Início / server / Perguntas / 644335
Accepted
burnersk
Asked: 2014-11-15 03:49:02 +0800 CST

É possível definir o cabeçalho HTTP da versão SSL/TLS com o Apache que um aplicativo de back-end pode usar?

  • 772

Há um serviço em uma máquina virtual com um IP dedicado que precisa ser acessível via SSLv3 (WinXP com clientes IE6). Mudei esse serviço há vários anos para uma máquina virtual para poder desabilitar o SSLv3 para todos os outros serviços.

Gostaria de notificar os clientes SSLv3 desse serviço de que esse serviço exigirá TLS 1.1 ou superior em "algum momento". Essa notificação não deve ser exibida em nenhum outro cliente (decisão comercial).

Para conseguir isso, eu estava pensando em injetar as informações de versão SSL/TLS usadas nos proxies (Apache) na solicitação HTTP original para permitir que o aplicativo de back-end colocasse condicionalmente aquele "atualize seu sistema, dinossauro!" notificação com base no método de segurança da camada de transporte usado.

Como configuro a injeção? Encontrei as variáveis ​​de ambiente necessárias apenas quando o Apache é compilado com sinalizadores de depuração, mas isso não é possível na produção.

O resultado final deve ser que o Apache Proxy está injetando o cabeçalho de solicitação HTTP "X-TLS-Version: SSL3" (ou "X-TLS-Version: TLS12" ou sintaxe familiar).

apache-2.2

2 respostas

  1. Best Answer

    O mod_ssl do Apache disponibiliza várias variáveis ​​de ambiente quando a SSLOptionsdiretiva +StdEnvVarsé habilitada, o que inclui o protocolo SSL:

    SSL_PROTOCOL string A versão do protocolo SSL (SSLv2, SSLv3, TLSv1, TLSv1.1, TLSv1.2)

    Que você pode usar como condição para definir um cabeçalho quando o SSLv3 é usado:

    SSLOptions +StdEnvVars    
SetEnvIf SSL_PROTOCOL "SSLv3" insecure-protocol=true
RequestHeader set X-TLS-Version "SSLv3" env=insecure-protocol

    Para sempre definir um cabeçalho com o protocolo SSL, o seguinte pode funcionar:

    RequestHeader set X-TLS-Version %{SSL_PROTOCOL}s

    que tem uma pequena vantagem de que, para cenários simples, você não precisa incorrer na sobrecarga SSLOptions +StdEnvVars, mas pode acessar certas variáveis ​​SSL diretamente com a %{FOOBAR}ssintaxe.

    nenhum dos dois foi testado.

    • 4

  2. Set SSLOptions +StdEnvVarse uma variedade de variáveis ​​de ambiente relacionadas a SSL/TLS serão definidas. (E você pode encontrar esse valor já definido na configuração do servidor da Web, como em algumas configurações de amostra.)

    A variável de ambiente que seu aplicativo deseja inspecionar será SSL_PROTOCOL.

    E você tem todas as nossas condolências por não conseguir remover o IE6 e o ​​XP do seu ambiente a tempo.

    • 1

relate perguntas