1. Dom
  2. Pytanie i odpowiedź
  3. Certyfikat IIS TLS - Chrome mówi, że używamy "przestarzałej kryptografii"

Certyfikat IIS TLS - Chrome mówi, że używamy "przestarzałej kryptografii"

2015-03-23 9 views
15

Zainstalowaliśmy certyfikat serwera w IIS dla strony internetowej. Podczas przeglądania HTTPS na stronie internetowej i sprawdzania ikony za pomocą chrome, otrzymujemy komunikat "Twoje połączenie ... jest zaszyfrowane przestarzałą kryptografią".Certyfikat IIS TLS - Chrome mówi, że używamy "przestarzałej kryptografii"

W jaki sposób skonfigurować usługi IIS, aby Chrome przestał wyświetlać ten komunikat, należy również zrównoważyć potrzebę obsługi IE> = 8.

enter image description here

[Edycja] Zgodnie z ekranu, to można zobaczyć, że sposób szyfrowania stosuje się „AES_256_CBC z SHA1 do uwierzytelnienia wiadomości”. Pytanie brzmi, jak to zmienić w IIS, aby Chrome nie zaczął już narzekać na "Kryptografię Obselete".

Źródło

2015-03-23 gls123

Odpowiedz

1

Być może zechcesz przeczytać https://www.chromium.org/Home/chromium-security/education/tls#TOC-Deprecation-of-TLS-Features-Algorithms-in-Chrome, co było pierwszym trafieniem podczas wyszukiwania tego konkretnego komunikatu o błędzie.

Trudno jest wiedzieć na pewno, bez konieczności zapoznać się certyfikatu, ale myślę, że następujący opis z połączonej stronie dopasuje swój certyfikat:

SHA-1 jest przestarzałe w Chrome na początku z 2015 r. Certyfikaty wygasające w 2016 r. będą oznaczone jako "bezpieczne, ale z drobnymi błędami". Certyfikaty wygasające w 2017 r. Będą później traktowane jako "niezabezpieczone afirmatywnie".

Źródło

2015-03-23 17:34:05

+2

OK. Jak zmienić kryptografię używaną przez IIS z SHA-1 na coś innego, co będzie do zaakceptowania przez Chrome? – gls123

+0

Problem nie dotyczy IIS, ale twojego certyfikatu. Skontaktuj się z dostawcą certyfikatu w sprawie problemu. Należy jednak zauważyć, że to rozwiązanie jest tylko domysłem opartym na niepełnych informacjach. –

+4

Niestety Steffen to po prostu nieprawda. Kryptografia RSA służy do wymiany kluczy szyfrujących dla symetrycznej kryptografii, a jest to symetryczna kryptografia, na którą skarży się Chrome.Zgodnie z moim zrzutem ekranowym, kryptografia symetryczna używa "AES_256_CBC z SHA-1 do uwierzytelniania wiadomości", jest to ten fragment, którego chrom nie lubi i który musimy zmienić w IIS. (To jest ta odrobina, w której miałem nadzieję, że ktoś mnie zignoruje). – gls123

9

Odpowiedź udzielona przez Steffena jest niepoprawna (chociaż podany link zapewnia odpowiedź, jeśli czytasz dalej). Powodem, dla którego Chrome podaje błąd dotyczący przestarzałej kryptografii w tym przypadku, jest AES w trybie CBC.

Nie ma nic wspólnego z posiadaniem certyfikatu SHA-1.

TL; DR - zignoruj ​​ten błąd, nie ma znaczenia.

Jeśli naprawdę chcesz pozbyć się błędu, musisz włączyć AES GCM. Jednak łatwiej to powiedzieć niż zrobić. Odpowiedziałem to w całości na niedawnej awarii serwera - zobacz drugą połowę mojej odpowiedzi tutaj;

https://serverfault.com/questions/683697/change-key-exchange-mechanism-in-iis-8/683705#683705

Źródło

2015-04-29 11:29:16 Steve365

4

Ponieważ jestem nowy i certyfikatów SSL, zmagałem się z tym też. Oto, jak rozwiązaliśmy ten problem. Zwróć uwagę, że w naszym przypadku pracujemy z wewnętrzną aplikacją internetową i korzystamy z samopodpisanego certyfikatu.

  1. Korzystanie OpenSSL w systemie Linux, należy utworzyć klucz prywatny:
    openssl genrsa -out box.key 2048
  2. Następnie stworzyć i podpisać certyfikat z kluczem (możemy ustawić datę wygaśnięcia przez rok na zewnątrz i 10 dniach):
    openssl req -new -x509 -sha256 -days 375 -key box.key -out box.crt
  3. odpowiedzieć na pytania (upewnij się, że Common Name mecze FQDN serwera WWW)
  4. Skonfiguruj serwer WWW, aby korzystać z SSL za pomocą tego klucza i certyfikatu
  5. Korzystanie z Chrome w systemach Windows, wpisz swój witryn internetowych HTTPS URL
  6. Kliknij ikonę kłódki na pasku adresu, a następnie wybierz link Certificate Information w popup
  7. przejdź do zakładki Details, wybierz przycisk Copy to File... aby uruchomić Certificate Export Wizard
  8. Używając kreatora, wybierz PKCS # 7 jako format eksportu i zapisz certyfikat (np. mykey.p7b)
  9. Instalacja certyfikatu w magazynie certyfikatów Trusted Root Certification Authorities (użyj certmgr.msc lub kliknij prawym przyciskiem myszy na świadectwie i wybierz Install Certificate
  10. Zamknij Chrome, wylogowania i ponownego logowania do systemu Windows (siła starej witrynie ostrzeżenie z pamięci podręcznej)
  11. ponownie otwórz Chrome i wpisz witryn HTTPS URL
  12. podziwiać ikonę shiny green lock z współczesnej kryptografii

Źródło

2015-04-30 00:43:31

+0

Tajny sos to liczba bitów w komendzie 'open genrsa' oraz użycie silnika' -sha256' w komendzie 'openssl req' –

0

Aby odpowiedzieć na moje własne pytanie:

  1. Upewnij najnowsze aktualizacje systemu Windows zostały zainstalowane
  2. pobrać i uruchomić IIS Crypto (https://www.nartac.com/Products/IISCrypto)

  3. Upewnić się, że to Cipher jest na szczycie listy po lewej stronie:

    TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

  4. Zastosuj zmiany w IIS Crypto

  5. Ponownie uruchom serwer:

Źródło

2015-10-29 14:46:02 gls123

0

In this link Istnieją czarne i białe listy dotyczące szyfrów. Może gdybyś użył białych, rozwiąże twój problem. Opiekuj się listami w komentarzach, zobaczysz, że zmieniło się trochę od czasu napisania odpowiedzi.

Bardzo mi pomogło, gdy zacząłem mieć ten problem z Glassfish, mam nadzieję, że pomoże ci to w IIS.

Źródło

2016-01-21 12:08:56 Sertage

Powiązane problemy

 Powiązane problemy