为了缓解Poodle,我们已禁用SSLv3,但我们的一些客户仍然使用SSLv3进行出站连接,并且仅针对某些主机,我希望保持启用SSLv3并默认禁用其他人。 我可以根据主机有选择地应用不同的SSLProtocol吗?例如,如果主机是A,则应启用SSLv3,否则仅启用TLS1.0 +。这需要运行时。 我们正在使用Apache,如果我在Location指令中应用SSLProtocol,则会给出SSLprotocol不能在这里的错误
答案 0 :(得分:0)
我知道这篇文章很老,但我看的是与我们必须支持的旧浏览器版本相关的同类问题。但显然不可能:
"通常,不可能在同一个IP地址和端口上托管多个SSL虚拟主机。"
取自here
我唯一能想到这个问题的另一种方法是创建单独的vhosts,其中第一个协商将设置不安全的协议,使用mod-rewrite进行一些检测 - 在我的情况下是旧的MS IE版本 - 然后指定一个"嘿,你的浏览器是旧的,升级!"页面,或使用正确的配置重定向到更安全的虚拟主机。
但我仍在调查并接受评论。