เรากำลังใช้กลไกการแลกเปลี่ยนคีย์ RSA สำหรับใบรับรอง SSL ฉันจะเปลี่ยนสิ่งนั้นเป็นDHE_RSAหรือECDHE_RSAอย่างไร
เนื่องจากการใช้ RSA เราได้รับคำเตือนด้านล่างเป็นโครเมี่ยม
การเชื่อมต่อกับเว็บไซต์ของคุณถูกเข้ารหัสด้วยการเข้ารหัสที่ล้าสมัย
ฉันใช้ Windows Server 2012 IIS 8
คำตอบ:
ก่อนอื่นให้ตอบคำถามของคุณโดยเฉพาะ
"ฉันจะเปลี่ยนเป็น DHE_RSA หรือ ECDHE_RSA ได้อย่างไร"
วิธีแก้ปัญหาที่ง่ายที่สุดคือดาวน์โหลด IIS Crypto และทำงานให้คุณ
ในการใช้ DHE_RSA หรือ ECDHE_RSA คุณจะต้องสั่งซื้อชุดการเข้ารหัสใหม่ในบานหน้าต่างด้านซ้ายล่างของหน้าต่าง IIS Crypto ขณะนี้ฉันตั้งค่าชุดรหัสต่อไปนี้เป็นค่ากำหนดสูงสุดของฉัน
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521
คุณจะต้องตั้งค่าการสั่งซื้อที่เหลืออย่างถูกต้องและปิดการใช้งานบางรายการ ฉันขอแนะนำอย่างยิ่งให้ใช้ปุ่ม 'วิธีปฏิบัติที่ดีที่สุด' ซึ่งจะเป็นเช่นนี้กับคุณ นอกจากนี้ยังจะปิดการใช้งานโปรโตคอล SSL3.0 และด้านล่างและรหัสเข้ารหัสทั้งหมดนอกเหนือจาก 3DES และ AES 128/256 คุณต้องระวังว่าการทำเช่นนี้อาจทำให้เกิดปัญหาความเข้ากันได้กับไคลเอนต์เก่ามาก (คิดว่า IE6 บน XP และด้านล่าง) ด้วยฐานลูกค้าส่วนใหญ่สิ่งนี้ไม่ควรเป็นปัญหาในปัจจุบัน แต่บางส่วนของโลกยังคงใช้ซอฟต์แวร์รุ่นเก่าเช่นนี้
ส่วนที่สองของคำตอบของฉันอ้างถึงความต้องการของคุณในการลบคำเตือนที่ Chrome เวอร์ชันล่าสุดแสดง
การเชื่อมต่อกับเว็บไซต์ของคุณถูกเข้ารหัสด้วยการเข้ารหัสที่ล้าสมัย
นี่เป็นการยากที่จะบรรลุ แม้หลังจากเปลี่ยนเป็น ECDHE_RSA หรือ DHE_RSA คุณจะยังคงเห็นคำเตือน เนื่องจาก Chrome กำลังพิจารณา AES ในโหมด CBC ที่จะล้าสมัย วิธีในการเปลี่ยนแปลงนี้คือการใช้ AES ในโหมด GCM แทนเพื่อที่จะทำเช่นนั้นคุณจะต้องตรวจสอบให้แน่ใจว่าคุณได้ทำการปะแก้เซิร์ฟเวอร์ของคุณเป็นอันดับแรกด้วยโปรแกรมแก้ไขด้านล่าง แพทช์นี้แนะนำชุดรหัสใหม่สี่ชุดซึ่งสองชุดจะทำสิ่งที่เราต้องการที่นี่
ก่อนที่ผมจะให้คุณเชื่อมโยงที่นี้มาพร้อมกับคำเตือนสุขภาพ ไมโครซอฟท์ได้รับการดึงนี้ในเดือนพฤศจิกายนเนื่องจากมีปัญหามากมาย ฉันยังไม่รู้ว่าตอนนี้ถือว่าปลอดภัยแล้วหรือยังภายใต้เงื่อนไขใด ฉันพยายามค้นหาตัวเอง (ดู คำถามนี้ )
ใช้ความเสี่ยงของคุณเอง!
แพตช์คือKB2992611
เมื่อติดตั้งแล้วคุณสามารถใช้ IIS Crypto เพื่อวางชุดรหัสต่อไปนี้ที่ด้านบนของรายการ
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
Chrome จะมีความสุขกับสิ่งนี้ ข้อเสียเพียงอย่างเดียวของชุดนี้คือคุณสูญเสียคุณสมบัติเส้นโค้งรูปไข่ที่สัมพันธ์กับ ECDHE แทนที่จะเป็น DHE สิ่งนี้ไม่ส่งผลต่อความปลอดภัย แต่จะมีผลกับเซิร์ฟเวอร์และประสิทธิภาพของไคลเอ็นต์ในระหว่างการแลกเปลี่ยนคีย์ คุณจะต้องประเมินว่าการแลกเปลี่ยนนี้มีประโยชน์สำหรับกรณีการใช้งานเฉพาะของคุณหรือไม่
ในที่สุดก็เป็นไปได้ที่จะบรรลุสิ่งนี้โดยใช้หนึ่งในชุดรหัสที่รวม AES GCM กับ ECDHE / ECDSA เช่น
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521
อย่างไรก็ตามวิธีนี้จะใช้ได้เฉพาะในกรณีที่คุณได้รับใบรับรอง SSL ที่ใช้ ECDSA เพื่อสร้างคีย์สาธารณะ / ส่วนตัวของคุณแทน RSA สิ่งเหล่านี้ยังค่อนข้างหายาก (อ่าน: แพง) และอาจทำให้เกิดปัญหาความเข้ากันได้ของไคลเอ็นต์ ฉันไม่ได้ทดลองตัวเลือกนี้ด้วยตัวเองและดังนั้นจึงไม่สามารถพูดคุยกับผู้มีอำนาจใด ๆ ในนั้น
ในที่สุดสุดท้าย (จริงๆสุดท้าย) หลังจากทั้งหมดข้างต้นที่จริงฉันไม่ต้องกังวลกับมัน ฉันจะใช้ AES CBC ต่อไปในกล่อง IIS ของฉันสำหรับอนาคตอันใกล้ Chrome จะแสดงคำเตือนดังกล่าวเฉพาะในกรณีที่ผู้ใช้เลือกที่จะคลิกและดูรายละเอียด TLS ไม่มีสิ่งบ่งชี้อื่น ๆ จากการดูที่สัญลักษณ์แถบที่อยู่
หวังว่าจะช่วยและขอโทษสำหรับเรียงความ! ;-)
วิธีที่ง่ายที่สุดที่ฉันรู้เพื่อเปลี่ยนลำดับของชุดรหัสใน Windows ใช้เครื่องมือขนาดเล็กIIS Crypto
อย่างไรก็ตามข้อความที่คุณได้รับใน Chrome น่าจะไม่เกี่ยวข้อง
Your connection to website is encrypted with obsolete cryptographysha1จะแสดงเมื่อใบรับรองหรือพ่อแม่ของคุณมีอัลกอริทึมลายเซ็นของ ตรวจสอบว่าก่อนและอาจแทนที่ใบรับรองนั้น