如何配置Azure Application Gateway以重定向旧的SSL连接?

时间:2016-08-02 15:02:10

标签: azure azure-application-gateway

我有一个网站,我想允许SSL访问所有内容,但TLS 1.2仅限于API,以及应用程序的任何敏感部分。

任何过时的客户端都应该转到错误页面,解释他们无法访问资源的原因,以及“不是我们,它是你”对过时浏览器的警告。

如何在App Gateway中配置此等效功能(存在于Netscaler BTW上)?

1 个答案:

答案 0 :(得分:1)

我记得建议你在不同的主题上尝试。事后我现在后悔了,因为文档没有提到任何检测TLS协议版本和采取自定义操作的能力。

然而,在那些已经存在更长时间的事情中,例如nginx,这几乎是微不足道的:

if ($ssl_protocol != "TLSv1.2") {
    return 302 https://example.com/outdated.html;
}

请参阅此主题以进行更广泛的讨论:
https://community.qualys.com/thread/12758

当然,你的方法的缺点是任何PCI-ish安全审计工具都会将你标记为“不安全”,因为你在TLS 1.0和1.1上进行握手。

无论你做什么,都不要与SSLv3握手, not even once

在其他新闻中,Citrix似乎拥有自带许可证NetScaler offering on Azure