Come si può misurare la ripartizione dei visitatori che supportno TLS 1.2?

Stiamo deprecando il supporto per TLS 1.0 e 1.1 sui nostri siti web poiché non sono più considerati sicuri.

Come possiamo vedere il% dei nostri visitatori che potrebbero essere influenzati da questo cambiamento? (ovvero i visitatori che non supportno TLS 1.2).

Utilizziamo Windows Server 2012 R2 w / IIS8.

  • Conversione di Windows 2012 R2 da Hyper-V a KVM (qemu)
  • C'è un modo per cambiare le password su più server contemporaneamente?
  • Come chiudere il vassoio cd in Windows Server 2012 r2
  • Gli utenti non possono modificare la propria password sul dominio WS2012R2
  • I driver HP Smart Array B110i SATA RAID bloccano l'HP DL320 G6
  • C'è un limite al numero di ambiti DHCP che posso avere?
  • Connessione a Desktop remoto tramite proxy e Remote Desktop Gateway?
  • ID evento 4625 senza sorgente IP
  • 3 Solutions collect form web for “Come si può misurare la ripartizione dei visitatori che supportno TLS 1.2?”

    Impostare un secondo server (ad esempio una macchina virtuale o un secondo daemon sullo stesso host). Utilizzare una regola di riscrittura per invertire le richieste proxy per qualcosa di opzionale al secondo server, come un'image invisibile nascosta nella pagina. Configurare il secondo server per consentire solo TLS 1.2; non colbind hotlink a un altro hostname … assicuratevi di proxy, o non sarà sicuro quindi forse il browser avrà un avviso, o forse solo non caricare l'image.

    Quindi traccia le richieste per l'image. I client senza supporto devono disporre di errori SSL / TLS. I client con supporto avrebbero generato alcuni registri "200 OK". Se il registro non dice niente di utile, provare a proxy a qualche javascript, che può fare una richiesta AJAX per registrare il traffico al successo (ma un block script potrebbe bloccare questo).

    Per verificare il supporto di ssl / tls del secondo server prima di fare affidamento sui registri per avere un senso, utilizzare un buon test come nmap che può elencare molti dettagli.

    nmap --script ssl-enum-ciphers example.com 

    Una possibilità sarebbe quella di utilizzare un proxy inverso (Squid, Apache, ecc.) Che può registrare la versione di handshake SSL / TLS. In alternativa, se si dispone di un numero limitato di host di webservice (parlando di una cifra), è ansible utilizzare Wireshark direttamente sul server per analizzare gli handshake.

    Non sono a conoscenza di alcun modo per controllare i registri dei server per vedere quali protocolli SSL / TLS sono stati utilizzati per la connessione.

    Quindi il modo migliore in cui posso pensare di farlo è se usi un software analitico (ad es. Google Analytics) che traccia le versioni del sistema operativo e del browser. Questo non sarà esattamente al 100% (alcune persone distriggersno JavaScript e / o il monitoraggio nei loro browser).

    Nota utilizzando Google Analytics o simili è molto meglio di cercare di capire il field criptico USER_AGENT, anche se in teoria è un altro modo per farlo e che probabilmente sarà registrato nei registri dei server. Vedere qui per ulteriori dettagli su come procedere in questo modo se vuoi: https://stackoverflow.com/questions/17798944/get-browser-name-and-version-from-iis-log-file-in- log-parser .

    Una volta che hai la versione di browser e OS dei tuoi visitatori, puoi cercare questa tabella per vedere se supportno TLS 1.2: https://en.m.wikipedia.org/wiki/Transport_Layer_Security#Web_browsers , e questo dovrebbe consentirti di elaborare una percentuale grossolana.

    È inoltre ansible utilizzare lo strumento di scansione di ssllabs ( https://www.ssllabs.com/ssltest/ ) che ti scannerizza il tuo sito per verificare la configuration SSL / TLS, tra cui una che indica quale versione di TLS e che elenca un elenco di riferimento i browser utilizzeranno. Consigliamo vivamente di eseguire questa scansione comunque per vedere lo stato della tua configuration SSL / TLS.

    Sanetworking soprattutto interessati alle versioni precedenti di IE e versioni precedenti di android.

    Puoi anche fare un certo rilevamento del browser sul tuo sito web per aggiungere un avvertimento a questi utenti per un mese o giù di lì prima di spegnere TLS 1.0 e 1.1. È molto facile avere un'istruzione "[if lt IE 11]" per includere un foglio di stile CSS che mostra un avviso per la versione precedente di IE. Tuttavia IE10 non support più questa syntax nella modalità standard e si tratta di un browser interessato. Anche questo per i browser Android più vecchi non è così facile.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.