由于使用RSA,我们在chrome中收到以下警告
@H_301_3@Your connection to website is encrypted with obsolete cryptography
我正在使用Windows Server 2012 IIS 8.
“How can i change that to DHE_RSA or ECDHE_RSA?”
最简单的解决方案是下载IIS Crypto并让它为您完成艰苦的工作.
要使用DHE_RSA或ECDHE_RSA,您需要在IIS加密窗口的左下方窗格中重新排序密码套件首选项.我目前将以下密码套件设置为我的最高优先级;
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521
您还需要正确设置其余部分的顺序并禁用某些条目.我强烈建议您使用“最佳实践”按钮,因为它会为您做到这一点.它还将禁用以下SSL3.0协议以及除3DES和AES 128/256之外的所有加密密码.您需要注意,通过这样做,您可能会导致与旧客户端的兼容性问题(想想XP及更低版本的IE6).对于大多数客户群来说,这些日子不应成为问题,但世界上某些地方仍然使用这样的旧软件.
我的回答的第二部分是指您希望删除最新版本的Chrome所显示的警告;
@H_301_3@Your connection to website is encrypted with obsolete cryptography
这很难实现.即使在更改为ECDHE_RSA或DHE_RSA之后,您也会
仍然看到警告.这是因为Chrome在CBC模式下考虑使用AES已经过时了.改变这种情况的方法是在GCM模式下使用AES,但是为了做到这一点,您需要确保首先使用下面的补丁修补您的服务器.这个补丁引入了四个新的密码套件,其中两个将满足我们的需求.
Before I give you the link,this comes with a health warning. This
patch was pulled by Microsoft in November due to a multitude of
issues. I do not yet know whether it is now considered safe to use,or
under what conditions. I have been trying to find out myself (see
07001)
Use at your own risk!
The patch is 07002
安装完成后,您现在可以使用IIS Crypto将以下密码套件放在列表顶部;
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
Chrome会对此感到满意.此套件的唯一缺点是您丢失了与ECDHE相关的椭圆曲线属性而不是DHE.这不会影响安全性,但会在密钥交换期间影响服务器和客户端的性能.您需要评估这种权衡对于您的特定用例是否值得.
最后,还可以通过使用将AES GCM与ECDHE / ECDSA组合的密码套件之一来实现这一点,例如,
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521
但是,只有在获得使用ECDSA生成公钥/私钥而非RSA的SSL证书时,此方法才有效.这些仍然相对罕见(阅读:昂贵),并可能导致客户端兼容性问题.我自己没有尝试过这个选项,因此无法与任何权威人士交谈.
最后,终于(真的,最后).完成上述所有操作后,我实际上不会担心它.在可预见的未来,我将继续在我的IIS机箱上使用AES CBC. Chrome仅显示上述警告,如果用户选择单击并查看TLS详细信息,则无法通过查看地址栏符号系统来指示.
希望有所帮助,并为文章道歉!