为什么 Chrome 会抱怨“过时的密码学”?
Adr*_*ore 5 iis ssl https ssl-certificate windows-server-2008-r2
我在 IIS/Windows 2008R2 上托管一个带有通配符 ssl 证书的 ASP.NET 网站。虽然 Chrome 在我的网站上运行良好,并在 https 连接上显示绿色锁,但 https 详细信息提到了“过时的加密”:
我认为这是由于 SHA1 造成的,chrome 在同一窗口中也提到了这一点。
但是,根据 Digicert 的 SSL 证书检查器,应该使用 SHA256:
现在我不确定发生了什么以及如何解决这个问题。这篇博文似乎描述了此问题的解决方法,但该解决方法似乎很模糊(1. 步骤:安装 OpenSSL?),我无法想象这是在 Windows 2008 R2 上执行此操作的官方方法。
我应该如何继续摆脱 ssl 证书警告?
编辑:应用Grant 推荐的脚本后,我的 SSLabs 已从 C 改进为 A,Chrome 使用 TLS 1.2 而不是 1.0。但是,“过时的密码学”警告仍然存在。
导致问题的不是 SHA,而是 TLS 1.0。
您的域的 SSL 实验室报告提供了完整的故事。您的服务器仅支持 TLS 1.0,不支持 1.1 或 1.2。此外,它还支持RC4等过时的密码,不支持完美前向保密。
调整 IIS 以获得更好的安全性是完全可能的,但手动完成会很痛苦。 这个由 Alexander Hass 编写的精彩脚本将设置各种注册表设置以禁用 IIS7.5 和 IIS8 的旧不安全加密方法。
运行脚本后,重新启动服务器,您应该在 SSLLabs 上获得 A 评级,并停止在 chrome 中收到警告。
- 实际上,我不确定它是 TLS 1.0。我认为这是使用 AES_128_CBC 作为密码套件。如果我没记错的话,Chrome 只会将 AES_GCM 和 CHACHA_POLY 识别为“现代”密码学。虽然它可能是使用 TLS 1.0 和密码套件...... (4认同)