Firefox是否可以强制使用ssl而不是tls
尽管如此,我还是想强迫Firefox56使用ssl而不是tls1.2。 我的目的是产生一个错误,如Firefox是否可以强制使用ssl而不是tls,ssl,firefox,https,tls1.2,csr,Ssl,Firefox,Https,Tls1.2,Csr,尽管如此,我还是想强迫Firefox56使用ssl而不是tls1.2。 我的目的是产生一个错误,如…无重叠…。并截取此错误的屏幕截图 关于:config中的首选项 根据我的理解,我已经设定了 security.tls.version.min=0和 security.tls.version.max=1 security.tls.version*的文档还指出: 这些首选项替换不推荐的安全性。启用\u ssl3和 安全性。启用\u tls布尔设置。升级后,旧的 首选项不会自动迁移 所以我检查了不推
…无重叠…
和security.tls.version.min=0security.tls.version.max=1
security.tls.version*安全性。启用\u ssl3安全性。启用\u tls安全性开始的首选项。请启用。因此,我似乎不必担心任何不推荐的设置
其他原因可能是
- 这干扰了我使用ssl3的意图
- 无法再重写和
证书是原因吗
该网站使用具有以下特征的证书:
与此站点的连接使用强协议(TLS 1.2),即
过时的密钥交换(RSA)和过时的密码(AES_256_CBC,带有
HMAC-SHA1)
阅读后,我假设使用的密码不是TLSV1的一部分,但运行下面的命令似乎可以证明使用的密码是支持SSL3的密码
openssl ciphers -v 'TLSv1' | grep "AES" | grep "256" | grep "CBC" | sort
// output
PSK-AES256-CBC-SHA SSLv3 Kx=PSK Au=PSK Enc=AES(256) Mac=SHA1
SRP-AES-256-CBC-SHA SSLv3 Kx=SRP Au=SRP Enc=AES(256) Mac=SHA1
SRP-DSS-AES-256-CBC-SHA SSLv3 Kx=SRP Au=DSS Enc=AES(256) Mac=SHA1
SRP-RSA-AES-256-CBC-SHA SSLv3 Kx=SRP Au=RSA Enc=AES(256) Mac=SHA1
更新
HSTS-严格传输安全HTTP响应头字段
这个问题可能是相关的
(HSTS-rfc 6797)包含
HTTP主机通过向UAs发出HSTS来声明自己是HSTS主机
政策,由代表并通过
安全上的严格传输安全HTTP响应头字段
运输
讨论中的站点具有这些标题字段和其他字段
p3p: CP="NON CUR OTPi OUR NOR UNI"
vary: Accept-Encoding
x-frame-options: SAMEORIGIN
x-content-type-options: nosniff
cache-control: max-age=315360000, public
expires: Sat, 03 Jul 2027 00:48:12 GMT
x-xss-protection: 1; mode=block
strict-transport-security: max-age=31536000; includeSubDomains
问题(tl;dr)
似乎50版及以上版本的firefox不能强制使用ssl3。是这样吗?如果没有,如何实现
据我所知,这是获得证书的第一步。CSR是否已经包含以后必须在https连接中使用的密码和协议
另见
问题1的答案:强制firefox使用弱加密
我无法强制当前的firefox(V54)使用弱加密。下载时,在设置security.tls.version.max=1之后,我能够强制执行所需的错误Firefox安全连接失败:ssl\u错误\u否\u密码\u重叠
这是我想要的截图:
问题2:CSR是否已经包含必须使用的密码和协议?
这一点我还不清楚。回答问题1:强制firefox使用弱加密
我无法强制当前的firefox(V54)使用弱加密。下载时,在设置security.tls.version.max=1之后,我能够强制执行所需的错误Firefox安全连接失败:ssl\u错误\u否\u密码\u重叠
这是我想要的截图:
问题2:CSR是否已经包含必须使用的密码和协议?
这对我来说还不清楚。好的,所以我理解您想在Firefox中启用SSL的原因是为了截图,所以如果您关闭此功能,您将看到错误消息的类型,并能够向用户解释问题?我认为这不是对你时间的建设性利用
Firefox被禁用了——在撰写本文时,这已经是20多个版本了(尽管承认只有3年前)。因此,即使您可以在当前版本中以某种方式重新启用它,错误消息可能与该版本中的内容完全不同
因此,如果你真的想这样做,那么你最好检查支持该功能的浏览器版本,而不是试图破解当前版本。如果您无法访问旧浏览器,那么像这样的网站可以提供帮助。但即便如此,它也可能根据用户使用的版本而改变
此外,Firefox从一开始就支持TLSv1.0,因此您真的不必担心关闭SSLv3,至少对于您的Firefox用户来说是这样。也许您需要担心关闭TLSv1.0AS,我们稍后会讨论这个问题,但我真的不担心为您的Firefox用户禁用SSLv3
事实上,目前使用的所有浏览器都支持TLSv1.0(),任何浏览器如果不支持TLSv1.0(),那么大多数网站都可能会出现更大的问题,除非它们真的只是纯文本网站,或者你真的是一个非常好的渐进式增强
所以关闭SSLv3-。另一种选择是,为使用古老浏览器的绝大多数用户冒100%的风险。是的,浏览器应该使用最高版本的TLS,而不是SSL(如果他们支持),但各种降级攻击可能会无意中导致情况并非如此。最安全的选择是禁用它。我通常不是一个绝对的人,通常会建议你测量你的使用量,但对于绝大多数网站来说,禁用SSLv3是他们应该做的事情。即使是他们的网站,如果他们能做到这一点,那么你可以确保你这样做是安全的
如果您收到投诉,那么错误消息可能会说“安全连接失败”和协议错误。是一个非常方便的网站,用于测试错误的SSL/TLS配置,但不幸的是,它没有SSLv3的示例
下一步是关闭TLSv1.0,这将变得不那么容易,因为浏览器要花更长的时间来实现更高版本(尤其是Internet Explorer,在版本11之前,他们没有可靠地获得TLSv1.2)。TLSv1.0还没有被打破,但它正在走出困境,标准如