https трафика составляет 64.59%

Answer 1

[chupasaurus]

$ssl_protocol: returns the protocol of an established SSL connection

Comments

[Дмитрий]

log_format  main    '$remote_addr - $remote_user [$time_local] $scheme $server_name "$request" '
                    '$status $body_bytes_sent "$http_referer" '
                    '"$http_user_agent" "$http_x_forwarded_for" $request_time "$http_cf_ray" "$ssl_protocol/$ssl_cipher"';

Добавил себе в лог protocol и cipher, спасибо.
Насколько я понимаю, т.к. tls соединение ниже по уровню, чем http я не смогу отправить http редирект юзеру на неустановленном соединении... Тут только вижу как выход промежуточный прокси, который поддерживает в т.ч. устаревшие протоколы и в случае установления соединения на отстойном протоколе - делать редирект на http. Сомнительное удовольствие.

[chupasaurus]

Дмитрий, Да, более красивого решения мне тоже в голову не приходит. Можно конечно воткнуть if - return 301, но он будет отрабатывать каждый раз.

[Дмитрий]

Если бы дело дошло до if, на каком бы протоколе сервер ему ответил если ssl не устанавливается...

[chupasaurus]

Дмитрий, зачем, включаете SSLv3,TLSv1.0 и

if $ssl_protocol = "SSLv3\|TLSv1" { return 301 http://$server_name$request_uri; }

. Но, как я уже писал, красивым это не назвать.

[Дмитрий]

Ну тут уже напрашивается утверждение "Хоть какой-то ssl лучше чем ничего")

[Михаил Григорьев]

Насколько я понимаю, т.к. tls соединение ниже по уровню, чем http я не смогу отправить http редирект юзеру на неустановленном соединении...

Дмитрий, не то что ниже, просто обмен данными по протоколу TLS/SSL происходит еще до начала HTTP соединения, поэтому ваш if $ssl_protocol = "SSLv3\|TLSv1" { } просто никогда не сработает, т.к. соединение рубится еще на этапе handshake.

Если хочется углубиться в эту тему, то рекомендую эту статью

Answer 2

[Михаил Григорьев]

1. Напишите вывод команды
nginx -V

Возможно проблема в том, что у Вас nginx собран с openssl < 1.0.2 и как следствие нет поддержки ALPN, а браузер на ваших старых NT 5.1 наверняка новый, в котором уже нет поддержки NPN

2. Какие шифры сконфигурированы в nginx ? Напишите что у вас прописано в ssl_ciphers. Возможно Вы открываете ваш сайт в браузере, который не поддерживает тот набор шифров что прописан у Вас в nginx.
Протестируйте сайт на https://www.ssllabs.com/ssltest/index.html

P.S. Если бы Вы написали какая точно у вас версия Windows и какой браузер, то гадать бы пришлось меньше.

Comments

[CityCat4]

Возможно ssl_ciphers настолько суров, что не оставляет вариантов клиенту. Было бы еще неплохо текст ошибки увидеть.

[Дмитрий]

Да, суров. Точнее актуален.
У клиентcкого допотопного приложения SSLv3/RC4-SHA
Даже win5.1 уже умеет TLSv1
Сделал пока так, соберу статистику по cipher'ам

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ALL:!aNULL:!eNULL:@STRENGTH;

До этого было:

# ssl_protocols TLSv1.1 TLSv1.2; # Dropping SSLv3, ref: POODLE
# ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK;

Кстати посмотреть список отсортированный по строгости можно так:
openssl ciphers -V 'ALL:@STRENGTH'
Это я тем, кто еще интересуется данной темой.