我在IIS /
Windows 2008R2上托管带有通配符ssl证书的ASP.NET网站.虽然Chrome可以正常使用我的网站并显示绿色锁定https连接,但https详细信息提到“过时加密”:
我认为这是由于SHA1,同一窗口中的chrome也提到了它.
但是,根据Digicert的SSL证书检查器,应使用SHA256:
现在我不确定发生了什么以及如何解决这个问题.看来this blog post描述了这个问题的解决方法,但是解决方法看起来很模糊(1.步骤:安装OpenSSL?),我无法想象这是在Windows 2008 R2上执行此操作的正式方法.
我应该如何去除ssl证书警告?
编辑:应用Grant推荐的script后,我的SSLabs已从C改进为A,Chrome使用的是TLS 1.2而不是1.0.但是,“过时加密”警告仍然存在.
它不是导致问题的SHA,而是TLS 1.0.
The SSL Labs report为您的域名提供了完整的故事.您的服务器仅支持TLS 1.0,而不支持1.1或1.2.此外,它仍然支持像RC4这样过时的密码,并且不支持完美的前向保密.
调整IIS以获得更好的安全性是非常可能的,但是手工操作很痛苦. This wonderful script由Alexander Hass编写,将设置各种注册表设置以禁用IIS7.5和IIS8的旧的不安全加密方法.
运行脚本后,重新启动服务器,您应该在SSLLabs上获得A评级,并停止在chrome中获取警告.