我有一个Azure应用服务,Windows服务使用HTTPS与之通信。
自17年5月初以来,Windows XP或Windows 2003上的Windows服务都无法与我的服务器通信。
我在https://www.ssllabs.com/ssltest/上运行测试,我看到,由于“没有SNI”和“没有FS”,我的Azure App Service服务器关闭了“IE 6 / XP”和“IE 8 / XP”的连接“
我的问题是:最近Azure App Service上有什么变化,如果是,那么我可以重新配置,以允许这些连接吗?
答案 0 :(得分:0)
SNI很可能是服务器名称指示,是TLS的一部分。这确实是用HTTPS预期的。它不像HTTPS本身那么古老,这解释了为什么像XP这样过时的操作系统支持HTTPS但不支持SNI。
SNI的不安全等价物是"虚拟主机",XP支持。所以你只需要降级到普通的旧HTTP / 1.1。当然,你必须非常小心,只为那些开始不安全的客户这样做,否则你甚至为安全的客户打开了后门。你可能应该让法律部门参与,以便起草责任豁免。 (但那是偏离主题的)
答案 1 :(得分:0)
但真正困扰我的是,如果自Azure在5月以来发生任何变化,那就会导致我的问题。
根据this article,Azure Web App已更新TLS / SSL密码套件,以提高4月底的安全性。新的密码套件订单删除了Windows XP要求使用前向保密所需的3DES密码。
之后,Azure Web App不支持RC4(RC4 was removed at 2016/04)和3DES。这导致我们无法使用HTTPS与Azure Web App上托管的Web服务器进行通信。
来自参考文章:请注意,此更改尚未生效,将于2017年4月3日起推出四周。