我们不赞成在我们的网站上支持TLS 1.0和1.1,因为它们不再被认为是安全的.
我们怎样才能看到受此变化影响的访客百分比? (即那些不支持TLS 1.2的访问者.)
我们使用带有IIS8的Windows Server 2012 R2.
在同一主机上设置第二台服务器(例如虚拟机或第二台守护程序).对第二台服务器可选的东西使用重写规则
reverse proxy请求,就像隐藏在页面上的不可见图像一样.配置第二台服务器只允许TLS 1.2;不要热链接到另一个主机名…确保代理,否则它将不安全所以浏览器可能会有警告,或者可能只是从不加载图像.
然后跟踪图像请求.没有支持的客户端应该有SSL / TLS错误.有支持的客户端会生成一些“200 OK”日志.如果日志没有说任何有用的东西,请尝试代理一些javascript代替,这可以执行AJAX请求以在成功时记录流量(但脚本阻止程序可能会停止此操作).
要在依赖日志有意义之前测试第二台服务器的ssl / tls支持,请使用像nmap这样可以列出大量细节的测试.
nmap --script ssl-enum-ciphers example.com