Показывать пользовательское сообщение (jsp страница) пользователям, которые используют старые браузеры без поддержки TLS 1.2

Question

Я хочу удалить более старые версии TLS и шифров из моего приложения (развернутого на tomcat server 8.5.32), которое является приложением на основе java 8.

У меня есть пользователи, использующие старые браузеры / операционные системы и они не смогут получить доступ к приложению (TLS 1.0 и TLS 1.1).

Я хочу поймать этих людей и перенаправить их на другую страницу приложения, чтобы показать клиентам более приятное сообщение.

Кто-нибудь может предложить способ, которым это может быть достигнуто?

У меня есть предложение от члена stackoverflow использовать набор правил перезаписи от клапана перезаписи (https://tomcat.apache.org/tomcat-8.5-doc/rewrite.html), так как этот допускает условия для% {SSL: переменная}, а затем я перенаправляю браузер на выделенный URL.

Кто-нибудь уже пробовал это?

Answer 1

Вы не можете сделать это. Соединение TLS происходит сначала , затем любое соединение протокола HTTP или уровня приложения может использовать это соединение.

Поэтому, если вы отключите более старые версии TLS, все, что не поддерживает TLS на вашем сайте, не сможет подключиться, и поэтому не может получать никаких инструкций для go где-либо еще.

Это оставляет вам ряд вариантов:

1. Измерьте заранее, чтобы увидеть удар перед выключением старые протоколы, регистрируя это в журналах вашего веб-сервера. ИМХО, очень мало браузеров будут затронуты (только действительно старые), но вы можете найти некоторые службы, которые не работают, если у вас есть внутренние, не браузерные приложения.

2. Перенаправление на предупреждение страницу перед выключением, если вы видите, что находитесь на старой версии. Через некоторое время отключите его.

3. Оставьте его включенным для некоторых маршрутов (например, главной страницы), но не разрешайте ему доступ к более чувствительным маршрутам (в основном вариант варианта 2). выше).

4. Выключите его и посмотрите, кто жалуется.