SSL ハンドシェイクが失敗した場合の Apache HTTP フォールバック

Question

クライアントは SSL 接続を確立しようとし、それが失敗した場合、Apache はユーザーをフォールバック HTTP サイトにリダイレクトし、ブラウザーが古くなっていることをユーザーに通知します。

それはできないと思います。TLS ハンドシェイクは、クライアントと Web サーバーが HTTP プロトコルメッセージを交換できる段階よりかなり前の段階で失敗します。

その代わり：

すべての暗号を受け入れます。
そして、強いものから弱いものへと順番に並べますSSLCipherSuite ...指令。
クライアントが暗号の優先順位を決定できるようにするのではなく、ステップ2で決定した優先順位に従ってネゴシエートします。SSLHonorCipherOrder on 指令。
それすべきクライアントがサポートする最も強力な暗号を使用した接続が実現します。(理論上は、実際の結果は異なる場合があります。)
その暗号がしきい値を下回る場合は、セキュリティメッセージを表示するロジックを適用します。
強力な暗号が本当に必要なコンテンツを保護しますマニュアルで説明されている

つまり、次のようなものです:

# be liberal in general
SSLCipherSuite ALL:!aNULL:RC4+RSA:+HIGH:+MEDIUM:+LOW:+EXP:+eNULL
SSLHonorCipherOrder on

<Location "/strong/area">
# but https://hostname/strong/area/ and below
# requires strong ciphers
SSLCipherSuite HIGH:!aNULL:!MD5
</Location>

Answer 1

クライアントは SSL 接続を確立しようとし、それが失敗した場合、Apache はユーザーをフォールバック HTTP サイトにリダイレクトし、ブラウザーが古くなっていることをユーザーに通知します。

それはできないと思います。TLS ハンドシェイクは、クライアントと Web サーバーが HTTP プロトコルメッセージを交換できる段階よりかなり前の段階で失敗します。

その代わり：

すべての暗号を受け入れます。
そして、強いものから弱いものへと順番に並べますSSLCipherSuite ...指令。
クライアントが暗号の優先順位を決定できるようにするのではなく、ステップ2で決定した優先順位に従ってネゴシエートします。SSLHonorCipherOrder on 指令。
それすべきクライアントがサポートする最も強力な暗号を使用した接続が実現します。(理論上は、実際の結果は異なる場合があります。)
その暗号がしきい値を下回る場合は、セキュリティメッセージを表示するロジックを適用します。
強力な暗号が本当に必要なコンテンツを保護しますマニュアルで説明されている

つまり、次のようなものです:

# be liberal in general
SSLCipherSuite ALL:!aNULL:RC4+RSA:+HIGH:+MEDIUM:+LOW:+EXP:+eNULL
SSLHonorCipherOrder on

<Location "/strong/area">
# but https://hostname/strong/area/ and below
# requires strong ciphers
SSLCipherSuite HIGH:!aNULL:!MD5
</Location>

SSL ハンドシェイクが失敗した場合の Apache HTTP フォールバック

答え1

関連情報