Как убедиться, что клиент использует (или может использовать) TLS v1.2 при посещении некоторых страниц приложения?

Это приложение Spring?   -  person Dan    schedule 06.08.2018

@ Дэн, да, это весна.   -  person Kashif Ibrahim    schedule 06.08.2018

@Andreas: я изменил свой вопрос, и этот вопрос не является дубликатом. Другой вопрос не решает мою проблему.   -  person Kashif Ibrahim    schedule 07.08.2018

Вы можете написать фильтр и каким-то образом получить доступ к docs.oracle.com/javase/7/docs/api/javax/net/ssl/ для программной проверки страницы и версии TLS сеанса.   -  person rodrigoap    schedule 07.08.2018

Ссылка на дубликат Как заставить сервер Java принимать только tls 1.2 и отклонять соединения tls 1.0 и tls 1.1 удалена   -  person Andreas    schedule 07.08.2018

@rodrigoap Объясните, пожалуйста, как мне получить версию TLS сеанса из объекта сеанса/запроса? Спасибо за всю помощь здесь.   -  person Kashif Ibrahim    schedule 07.08.2018

Не уверены, что это отличная идея? Сессия может быть скомпрометирована при более низком шифровании до достижения безопасной зоны. Если злоумышленник может заранее скомпрометировать, он может запустить MITM, установить TLS 1.2 с сервером и поддерживать более низкое скомпрометированное шифрование с пользователем-жертвой. Не уверен, что это ваш вариант использования, поэтому не уверен, применимо ли это, но будьте осторожны, когда умничаете с шифрованием, многие альфа-ботаники вкладывают массу труда в разработку текущих схем, проявлять творческий подход к ним опасно.   -  person Taylor    schedule 08.08.2018