SSL 3.0 RIP

[vitus_wagner]

Тут вот нашли очередную засаду в SSL и рекомендуют всем немедленно выключить SSLv3.0, оставив только TLS 1.0 и выше.

При этом на многих ресурсах пишут что вот один из немногих браузеров, кому от этого станет плохо, это IE6.

Но насколько я помню, IE6 уже поддерживал TLS v1.0. Просто в нем эта поддержка была по умлочанию выключена. И в Internet Options ее можно было включить. (в частности это приходилось делать, чтобы заработала гостовская TLS, поскольку чудовский драфт был про TLS 1.0 и выше).

Искать достаточно древнюю виртуальную машину, на которой можно проверить, правильно ли я помню - лень.

Comments

[lumag]

К сожалению пока еще никто не научился выдавать по SSL табличку "Ваш браузер уже не поддерживается" или "Включите TLS1.0 в настройках". Пользователь IE6, подключившись к такому серверу, увидит только "ошибку соединения" и (скорее всего) будет пребывать в уверенности, что проблема с другой стороны кабеля.

[vitus_wagner]

Насчет "никто не научился" - это неправда. В общем, довольно несложно это сделать. Для этого надо всего лишь не запрещать нехорошие режимы, а перенаправлять (скажем средствами mod_rewrite, который ввполне в состоянии проверить SSL-related переменные) на страничку, которая не требует никакого ввода от пользователя (и, следовательно, не подвержена MitM) на которой это написано.

С другой стороны, по-моему как раз у микрософта была какая-то фича по обработе SSL-ошибок. Во всяком случае от IIS мне как-то удавалось получить в IE вменяемое сервер-сайд сообщение, что общего шифрсьюта не нашлось. Подробностей за давностью лет не помню.