Wie kann ich Azure Application Gateway so konfigurieren, dass alte SSL-Verbindungen umgeleitet werden?

Question

Ich habe eine Website, die ich SSL-Zugriff auf alles zulassen möchte, aber TLS 1.2 nur für die API und alle sensiblen Teil der App.

Jeder veraltete Client sollte auf eine Fehlerseite gehen, in der er erklärt, warum er nicht auf die Ressource zugreifen kann und dass "es ist nicht wir, du bist" über einen veralteten Browser warnt.

Wie kann ich diese äquivalente Funktionalität (die auf einem Netscaler BTW vorhanden ist) in App Gateway konfigurieren?

Answer 1

Ich erinnere mich, Ihnen zu empfehlen, dass Sie versuchen, dass auf einem anderen Thread. Im Nachhinein bedauere ich es jetzt, da in der Dokumentation keine Möglichkeit erwähnt wird, die TLS-Protokollversion zu erkennen und benutzerdefinierte Maßnahmen zu ergreifen.

jedoch in etwas, das länger gewesen ist, wie nginx, ist dies fast trivial zu erreichen:

if ($ssl_protocol != "TLSv1.2") { 
    return 302 https://example.com/outdated.html; 
} 

dieses Thema finden Sie für eine breitere Diskussion:
https://community.qualys.com/thread/12758

Natürlich ist die Kehrseite der Medaille Ihr Ansatz ist, dass jedes PCI-ische Sicherheits-Audit-Tool Sie als "unsicher" kennzeichnen wird, da Sie TLS 1.0 und 1.1 handshake.

Was auch immer Sie tun, Hände NICHT mit SSLv3, not even once schütteln.

In anderen Nachrichten scheint Citrix eine Bring-your-Own-Lizenz NetScaler offering on Azure zu haben.