Especifique um certificado SHA-1 ou SHA-2 dependendo das habilidades do cliente

7

Com os certificados SHA1 reprovados pelos principais navegadores , parece sensato para obter um certificado assinado pelo SHA2. Mas ao fazê-lo, você estará bloqueando os usuários do IE6. Embora, para a maioria das pessoas, isso não seja um problema, em alguns casos, pode bloquear usuários importantes.

Olhando para o SSL handshake o cliente envia detalhes do que ele suporta.

Portanto, em teoria, um servidor poderia enviar um certificado que o cliente suportaria. Os navegadores mais recentes receberiam um SHA2 assinado e um mais antigo, o SHA1.

No entanto, não parece que haja alguma maneira de fazer isso com a configuração do nginx. Embora você possa definir versões de cifras e protocolos, não é possível ter nenhuma lógica para determinar como se comportar com diferentes configurações de cliente.

Existe uma maneira de servidor de um certificado diferente, dependendo do que o cliente suporta?

    
por Jeremy French 24.09.2014 / 13:56

1 resposta

1

No momento, isso não é possível com o nginx (embora seja com o apache). No entanto, parece que empresas como a CloudFlare já implementaram suas próprias modificações internas do nginx para poder fazê-lo e esperamos que estejam abrindo o seu trabalho ( link ), então estou esperando / esperando que o nginx tenha essa capacidade daqui a um ano quando a necessidade se tornar mais premente à medida que nos aproximamos de 2016.

Nesse meio tempo, acabei de comprar um certificado de 1 ano que expira no final de 2015, para não ser atingido pelos avisos do Chrome até que, esperançosamente, um recurso como esse apareça.

    
por 28.09.2014 / 03:48

Tags