我有一個Azure應用服務,Windows服務使用它與HTTPS進行通信。Win XP無法連接到Azure應用服務
自5月17日開始,Windows XP或Windows 2003上的Windows服務無法與我的服務器通信。
我上https://www.ssllabs.com/ssltest/運行測試,我看到,我的Azure的應用服務服務器關閉了「IE 6/XP」,由於「無SNI」和「無FS」
連接和「IE 8/XP」我的問題是:Azure App Service最近有什麼變化,如果是,那麼是否可以重新配置,以允許這些連接?
但真正困擾我的是,如果自5月份以來Azure發生任何變化,導致我的問題。
根據this article,Azure Web App在4月底更新了TLS/SSL密碼套件以提高安全性。新的密碼套件順序刪除了Windows XP要求使用前向保密的3DES密碼。
之後,Azure Web App不支持RC4(RC4 was removed at 2016/04)和3DES。這導致我們無法使用HTTPS與託管在Azure Web App上的我們的Web服務器進行通信。
從參考文章:需要注意的是這種變化尚未作出實時的是,它會在開始4月3日4周內推出,2017
SNI最有可能是服務器名稱指示,是TLS的一部分。這確實與HTTPS相同。它不像HTTPS本身那麼古老,這就解釋了爲什麼像XP這樣的過時操作系統支持HTTPS而不支持SNI。
SNI的不安全等價物是「虛擬主機」,它受XP支持。所以你只需要降級到普通的舊HTTP/1.1。當然,你必須非常小心才能做到這一點,只適用於開始時不安全的客戶,否則即使對於安全的客戶端也要打開後門。而且你可能應該得到法律部門的參與,以起草責任豁免。 (但這是越來越脫離主題)
謝謝您的回答。我知道,我可以在仍然使用XP的那些有問題的客戶端上強制進行HTTP通信,但真正困擾我的是自5月以來Azure上發生了什麼變化,這導致了我的問題。 –
@MaciejJakubczyk:不是XP,但Vista支持剛剛結束,我認爲它與IE8。 – MSalters
謝謝,我自己找不到它。儘管我沒有收到任何關於此更改的電子郵件。關於TSL/SSL安全升級的最後一封電子郵件是從2015年6月起。不是很酷的Azure,並不酷。 –