Como se pode medir o detalhamento de visitantes que suportam o TLS 1.2?

Configure um segundo servidor (como uma máquina virtual ou um segundo daemon no mesmo host). Use uma regra de reescrita para solicitações de proxy reverso por algo Opcional ao segundo servidor, como uma imagem invisível escondida na página. Configure o segundo servidor para permitir somente o TLS 1.2; não ligue a outro hostname ... certifique-se de proxy, ou não será seguro, então talvez o navegador tenha um aviso, ou talvez nunca carregue a imagem.

Em seguida, acompanhe as solicitações para a imagem. Clientes sem suporte devem ter erros SSL / TLS. Clientes com suporte gerariam alguns registros '200 OK'. Se o log não disser nada de útil, tente fazer proxy para algum javascript, o que pode fazer uma requisição AJAX para registrar o tráfego quando bem sucedido (mas um bloqueador de script pode parar isto).

Para testar o suporte ssl / tls do seu segundo servidor antes de confiar nos logs para fazer sentido, use um bom teste como o nmap, que pode listar muitos detalhes.

nmap --script ssl-enum-ciphers example.com

Uma possibilidade seria usar um proxy reverso (Squid, Apache, etc.) que possa registrar a versão do handshake SSL / TLS. Alternativamente, se você tiver um número muito limitado (falando de um único dígito) de hosts de webservice, você pode usar o Wireshark diretamente no servidor para analisar os apertos de mão.

Não conheço nenhuma maneira de verificar os logs do servidor para ver qual protocolo SSL / TLS foi usado para a conexão do servidor Windows (é bastante fácil com o Nginx e o Apache).

Portanto, a melhor maneira de pensar nisso é usar qualquer software de análise (por exemplo, o Google Analytics) que acompanhe as versões do sistema operacional e do navegador. Isso não será 100% preciso (algumas pessoas desativam o JavaScript e / ou rastreiam em seus navegadores).

O uso do Google Analytics ou algo semelhante é muito melhor do que tentar descobrir o campo cryptic USER_AGENT, embora, em teoria, essa seja outra maneira de fazer isso e provavelmente seja registrada nos logs do servidor. Veja aqui para obter mais detalhes sobre como proceder dessa maneira se quiser: link .

Depois de ter o navegador e a versão do sistema operacional de seus visitantes, você pode consultar esta tabela para ver se eles suportam o TLS 1.2: link , e isso deve permitir que você calcule uma porcentagem aproximada.

Você também pode usar a ferramenta de verificação ssllabs ( link ) que examinará seu site para testar sua configuração de SSL / TLS - incluindo um dizer-lhe qual versão do TLS e que cifra uma lista de navegadores de referência irá usar. Altamente recomendo fazer essa verificação de qualquer maneira para ver o estado da sua configuração SSL / TLS.

Você estará preocupado principalmente com versões mais antigas do IE e versões mais antigas do Android.

Você também pode fazer uma detecção de navegador no seu site para adicionar um aviso a esses usuários por aproximadamente um mês antes de desativar o TLS 1.0 e 1.1. É muito fácil ter uma declaração "[if if IE 11]" para incluir uma folha de estilo CSS que mostre um aviso para a versão mais antiga do IE. Entretanto, o IE10 não suporta mais esta sintaxe no modo padrão e é um navegador afetado. Também fazer isso para navegadores Android mais antigos não é tão fácil.