web-dev-qa-db-fra.com

Existe-t-il une liste d'anciens navigateurs qui ne prennent en charge que TLS 1.0?

Je cherche à bloquer tous les anciens navigateurs qui ne prennent en charge que TLS 1.0. Étant donné que TLS 1.0 n'est pas conforme à la norme PCI, c'est une mesure de sécurité que je veux prendre. Mais j'ai du mal à trouver une liste de ces anciens navigateurs. Quelqu'un peut-il aider?

tlsweb-browser
22
Jason

J'ai du mal à trouver une liste [d'anciens navigateurs qui ne prennent en charge que TLS 1.0]

Listes de navigateurs avec des fonctionnalités spécifiques

La difficulté à trouver une liste appropriée peut être en partie due au fait qu'une telle liste peut être volumineuse, incomplète, changeant fréquemment et peut devoir prendre en compte un très grand nombre de plugins et d'extensions.

Comme Tripehound l'a mentionné dans un commentaire. Un navigateur peut ne pas figurer sur une telle liste car il a support pour TLS 1.2 même si le support pour 1.1 et 1.2 est désactivé par défaut. Cela rend le recours à une liste plus risqué.

Selon ce que vous faites, vous n'aurez peut-être pas besoin d'une liste de navigateurs (agents utilisateurs?).

Prédire l'impact de l'interdiction des navigateurs qui utilisent TLS 1.0

Si vous avez besoin de savoir combien de clients d'un serveur comptent sur TLS 1.0, vous pouvez activer la journalisation de la version TLS dans Apache et probablement sur d'autres serveurs Web, etc. Après une période appropriée (par exemple une semaine), vous auriez quelques bonnes statistiques sur le nombre de clients concernés.

Empêcher l'utilisation de protocoles non sécurisés par les navigateurs

Il est souvent possible de configurer les serveurs Web et autres services pour ne pas prendre en charge TLS 1. - bloquant ainsi les navigateurs qui ne prennent pas en charge les versions plus récentes.

50
RedGrittyBrick

Vous pouvez utiliser notre bon ami Puis-je utiliser , qui nous dit que TLS v1.1 est pris en charge depuis:

  • Chrome 22
  • Firefox 24
  • IE 11
  • Safari 7
  • Opera 12.1
  • iOS Safari 5.1

Le support global est de 95,61%. Cela peut varier un peu en fonction de vos marchés cibles.

Donc, désactiver TLS v1.0 signifierait rejeter HTTPS d'un peu plus de 4% des navigateurs.

Vous souhaitez probablement comparer avec vos propres analyses pour l'impact commercial sur votre propre site.

Notez qu'il existe de nombreux autres paramètres qui affectent la sécurité, y compris les chiffres et divers autres paramètres.

Mozilla a publié plusieurs profils TLS avec divers compromis de compatibilité/sécurité. Il y a aussi un outil qui fournira la configuration du serveur TLS pour chacun de ces profils (pour Apache, Nginx, HAProxy).

La sécurité la plus élevée ("moderne"), mais la plus faible, a son point de coupure à Firefox 27, Chrome 30, IE 11 sur Windows 7, Edge, Opera 17, Safari 9, Android 5.0 et Java 8.

Le niveau intermédiaire a son point de coupure sur Firefox 1, Chrome 1, IE 7, Opera 5 et Safari) 1 (mais ne prend pas en charge Windows XP).

Bien sûr, les plus récents et les plus importants doivent également être pris en charge côté serveur!

29
jcaron

Essayez la liste SSL Labs

Les laboratoires SSL ont un liste HTML .

Ils offrent également un Nice liste JSON . TLS 1.0 semble être codé comme highestprotocol étant 769.

En utilisant PowerShell, vous pouvez l'analyser comme ceci:

PS C:\> Invoke-WebRequest -Uri https://api.ssllabs.com/api/v3/getClients -OutFile getClients.json
PS C:\> Get-Content .\getClients.json | Out-String | ConvertFrom-Json | foreach {$_ | select *} | where {$_.highestprotocol -like "769"
} | select name, version, useragent, highestprotocol | sort name, version, useragent

name        version     userAgent
----        -------     ---------
Android     2.3.7       Mozilla/5.0 (Linux; U; Android 2.3.7; en-us; Genymotion ('Phone' version) Build/GWK74) AppleWebKit/533.1 (KHTML, like Gecko) Ver...
Android     4.0.4       Mozilla/5.0 (Linux; U; Android 4.0.4; en-us; Android SDK built for x86 Build/IMM76D) AppleWebKit/534.30 (KHTML, like Gecko) Vers...
Android     4.1.1       Mozilla/5.0 (Linux; U; Android 4.1.1; en-us; Nexus S - 4.1.1 - API 16 - 480x800 Build/JRO03S) AppleWebKit/534.30 (KHTML, like Ge...
Android     4.2.2       Mozilla/5.0 (Linux; U; Android 4.2.2; en-us; Nexus 4 - 4.2.2 - API 17 - 768x1280 Build/JDQ39E) AppleWebKit/534.30 (KHTML, like G...
Android     4.3         Mozilla/5.0 (Linux; U; Android 4.3; en-us; Nexus 4 - 4.3 - API 18 - 768x1280 Build/JLS36G) AppleWebKit/534.30 (KHTML, like Gecko...
Baidu       Jan 2015    Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)
BingBot     Dec 2013
BingPreview Dec 2013
BingPreview Jun 2014    Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534+ (KHTML, like Gecko) BingPreview/1.0b
Firefox     10.0.12 ESR
Firefox     17.0.7 ESR
Firefox     21
Firefox     21
Firefox     22
Firefox     24
Firefox     24.2.0 ESR
Firefox     26
Googlebot   Jun 2014    Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)
Googlebot   Oct 2013
IE          10          Mozilla/5.0 (compatible; MSIE 10.0; Windows Phone 8.0; Trident/6.0; IEMobile/10.0; ARM; Touch; NOKIA; Lumia 925)
IE          7
IE          8
IE          8
IE          8
IE          8-10
IE          8-10        Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; Trident/6.0)
IE          9
Java        6u45
Java        7u25
OpenSSL     0.9.8y
Opera       12.15
Safari      5.1.9
Safari      6.0.4
Tor         17.0.9
Yahoo Slurp Oct 2013
YandexBot   May 2014

(Aucune idée sur les doubles entrées pour par exemple IE 8.)

Mise à jour: redirection de chiffrement

Je ne sais pas si c'est ce que vous recherchez, mais s'il s'agit de fournir un joli message d'erreur aux clients non conformes, vous pourriez être intéressé par cette ancienne réponse: https://serverfault.com/a/ 644167/253701

10
StackzOfZtuff

Ce article de connaissances de SalesForce répertorie bien le support TLS des principaux navigateurs.

4
waltonob

Pour améliorer la sécurité du chiffrement, vous ne devez pas simplement bloquer certaines chaînes d'agent utilisateur, car le client (ou peut-être même un intermédiaire) peut également forcer une rétrogradation de la suite de chiffrement dans les navigateurs plus récents, et les navigateurs peuvent envoyer de faux agents utilisateur. Ne faites pas confiance au client.

Le moyen sécurisé consiste à bloquer complètement le trafic TLS 1.0. Mais ce ne serait pas très convivial de le faire et de laisser le navigateur gérer le message d'erreur .

Ce que vous voulez faire, c'est autoriser l'établissement d'une connexion, mais vérifiez la suite de chiffrement convenue avant de diffuser du contenu dessus, et si TLS 1.0 est utilisé, affichez une page d'erreur descriptive. ("La connexion n'est pas sécurisée, votre navigateur est probablement trop ancien.") Si la lecture de la suite de chiffrement d'une connexion https est possible dans le logiciel de serveur Web que vous utilisez, je ne peux pas le dire.

3
Alexander

Comme d'autres l'ont déjà écrit, pourquoi voulez-vous cette liste? Si c'est pour tester que votre site bloque correctement TLS 1.0, vous pouvez par exemple utilisez FireFox et dans about:config définir les deux security.tls.version.min et security.tls.version.max à 1.
Désormais, Firefox n'acceptera que TLS 1.0 et devrait être bloqué si vous l'utilisez pour accéder à votre site.

Je suppose que d'autres navigateurs ont des paramètres similaires.

Référence

3
user13695

Bien que je sois d'accord avec les autres réponses, la désactivation de TLS 1.0 côté serveur est le meilleur moyen de le désactiver et que les journaux du serveur sont les mieux adaptés pour mesurer l'impact, sachant ce que vous excluez de votre service Web. important, car vous pouvez avoir des cas d'utilisation particuliers.

Puis-je utiliser et SSL Labs ont déjà été mentionnés, mais je voudrais ajouter Wikipedia à D'après mon expérience, c'est l'une des listes les plus complètes en ce qui concerne la compatibilité des navigateurs SSL/TLS.

N'oubliez pas non plus de désactiver les suites de chiffrement inutiles. Cela pourrait déjà répondre aux besoins de sécurité, sans désactiver une version de protocole complète. Lorsque vous désactivez TLS 1.0, vous devez également désactiver les suites de chiffrement qui ne fonctionnent qu'avec lui.

Avant de désactiver (ou d'activer) quoi que ce soit, assurez-vous de savoir ce que vous faites. Toujourslirerecommandationsavantchangerchoses et faire assurez-vous de tester votre configuration .

2
Timlukas B.

L'université de Warwick au Royaume-Uni a fait une excellente page d'aide à ce sujet, elle contient des listes de quels appareils fonctionneront et ne fonctionneront pas après la suppression de TLS 1.0 et 1.1. Regarde:

https://warwick.ac.uk/services/its/servicessupport/web/sign-on/help/tls1-eol/

Ils ont des sous-pages en haut pour chaque système d'exploitation et ce qui est pris en charge.

Dans la plupart des cas, exécuter Firefox ou Chrome vous obtiendra un nouveau SSL, même sur les anciens appareils/systèmes d'exploitation. Sinon, le TL; DR est que Windows 7 et XP = reste non pris en charge, Windows 8 fonctionne avec IE11 installé. Mac OS Sierra (10.12) et versions ultérieures avec safari. iOS 9+ fonctionne, les anciennes non. Android 5.0 Lollipop et versions ultérieures, KitKat et les plus âgés ne le font pas.

0
Professor Falken