私は Azure Web ロールを実行しています。何百もの暗号スイートの組み合わせを試しましたが、Chrome が「古い暗号化」と言わなかったのは SSL Labs が B と評価したときだけです。A は取れますが、Chrome は「古い暗号化」と表示します。私は気が狂っているのでしょうか?
「正しい」設定が何であるか知っている人はいますか?
詳細情報: TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 を使用すると、Chrome で「最新の暗号化を使用しています」と表示されますが、SSL labs では「弱い Diffie-Hellman (DH) 鍵交換パラメータ」を使用しているため、B と評価されています。
SSL LabsでAを獲得
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA256 TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_AES_128_CBC_SHA256 TLS_RSA_WITH_AES_128_CBC_SHA
しかし、Chrome では「古い暗号化」と表示され、TLS_RSA_WITH_AES_256_CBC_SHA を使用しているようです。
答え1
結局のところ、ECDSA 証明書がなければ答えは「ない」ということだと思います。
https://community.qualys.com/thread/15230
ジレンマから逃れるためには、Chromeの「モダン暗号化」を従来のDHEのセキュリティ劇場とみなしてください。なぜなら、DHサイズを表示しないからです(皮肉なことに、Internet Explorerでさえ表示します)。現在の安定したChromeは、https://dh768.serverhello.comしかし、Chrome 45 は「サーバーに弱い一時的な Diffie-Hellman 公開鍵があります (ERR_SSL_WEAK_SERVER_EPHEMERAL_DH_KEY)」というメッセージで失敗します。
本当の答えは、ECDSA 証明書を取得することです。Chrome 暗号化処理を含む多くの Microsoft IIS の問題は自動的に解消されます。