Сертификат IIS TLS - Chrome говорит, что мы используем "устаревшую криптографию",

Мы установили сертификат сервера в IIS для веб-сайта. При просмотре HTTPS на веб-сайте и проверке значка с использованием хром мы получаем сообщение "Ваше соединение... зашифровано с устаревшей криптографией".

Как настроить IIS, чтобы Chrome переставал отображать это сообщение, также необходимо сбалансировать необходимость поддержки IE >= 8.

[EDIT]: согласно скриншоту, мы видим, что используемым методом шифрования является "AES_256_CBC с SHA1 для аутентификации сообщений". Вопрос в том, как изменить это в IIS, чтобы Chrome больше не жаловался на "криптографию Obselete".

Ответ 1

Ответ Штеффена неверен (хотя ссылка, которую он предоставил, дает ответ, если вы читаете дальше). Причина, по которой Chrome дает ошибку в отношении устаревшей криптографии, в этом случае обусловлена AES в режиме CBC.

Это не имеет никакого отношения к наличию сертификата SHA-1.

TL; DR - игнорировать эту ошибку, это не имеет значения.

Если вы действительно хотите избавиться от ошибки, вам нужно включить AES GCM. Однако это легче сказать, чем сделать. Я ответил на это полностью на serverfault в последнее время - см. Вторую половину моего ответа здесь;

https://serverfault.com/questions/683697/change-key-exchange-mechanism-in-iis-8/683705#683705

Ответ 2

Поскольку я новичок в SSL и сертификатах, я тоже боролся с этим. Вот как мы решили эту проблему. Обратите внимание, что в нашем случае мы работаем с внутренним веб-приложением и используем самозаверяющий сертификат.

Используя OpenSSL в Linux, создайте закрытый ключ:
openssl genrsa -out box.key 2048
Затем создайте и подпишите сертификат с ключом (мы устанавливаем дату истечения срока годности и 10 дней):
openssl req -new -x509 -sha256 -days 375 -key box.key -out box.crt
Ответьте на вопросы (убедитесь, что Common Name соответствует FQDN веб-сервера)
Настройте свой веб-сервер на использование SSL с помощью этого ключа и сертификата
Используя Chrome в Windows, введите URL-адрес вашего веб-сайта HTTPS
Нажмите на значок блокировки в адресной строке, затем выберите ссылку Certificate Information во всплывающем окне
Перейдите на вкладку Details, выберите кнопку Copy to File..., чтобы запустить Certificate Export Wizard
Используя мастер, выберите PKCS # 7 в качестве формата экспорта и сохраните сертификат (т.е. mykey.p7b)
Установите сертификат в хранилище сертификатов Trusted Root Certification Authorities (используйте certmgr.msc или щелкните правой кнопкой мыши по сертификату и выберите Install Certificate
Закрыть Chrome, выйти из системы и снова войти в Windows (принудительно извещать старый сайт из кэша)
Откроем Chrome и введите URL-адрес веб-сайтов HTTPS.
Полюбуйтесь блестящий зеленый замок с современной криптографией

Ответ 3

Возможно, вы захотите прочитать https://www.chromium.org/Home/chromium-security/education/tls#TOC-Deprecation-of-TLS-Features-Algorithms-in-Chrome, что было первым хитом при поиске этого конкретного сообщения об ошибке.

Трудно точно знать, не глядя на ваш сертификат, но я думаю, что следующее описание со связанной страницы будет соответствовать вашему сертификату:

SHA-1 устарел в Chrome в начале 2015 года. Сертификаты, срок действия которых истекает в 2016 году, будут отмечены как "безопасные, но с незначительными ошибками". Сертификаты, истекающие в 2017 году, позже будут рассматриваться как "утвердительно небезопасные".

Ответ 4

Чтобы ответить на мой собственный вопрос:

Убедитесь, что установлены последние обновления Windows.
Загрузите и запустите IIS Crypto (https://www.nartac.com/Products/IISCrypto)
Убедитесь, что этот Cipher находится сверху списка в левой части:

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
Применить изменения в IIS Crypto
Перезагрузите сервер

Ответ 5

В этой ссылке есть черные и белые списки о шифрах. Может быть, если вы просто используете белые, это решит вашу проблему. Следите за списками в комментариях, вы увидите, что он немного изменился с момента написания ответа.

Это очень помогло мне, когда у меня возникла проблема с Glassfish, я надеюсь, что это тоже поможет вам с IIS.