Joh*_*son 7 iis encryption google-chrome sha
我正在尝试在Windows 2012 R2上配置IIS 8.5,以便我不会从Chrome获得该网站使用过时加密的通知.下图来自Mac OS X,但我在Windows 8.1中收到类似的消息,其中加密算法为AES_256_CBC,使用SHA1散列,密钥交换为ECDHE_RSA.问题是SHA1消息散列.谷歌正试图让网站使用SHA2消息哈希.在Mac上,使用的算法是SHA256用于散列签名,但这里的问题是AES加密的GCM修饰符.
我有一个新的证书,即支持SHA256消息散列的2048位RSA证书.
我使用NARTAC IIS加密工具来配置IIS服务器.启用的协议是TLS 1.0,TLS 1.1和TLS 1.2启用的密码是TripleDES 168,AES 12/128和AES 256/256.哈希启用的是SHA,SHA256,SHA384和SHA512.启用的密钥交换是Diffie-Hellman,PKCS和ECDH.已启用套件的SSL密码套件订单包括:
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521(它确实是这样,在最新的工具)TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256 TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
我已尝试过此配置的大量变体,但没有一个导致Chrome的通知消失的工作网站.如果我从密码启用中删除AES 128/128,它似乎没有任何影响.如果我从已启用哈希中删除SHA,则该网站无法与为网站提供数据服务的SQL Server 2012进行通信.如果我从支持的订单中删除基于SHA1的SSL密码套件,则浏览器无法连接到服务器.
有没有人使用SQL Server的Windows IIS 8.5工作配置,Chrome通知消失了?
小智 6
Windows Server 2012似乎没有提供解决此错误所需的TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256密码套件.有关列出各种版本服务器的密码套件的页面的链接,请参阅https://msdn.microsoft.com/en-us/library/windows/desktop/aa374757(v=vs.85).aspx.您会注意到Windows Server 2012确实有这个密码套件,我发现升级到2016是解决Google错误的最佳方式.请注意,如果您升级到Windows Server 2016,您将再次需要使用IIS_Crypto 2.0程序来适当地订购密码(或您选择的任何订购界面).使用最佳实践模板将帮助您实现目标.我选择了他们的密码顺序,在列表的顶部产生TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384.
将 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 放在列表顶部,或者不要让服务器覆盖客户端提供的密码顺序(这会将首选密码放在顶部)。我不知道是否有这样的选择。
有关该问题的更多背景信息,请参阅https://security.stackexchange.com/questions/85532/chrome-showing-cryptography-as-obsolete/85544#85544
| 归档时间: |
|
| 查看次数: |
7271 次 |
| 最近记录: |