Отвергаю ли я клиентов, отключив SSL 2.0 и PCT 1.0 в IIS5?

Question

Рискну ли я потерять продажи, отключив SSL 2.0 и PCT 1.0 в IIS5?

Пояснение: продажи будут потеряны из-за невозможности подключения клиента через SSL для завершения транзакции электронной торговли, поскольку на веб-сервере отключены SSL 2.0 или PCT 1.0.

Статья Microsoft kbase: http://support.microsoft.com/kb/187498

Answer 1

Современные браузеры либо вообще не поддерживают SSLv2 (Google Chrome, Opera 9.52, Firefox), либо отключены по умолчанию (IE7, IE8).

Тем не менее, вы обеспокоены тем, что теряете бизнес из-за людей, использующих гораздо менее современные веб-браузеры?

Возможно, что еще важнее, вы беспокоитесь о безопасности своих клиентов? Даже если они могут подключаться только с использованием SSLv2, хотите ли вы, чтобы они выполняли безопасные транзакции с вами по протоколу, который, как известно, небезопасен (см. Google )?

Как специалист по компьютерам, я без колебаний рекомендую руководству отключить SSLv2. Я бы оставил это на усмотрение бобовых, чтобы определить, считают ли они дополнительный доход потенциальной ответственностью.

Answer 2

Нет. Количество пользователей с поддержкой SSLv2 вообще, а тем более SSLv2 only , ничтожно мало. Он устарел с 1996 года и отключен или даже не включен во все важные современные браузеры.

Answer 3

Только вы действительно можете ответить на этот вопрос. Опыт ваших клиентов на вашем сайте будет зависеть от их браузера. Первое место для поиска информации в браузере - это список пользовательских агентов, которые используются для доступа к вашему веб-сайту. Надеюсь, у вас есть хороший анализатор логов, такой как Analog, Weblog, Google Analytics, WebTrends и т. Д. Это первое место, на которое стоит обратить внимание и которое должно дать вам хорошее представление об уровне SSL, поддерживаемом вашим общим сообществом.

Возможно, вы также захотите изменить свое приложение, чтобы проверять уровень SSL, поддерживаемый браузерами ваших пользователей, которые попадают в раздел «Полная транзакция электронной торговли» вашего веб-сайта. Это лучший способ определить, отвергаете ли вы клиентов.

Помните, что уровень SSL автоматически согласовывается между сервером и клиентом (наилучшее шифрование используется в первую очередь), поэтому вам не обязательно отключать более старые версии, но вы можете выдать пользователю сообщение с предложением обновить его.

Answer 4

Предположительно, вы используете SSL для защиты пользователей от атак "человек посередине" или других атак, да? SSLv2 бесполезен для этого. Отключите его - количество пользователей, использующих браузер без поддержки SSLv3 или TLS, исчезающе мало, и проще сделать их чужой проблемой, чем объяснить, почему кто-то в Нигерии использует свою кредитную карту.