IIS TLS证书 - Chrome说我们正在使用"过时加密"
我们在IIS中为网站安装了服务器证书.当通过HTTPS浏览网站并使用chrome检查图标时,我们会收到一条消息"您的连接...使用过时的加密技术进行加密".
如何配置IIS以便Chrome停止显示此消息,还需要平衡支持IE> = 8的需要.
[编辑]:根据屏幕截图,我们可以看到使用的加密方法是"带有SHA1的AES_256_CBC用于消息验证".问题是我们如何在IIS中更改此内容,以便Chrome不再抱怨"Obselete Cryptography".
Steffen给出的答案是不正确的(尽管如果你进一步阅读,他提供的链接确实提供了答案).在这种情况下,Chrome提供有关过时加密的错误的原因是由于CBC模式下的AES.
它与拥有SHA-1证书无关.
TL; DR - 忽略这个错误,没关系.
如果您真的想要摆脱错误,那么您需要启用AES GCM.然而,这说起来容易做起来难.我最近在serverfault上完整地回答了这个问题 - 请参阅我的答案的后半部分;
https://serverfault.com/questions/683697/change-key-exchange-mechanism-in-iis-8/683705#683705
您可能想阅读https://www.chromium.org/Home/chromium-security/education/tls#TOC-Deprecation-of-TLS-Features-Algorithms-in-Chrome,这是寻找此内容时的第一个点击具体错误信息。
如果不查看您的证书,很难确定,但我想链接页面中的以下描述将与您的证书匹配:
2015 年初,Chrome 中已弃用 SHA-1。2016 年到期的证书将被标记为“安全,但有轻微错误”。2017 年到期的证书稍后将被视为“绝对不安全”。
- 抱歉,史蒂芬这不是真的。RSA加密用于交换对称加密的加密密钥,而这正是Chrome所抱怨的对称加密。根据我的屏幕截图,对称加密使用“AES_256_CBC 和 SHA-1 进行消息身份验证”,这是 chrome 不喜欢的部分,我们需要在 IIS 中进行更改。(这是我希望有人能帮我的一点)。 (5认同)
- 好的。如何将 IIS 使用的加密方式从 SHA-1 更改为 Chrome 可接受的其他加密方式? (2认同)
| 归档时间: |
|
| 查看次数: |
21165 次 |
| 最近记录: |