Estoy ejecutando un rol web de Azure, he probado cientos de permutaciones de conjuntos de cifrado y la única vez que consigo que Chrome no diga "cifrado obsoleto", SSL Labs obtiene una B. Puedo obtener una A, pero luego Chrome dice "cifrado obsoleto". . ¿Me estoy volviendo loco?
¿Alguien sabe cuáles deberían ser las configuraciones "correctas"?
Más información: Puedo hacer que Chrome diga "usa criptografía moderna" si uso TLS_DHE_RSA_WITH_AES_128_GCM_SHA256, pero los laboratorios SSL califican esto con una B porque usa "parámetros débiles de intercambio de claves Diffie-Hellman (DH)"
Esta puntuación y A en SSL Labs
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA256 TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_AES_128_CBC_SHA256 TLS_RSA_WITH_AES_128_CBC_SHA
pero Chrome dice "criptografía obsoleta" y parece usar TLS_RSA_WITH_AES_256_CBC_SHA
Respuesta1
Creo que la respuesta al final es no, sin un certificado ECDSA.
https://community.qualys.com/thread/15230
Para escapar del círculo vicioso, considere la "criptografía moderna" de Chrome para DHE tradicional como un teatro de seguridad, ya que no muestra el tamaño de DH (irónicamente, incluso Internet Explorer sí lo muestra). El Chrome estable actual muestra "moderno" enhttps://dh768.serverhello.compero Chrome 45 fallará porque el servidor tiene un mensaje de clave pública Diffie-Hellman débil y efímero (ERR_SSL_WEAK_SERVER_EPHEMERAL_DH_KEY)
Ahora la verdadera respuesta: obtener el certificado ECDSA. Muchos problemas de Microsoft IIS desaparecen automáticamente, incluido el tratamiento de criptografía de Chrome.