Tôi đã là người đọc thời gian dài nhưng đây là bài đăng đầu tiên của tôi về một chủ đề mà tôi không thể tìm được giải pháp.https với ECDHE-ECDSA-AES256-GCM-SHA384 trong cửa sổ 2012
Tôi hiện đang lưu trữ một trang web trên Windows 2012 mà tôi muốn nhận được mã hóa TLS 1.2 mới nhất chạy trên đó.
Tôi biết cách bật TLS 1.1 và TLS 1.2 trong cửa sổ và đã thực hiện điều đó (thông qua chỉnh sửa đăng ký). Tôi cũng đã thay đổi thứ tự mật mã theo thứ tôi muốn.
Câu hỏi của tôi là: Làm cách nào để tôi thực sự trải qua và thiết lập phần ECDHE/ECDSA của bộ mã hóa sau bước này?
Khi tôi xem trang web trong bản beta Chrome mới nhất (hỗ trợ ECDHE và ECDSA trong TLS 1.2, bạn có thể sử dụng các đường cong được hỗ trợ) có vẻ như bỏ qua tất cả các mật mã ECHDE.
Có điều gì khác tôi cần làm để có được ECDHE/ECDSA được bật đúng cách không?
Tôi đã đọc xung quanh trên mạng cố gắng để giải quyết điều này bản thân mình và họ đề cập đến làm bản sao của cert gốc của bạn và sau đó sửa đổi chúng bằng cách nào đó hỗ trợ ECDHE. Tôi đang sủa cây sai à?
Cảm ơn bạn trước cho bất kỳ và tất cả hỗ trợ về vấn đề này.
Edit: thêm làm rõ/tiến độ
Sau khi nghiên cứu nhiều hơn, tôi đã thấy rằng để có được ECDSA để làm việc, bạn cần một giấy chứng nhận ECDSA. Cách duy nhất để có được một tại thời điểm này là để tự ký, như cert-cartel vẫn chưa đưa ra các thỏa thuận cấp phép chéo và cấu trúc phí cho Ellipic Curve Certificates.
Vì tự ký không phải là một tùy chọn cho trang web này, tôi đã xóa tất cả các bộ ECDSA khỏi thứ tự mã hóa.
Thật không may, vì tất cả các bộ chế độ AES Galois Counter Mode cũng là ECDSA, quy tắc này sẽ được thực hiện trong thời gian này.
Điều này khiến tôi có bộ mã hóa mạnh nhất của ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521 mà tôi TIN CẬY được hỗ trợ bởi phiên bản Chrome beta mới nhất chính xác? Có vẻ như Chrome không nhận được gì ngoài SHA-1. Không có hỗ trợ SHA-2? ngay cả trong phiên bản beta mới nhất?
Sau khi nghiên cứu nhiều hơn, tôi tin rằng vấn đề với bộ mã hoá được lựa chọn của tôi là tôi không có một ECDSA CA. Tôi đã thêm máy chủ vào một tên miền (tên miền riêng của nó) và đã cài đặt AD CS. Tôi đã tạo chứng chỉ doanh nghiệp bằng cách sử dụng nhà cung cấp khóa phần mềm P-521 ECDSA từ MS. Bây giờ, tôi không biết làm thế nào để tiến hành để có được điều này thực sự làm việc trong IIS8. Ngoài ra một câu hỏi phụ: Tôi có cần phải tạo một chứng nhận cho mỗi đường cong nếu tôi muốn hỗ trợ tất cả 3 đường cong mặc định trong Windows 2012 không? – user2555174
> "Tôi có cần phải tạo một chứng nhận cho mỗi đường cong nếu tôi muốn hỗ trợ tất cả 3 đường cong mặc định trong Windows 2012 không?" - Nếu bạn đã sử dụng một Chứng nhận cho mọi thứ, ngay cả một Kênh không được mã hóa, thì sẽ dễ dàng đoán được Mã của Chứng chỉ. Tương tự như vậy nếu bạn sử dụng một Cert cho ba Curves và một Curves bị phá vỡ thì tất cả đều là những cái khác. Các Certs riêng biệt cho mọi thứ đều an toàn hơn vì nó lớn hơn (nhiều khóa hơn và khó giải mã hơn) Các khóa, nhưng tất cả đều tốn nhiều tiền hơn (cho bạn và một Kẻ tấn công). – Rob