小编Ste*_*365的帖子

我最近了解到，在 11 月发布补丁KB2992611之后，Microsoft 为 schannel（以及 IIS）提供了四个新的密码套件；

• TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_RSA_WITH_AES_256_GCM_SHA384
• TLS_RSA_WITH_AES_128_GCM_SHA256

我也知道此补丁和上述四种密码存在问题，导致补丁被临时拉取，并且默认情况下上述密码套件处于禁用状态。

我的问题有两个方面；

1. 现在是否已更正此问题，在运行 IIS 7.5 及更高版本的 Web 服务器上使用上述密码套件是否安全？

2. 在以下两个选项中，哪一个被认为是“最好的”；

   TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

换句话说，第二个选项 (ECDHE_RSA) 的黄道曲线元素是否被第一个提供的高级版 AES (AES_GCM) 所抵消？

最后，这里的建议在 2008 R2、2012 和 2012 R2 之间有什么不同吗？