Setelah kerentanan Poodle terungkap baru-baru ini, tim kami memutuskan untuk beralih dari SSLv3. Tapi sebelum penghapusan lengkap, mereka ingin memperingatkan para pengguna sehari-hari yang mereka gunakan browser yang usang SSLv3. Jadi, kami datang ide untuk
- Deteksi protokol (SSLv3, TLS1 dll ...) dari front-end SSL-offloading (kami menggunakan nginx)
- Berikan info (protokol SSL) melalui header HTTP ke Apache-backend.
Kemudian kode backend kami akan memproses header itu dan memberikan peringatan jika klien menggunakan SSLv3 .
Saya sadar bahwa nginx memiliki fitur proxy_set_header
. Jadi yang ini akan sesederhana itu
proxy_set_header X-HTTPS-Protocol $something;
Sekarang, masalahnya adalah: jelas nginx tahu protokol yang digunakan oleh klien, tetapi bagaimana saya bisa meneruskan info itu ke backend melalui header HTTP?
Terima kasih
Seperti yang ditunjukkan oleh pengguna redirect Apache yang sejenis jika mereka menggunakan SSLv3 , ide ini mungkin menjadi ide yang sangat-sangat buruk.
Alasannya adalah jabat tangan TLS terjadi sebelum lalu lintas HTTP dikirim melalui terowongan TLS. Pada saat backend kami mendeteksi protokol SSL, klien mungkin telah mengirim data pribadi dalam permintaan pertamanya. Untuk solusi permanen dan jangka panjang kami harus mempertimbangkan untuk menonaktifkan SSLv3.