Kaniş savunmasızlığı yakın zamanda ortaya çıktıktan sonra ekibimiz SSLv3'ten devam etmeye karar verdi. Ancak tamamen kaldırılmadan önce , günlük kullanıcıları tarayıcılarının kullanımdan kaldırılmış SSLv3 kullandıkları konusunda uyarmak isterler. Böylece,
- Ön uç SSL boşaltma işleminden protokolü (SSLv3, TLS1 vb ...) tespit edin (nginx kullanıyoruz)
- Bu bilgiyi (SSL protokolü) HTTP üstbilgisi üzerinden Apache arka ucuna iletin.
Ardından arka uç kodumuz bu üstbilgiyi işler ve istemci SSLv3 kullanıyorsa uyarı verir .
Nginx'in bir özelliği olduğunu biliyorum proxy_set_header. Yani bu kadar basit olurdu
proxy_set_header X-HTTPS-Protocol $something;
Şimdi, sorun şu: Açıkçası nginx, istemci tarafından kullanılan protokolü biliyor, ancak bu bilgiyi HTTP üstbilgisi üzerinden arka uca nasıl iletebilirim?
Teşekkürler
SSLach3 kullanıyorlarsa , Apache yönlendirme kullanıcısına benzer bir iş parçacığının işaret ettiği gibi , bu fikir çok kötü bir fikir haline gelebilir.
Bunun nedeni, TLS el sıkışmasının, HTTP trafiği TLS tünelinden gönderilmeden önce gerçekleşmesidir. Arka ucumuz SSL protokolünü algıladığında, istemci ilk isteğinde özel veriler göndermiş olabilir. Kalıcı ve uzun vadeli çözüm için SSLv3'ü devre dışı bırakmayı düşünmeliyiz.