Question Est-il possible de configurer IIS pour rediriger en fonction de la suite de chiffrement SSL utilisée pour la connexion?


Avec l’annonce de POODLE, je voudrais que mes serveurs acceptent les connexions SSL3.0 mais qu’ils servent une page qui indique que l’utilisateur doit mettre à jour son navigateur avec un support plus récent prenant en charge TLS. Il semble que cela devrait être possible, car IIS devrait savoir quelle suite de chiffrement est utilisée, mais je ne peux trouver aucun moyen de configurer ces informations pour permettre l'hébergement de différents contenus ou leur transfert sur le site lui-même.

Existe-t-il un moyen de rediriger IIS en fonction de la suite de chiffrement utilisée lors de la négociation SSL / TLS ou de rendre des informations sur la suite de chiffrement disponibles sur le site?


6
2017-10-15 18:19


origine




Réponses:


La négociation SSL / TLS se passe à l'intérieur https.sys, en dehors d'IIS. Au moment où le trafic parvient à IIS, tout le travail lié au cryptage a été effectué.

Je ne suis au courant d'aucune API exposant le protocole négocié aux applications basées sur IIS. Vous pouvez toujours essayer de l'obtenir d'une autre source, mais je suppose que cela s'avérera louche, au mieux.

Enregistrement Événements de réussite Schannel génère des événements ID ID 36880 qui affichent les paramètres négociés, mais Microsoft n'a pas pris la peine d'inclure l'adresse IP du client dans ces entrées de journal (du moins, pas que je voie). (Cela aurait été bien mais, encore une fois, Microsoft ne se soucie pas d'inclure les adresses IP dans les journaux des événements ... Grrrr!)

Vous pouvez exécuter une capture de paquet dans un tampon en anneau, rechercher des négociations SSL 2.0 et les connecter à un type de magasin persistant. Votre application peut interroger ce magasin, corréler l'adresse IP du client au journal de négociation et poursuivre l'avertissement. Je suppose que c'est une pratique réalisable, mais cela me semble vraiment beaucoup de travail (et de "pièces mobiles") pour accomplir très peu. (Cela ressemble à quelque chose d'amusant à écrire, cependant ...)


7
2017-10-15 18:39



Ouais, c'est beaucoup trop impliqué pour ce qui est vraiment destiné à être un PSA plutôt que de rater l'authentification. Cela semble confirmer ce que je pensais être le cas et donne quelques idées auxquelles je n'avais pas pensé même si elles sont trop élaborées pour être pratiques. Je vais laisser la porte ouverte quelques instants pour voir si quelqu'un d'autre me répond par des idées, mais si ce n'est pas le cas, cela semble être une réponse solide. - AJ Henderson