Chứng chỉ IIS TLS - Chrome cho biết chúng tôi đang sử dụng "mật mã quá cũ"

Question

Chúng tôi đã cài đặt chứng chỉ máy chủ trong IIS cho một trang web. Khi duyệt qua HTTPS tới trang web và kiểm tra biểu tượng bằng chrome, chúng tôi nhận được thông báo "Kết nối của bạn ... được mã hóa bằng mật mã quá cũ".

Làm cách nào để định cấu hình IIS để Chrome ngừng hiển thị thông báo này, cũng cần cân bằng nhu cầu hỗ trợ IE> = 8.

[EDIT]: Theo ảnh chụp màn hình, chúng ta có thể thấy rằng các phương pháp mã hóa sử dụng là "AES_256_CBC với SHA1 để xác thực thông báo". Câu hỏi đặt ra là làm thế nào để chúng ta thay đổi điều này trong IIS để Chrome không còn phàn nàn về "Obselete Cryptography".

Answer 1

Bạn có thể muốn đọc https://www.chromium.org/Home/chromium-security/education/tls#TOC-Deprecation-of-TLS-Features-Algorithms-in-Chrome, đây là lần truy cập đầu tiên khi tìm kiếm thông báo lỗi cụ thể này.

Thật khó có thể biết chắc chắn mà không cần phải nhìn vào chứng chỉ của bạn, nhưng tôi đoán mô tả sau đây từ trang liên kết sẽ phù hợp với chứng chỉ của bạn:

SHA-1 bị phản đối trong Chrome khi bắt đầu của năm 2015. Chứng chỉ hết hạn vào năm 2016 sẽ được đánh dấu là "an toàn, nhưng có lỗi nhỏ". Chứng chỉ hết hạn vào năm 2017 sau đó sẽ được coi là "không chắc chắn".

Answer 2

Câu trả lời mà Steffen đưa ra là không chính xác (mặc dù liên kết mà anh cung cấp cung cấp câu trả lời nếu bạn đọc sâu hơn). Lý do Chrome đưa ra lỗi liên quan đến mật mã lỗi thời trong trường hợp này là do AES ở chế độ CBC.

Không có gì liên quan đến việc có chứng chỉ SHA-1.

TL; DR - bỏ qua lỗi này, không quan trọng.

Nếu bạn thực sự muốn loại bỏ lỗi thì bạn cần bật AES GCM thay thế. Tuy nhiên điều này nói dễ hơn làm. Tôi đã trả lời điều này đầy đủ trên serverfault gần đây - xem phần thứ hai của câu trả lời của tôi ở đây;

https://serverfault.com/questions/683697/change-key-exchange-mechanism-in-iis-8/683705#683705

Answer 3

Kể từ khi mới vào SSL và chứng chỉ, tôi phải vật lộn với điều này quá. Đây là cách chúng tôi giải quyết vấn đề này. Lưu ý rằng trong trường hợp của chúng tôi, chúng tôi đang làm việc với một ứng dụng web nội bộ và sử dụng chứng chỉ tự ký.

1. Sử dụng OpenSSL trên Linux, tạo một khóa bí mật:
   openssl genrsa -out box.key 2048
2. Sau đó tạo và ký giấy chứng nhận với phím (chúng tôi thiết lập ngày hết hạn trong vòng một năm ra và 10 ngày):
   openssl req -new -x509 -sha256 -days 375 -key box.key -out box.crt
3. trả lời các câu hỏi (đảm bảo Common Name trận máy chủ web của FQDN)
4. Cấu hình máy chủ web của bạn để sử dụng SSL sử dụng khóa này và giấy chứng nhận
5. Sử dụng Chrome trên Windows, nhập các trang web của bạn HTTPS URL
6. Bấm vào biểu tượng khóa vào thanh địa chỉ, sau đó chọn liên kết Certificate Information trong popup
7. Chuyển đến Details tab, chọn nút Copy to File... để khởi động Certificate Export Wizard
8. Sử dụng trình hướng dẫn, chọn PKCS # 7 làm định dạng xuất và lưu chứng chỉ (ví dụ: mykey.p7b)
9. Cài đặt chứng chỉ trong các cửa hàng Trusted Root Certification Authorities chứng chỉ (sử dụng certmgr.msc hoặc phải nhấp chuột trên giấy chứng nhận và chọn Install Certificate
10. Đóng Chrome, đăng xuất và đăng nhập lại vào Windows (buộc các trang web cũ cảnh báo ra khỏi bộ nhớ cache)
11. Re-mở Chrome và nhập các trang web của bạn HTTPS URL
12. Chiêm ngưỡng biểu tượng shiny green lock của bạn với mật mã hiện đại

Answer 4

Để trả lời câu hỏi của riêng tôi:

1. Đảm bảo mới nhất Windows Updates đã được cài đặt
2. Tải về và chạy IIS Crypto (https://www.nartac.com/Products/IISCrypto)

3. Đảm bảo rằng Cipher đây là đầu danh sách ở phía bên tay trái:

   TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

4. Áp dụng thay đổi trong IIS Crypto

5. Khởi động lại máy chủ

Answer 5

In this link có danh sách trắng và đen về mật mã. Có lẽ nếu bạn chỉ sử dụng những màu trắng nó sẽ giải quyết vấn đề của bạn. Xem xét các danh sách trong các bình luận bạn sẽ thấy rằng nó đã thay đổi một chút kể từ khi câu trả lời được viết.

Nó đã giúp tôi rất nhiều khi tôi bắt đầu có vấn đề này với Glassfish, tôi hy vọng nó sẽ giúp bạn với IIS quá.