Início / server / Perguntas / 759178
Accepted
Ralph King
Asked: 2016-02-24 04:40:11 +0800 CST

Windows XP, Chrome 48 e RC4

  • 772

Recentemente, atualizei para https. Não suporta RC4.

Temos um ou dois clientes que não conseguem acessar nosso site e estão recebendo o erro 'Uma conexão segura não pode ser estabelecida porque este site usa um protocolo ou conjunto de cifras não suportado. É provável que isso seja causado quando o servidor precisa de RC4, que não é mais considerado seguro.'

Eles estão todos no XP, mas executando o Chrome mais recente.

Como posso resolver isso? Tendo em conta que não suportamos RC4, a mensagem de erro do Chrome não é muito útil.

Estou assumindo que há um problema com o Windows XP e qualquer novo navegador tentando acessar qualquer site HTTPS que não suporte RC4 - certamente há uma solução alternativa, já que um grande número de pessoas ainda está executando o XP?

windows-xp

1 respostas

  1. Best Answer

    Seu site precisa oferecer suporte a uma cifra disponível no Windows XP, e é por isso que você está obtendo a incompatibilidade do conjunto de cifras. Seu relatório de teste do SSL Labs lista as seguintes cifras:

    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b)   ECDH secp256r1 (eq. 3072 bits RSA)   FS  128
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 (0xc023)   ECDH secp256r1 (eq. 3072 bits RSA)   FS  128
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (0xc009)   ECDH secp256r1 (eq. 3072 bits RSA)   FS 128
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (0xc02c)   ECDH secp256r1 (eq. 3072 bits RSA)   FS  256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 (0xc024)   ECDH secp256r1 (eq. 3072 bits RSA)   FS  256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA (0xc00a)   ECDH secp256r1 (eq. 3072 bits RSA)   FS 256
TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA (0xc008)   ECDH secp256r1 (eq. 3072 bits RSA)   FS    112
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 (0xcc14)   ECDH secp256r1 (eq. 3072 bits RSA)   FS    256P
(P) This server prefers ChaCha20 suites with clients that don't have AES-NI (e.g., Android devices)

    Aqui estão os conjuntos de cifras TLS suportados no Windows XP/Server 2003.

    TLS_RSA_WITH_RC4_128_MD5
TLS_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_DES_CBC_SHA
TLS_DHE_DSS_WITH_DES_CBC_SHA
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA
TLS_RSA_EXPORT_WITH_RC4_40_MD5
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
TLS_RSA_WITH_NULL_MD5
TLS_RSA_WITH_NULL_SHA

    https://msdn.microsoft.com/en-us/library/windows/desktop/aa380512(v=vs.85).aspx

    Seu site não funcionará no Windows XP. Você precisa adicionar um dos pacotes suportados se quiser dar suporte ao Windows XP. O mais comumente usado parece ser o mencionado acima TLS_RSA_WITH_3DES_EDE_CBC_SHA.

    Edite para adicionar : Acabei de notar que você está usando CloudFlare. Certifique-se de ler as perguntas frequentes sobre SSL e os artigos de suporte do navegador legado.

    https://support.cloudflare.com/hc/en-us/articles/214770928-Legacy-Browser-Support

    Eu sei que o Chrome é um navegador moderno, mas como eu disse antes, ele usa as bibliotecas do Windows para qualquer sistema operacional em que esteja sendo executado e o suporte a TLS/SNI não foi introduzido até o Windows Vista. Portanto, se você desativar o suporte a navegadores legados no CloudFlare, também interromperá o Chrome no XP, porque seu site só poderá ser acessado por navegadores compatíveis com SNI.

    • 3

relate perguntas