Sau khi lỗ hổng Poodle được tiết lộ gần đây, nhóm của chúng tôi đã quyết định chuyển từ SSLv3. Nhưng trước khi loại bỏ hoàn toàn, họ muốn cảnh báo những người sử dụng hàng ngày rằng việc sử dụng trình duyệt của họ bị phản đối SSLv3. Vì vậy, chúng tôi đã đưa ra ý tưởng để
- Phát hiện giao thức (SSLv3, TLS1, v.v.) từ việc giảm tải SSL giao diện người dùng (chúng tôi sử dụng nginx)
- Truyền thông tin đó (giao thức SSL) qua tiêu đề HTTP cho phụ trợ Apache.
Sau đó, mã phụ trợ của chúng tôi sẽ xử lý tiêu đề đó và đưa ra cảnh báo nếu khách hàng sử dụng SSLv3 .
Tôi biết rằng nginx có tính năng proxy_set_header. Vì vậy, điều này sẽ đơn giản như
proxy_set_header X-HTTPS-Protocol $something;
Bây giờ, vấn đề là: rõ ràng nginx biết giao thức được sử dụng bởi máy khách, nhưng làm cách nào tôi có thể chuyển thông tin đó đến phụ trợ thông qua tiêu đề HTTP?
Cảm ơn
Như được chỉ ra bởi người dùng chuyển hướng Apache tương tự nếu họ đang sử dụng SSLv3 , ý tưởng này có thể trở thành ý tưởng rất rất xấu.
Lý do là bắt tay TLS xảy ra trước khi lưu lượng HTTP được gửi qua đường hầm TLS. Vào thời điểm phụ trợ của chúng tôi phát hiện giao thức SSL, khách hàng có thể đã gửi dữ liệu riêng tư trong yêu cầu đầu tiên của mình. Đối với giải pháp lâu dài và lâu dài, chúng tôi nên xem xét để vô hiệu hóa SSLv3.