У меня есть веб-сайт, на котором я хочу разрешить SSL-доступ ко всему, но TLS 1.2 только к API и любой конфиденциальной части приложения.
Любой устаревший клиент должен перейти на страницу с ошибкой, объясняя, почему он не может получить доступ к ресурсу, и что «это не мы, это вы» предупреждение об устаревшем браузере.
Как я могу настроить эту эквивалентную функциональность (которая присутствует в Netscaler BTW) в App Gateway?
Я помню, как рекомендовал вам попробовать это в другом потоке. Оглядываясь назад, я сожалею об этом, так как в документации нет упоминания о какой-либо способности определять версию протокола TLS и выполнять настраиваемые действия.
Однако для чего-то, что существует уже дольше, например nginx, это почти тривиально выполнить:
if ($ssl_protocol != "TLSv1.2") {
return 302 https://example.com/outdated.html;
}
См. Эту ветку для более широкого обсуждения:
https://community.qualys.com/thread/12758
Естественно, обратная сторона вашего подхода заключается в том, что любой инструмент аудита безопасности, соответствующий стандарту PCI, будет отмечать вас как «небезопасный», поскольку вы устанавливаете связь с TLS 1.0 и 1.1.
Что бы вы ни делали, НЕ Жмите руку SSLv3, ни разу.
Из других новостей, у Citrix, похоже, есть собственная лицензия Предложение NetScaler в Azure.
