Ich führe eine Azure-Web-Rolle aus, habe Hunderte von Permutationen von Verschlüsselungssammlungen ausprobiert und das einzige Mal, dass Chrome nicht „veraltete Verschlüsselung“ sagt, bekommt SSL Labs die Note B. Ich kann eine A bekommen, aber dann sagt Chrome „veraltete Verschlüsselung“. Werde ich verrückt?
Weiß jemand, was die „richtigen“ Einstellungen sein sollten?
Weitere Informationen: Ich kann Chrome dazu bringen, zu sagen „verwendet moderne Kryptografie“, wenn ich TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 verwende, aber SSL Labs vergibt dafür die Note B, weil es „schwache Diffie-Hellman (DH)-Schlüsselaustauschparameter“ verwendet.
Dies ist ein A in SSL Labs
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA256 TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_AES_128_CBC_SHA256 TLS_RSA_WITH_AES_128_CBC_SHA
aber Chrome sagt „veraltete Kryptografie“ und scheint TLS_RSA_WITH_AES_256_CBC_SHA zu verwenden
Antwort1
Ich denke, die Antwort lautet letztendlich: Nein, ohne ein ECDSA-Zertifikat.
https://community.qualys.com/thread/15230
Um dem Dilemma zu entgehen, betrachten Sie Chromes „moderne Kryptographie“ für traditionelle DHE als Sicherheitstheater, da es die DH-Größe nicht anzeigt (ironischerweise tut das sogar Internet Explorer). Der aktuelle stabile Chrome zeigt „modern“ aufhttps://dh768.serverhello.comaber Chrome 45 schlägt mit der Meldung „Server hat einen schwachen flüchtigen Diffie-Hellman-Public-Key“ (ERR_SSL_WEAK_SERVER_EPHEMERAL_DH_KEY) fehl.
Jetzt die richtige Antwort: Holen Sie sich ein ECDSA-Zertifikat. Viele Microsoft IIS-Probleme verschwinden automatisch, einschließlich der Chrome-Kryptografiebehandlung.