ฉันต้องการอัปเกรด AWS ELB ของฉันเป็นนโยบายความปลอดภัยที่อนุญาตเฉพาะ TLS v1.2
ก่อนทำสิ่งนี้ ฉันต้องการตรวจสอบบันทึก ELB เพื่อให้แน่ใจว่าไม่มีลูกค้าปัจจุบันที่ใช้เวอร์ชันเก่า
บันทึก ELB ของฉันมีฟิลด์ 'ssl_protocol' คำขอส่วนใหญ่บันทึก 'TLSv1.2' แต่มีเพียงไม่กี่คนที่ระบุ 'TLSv1' (นอกจากนี้ยังมี v1.0 และ v1.1 อีกสองสามตัว แต่ทั้งหมดนี้ได้รับการตอบกลับ 4XX ครั้ง และน่าจะเป็นทราฟฟิกที่ไม่ถูกกฎหมาย)
แต่ฉันไม่แน่ใจว่าจะทำอย่างไรกับ 'TLSv1' นี้ จาก คำถามนี้ ดูเหมือนว่าคำขอที่มีโปรโตคอล TLSv1 ระบุว่าสามารถเข้ารหัสได้ ใดๆ TLSv1 เวอร์ชันรอง ดังนั้นหากฉันไม่อนุญาตเวอร์ชัน 1.0 และ 1.1 คำขอเหล่านี้จะยังคงได้รับการเข้ารหัสสำเร็จด้วย 1.2
ถูกต้องหรือไม่
ก่อนอื่น ฉันไม่เห็นข้อมูลเฉพาะใดๆ เกี่ยวกับเนื้อหาของฟิลด์ ssl_version ในบันทึก ELB ซึ่งจะเป็นสถานที่ที่ถูกต้องในการตอบคำถามอย่างเป็นทางการว่าบันทึก ELB หมายถึงอะไร
ที่กล่าวว่าในบริบทประเภทนี้สตริง TLSv1 ควรตีความอย่างสมเหตุสมผลว่าหมายถึง TLS เวอร์ชัน 1.0.
ในกรณีเฉพาะของคุณ นี่อาจบอกเป็นนัยว่าไคลเอนต์เหล่านั้นดูเหมือนจะไม่รองรับเวอร์ชันที่สูงกว่า (เพราะพวกเขาคาดว่าจะชอบและใช้เวอร์ชันเหล่านั้นทุกครั้งที่ทำได้)
เป็นที่น่าสังเกตว่าสตริงเช่น SSLv2, SSLv3, TLSv1, TLSv1.1, TLSv1.2, TLSv1.3 โดยเฉพาะอย่างยิ่งเมื่อเขียนในลักษณะนี้ (และบางครั้งรูปแบบที่แตกต่างกันเล็กน้อยในธีม ขึ้นอยู่กับซอฟต์แวร์ที่เกี่ยวข้อง) มักไม่ใช่ข้อความรูปแบบอิสระที่สร้างขึ้นโดยคำนึงถึงบริบทปัจจุบันที่แน่นอน แต่เป็นตัวระบุโปรโตคอลที่ใช้ในซอฟต์แวร์พื้นฐาน
สำหรับความสับสนที่อาจเกิดขึ้น TLSv1 ตัวระบุที่ใช้กันอย่างแพร่หลายสำหรับ TLS เวอร์ชัน 1.0 ฉันคิดว่าสิ่งที่เราสามารถอ่านได้ก็คือการใช้งานที่เป็นที่นิยม (เช่น opensl) นั้นถูกขัดขวางโดยการเปลี่ยนแปลงนโยบายการกำหนดเวอร์ชันที่ชัดเจนก็ต่อเมื่อ TLS 1.1 และเวอร์ชันต่อไปนี้ได้รับการแนะนำมาก ภายหลัง.
กล่าวคือ SSL เป็นเวอร์ชัน 1.0, 2.0, 3.0 แต่เนื่องจากโปรโตคอลเปลี่ยนชื่อเป็น TLS เวอร์ชันจึงใช้รูปแบบ 1.0, 1.1, 1.2, 1.3 แทน ในตอนที่เปิดตัว TLS 1.0 เป็นครั้งแรก ฉันเดาว่าข้อสันนิษฐานง่ายๆ ก็คือเวอร์ชันถัดไปจะเป็น 2.0 และการใช้ตัวระบุแบบง่ายรูปแบบเดิมเช่นเดิมยังคงสมเหตุสมผล
หมายเหตุด้านข้าง:
มันถูกต้องแล้ว ขด มีตัวเลือกบรรทัดคำสั่งที่ใช้ประโยชน์อย่างชาญฉลาด --tlsv1 มีความหมายแตกต่างไปจาก --tlsv1.0แต่คำถามไม่ได้เกี่ยวกับวิธีการสอน ขด วิธีการอนุญาตให้เชื่อมต่อ แต่จะแยกวิเคราะห์สิ่งที่รายการบันทึกระบุว่าเป็นเวอร์ชันที่แน่นอนของการเชื่อมต่อบางอย่างที่ใช้
เป็นทางเลือกของคุณหากคุณต้องการอนุญาตให้ผู้ใช้ถอยกลับไปใช้เวอร์ชันที่ต่ำกว่า (ซึ่งแน่นอนว่ามีช่องโหว่เช่นพุดเดิ้ล) หรือปฏิเสธหากเวอร์ชันรหัสหรือ tls ไม่ตรงกัน คุณต้องสื่อสารกับผู้ใช้/ลูกค้าจากที่นี่ คุณต้องใช้เวอร์ชันที่กล่าวถึง มิฉะนั้นการเชื่อมต่อจะถูกปฏิเสธ
ดังนั้น หากไคลเอ็นต์ระบุอย่างชัดเจนว่าฉันต้องการใช้ TLS เวอร์ชันต่ำกว่า แต่จากเซิร์ฟเวอร์ที่คุณกำลังป้องกันเวอร์ชันเก่า ไคลเอ็นต์จะไม่อัปเกรดเวอร์ชันเลย ในกรณีนี้ คำขอจะถูกปฏิเสธ
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
