SSL Labs 점수 A와 크롬이 "구식 암호화"라고 말하지 않도록 할 수 있습니까?

SSL Labs 점수 A와 크롬이 "구식 암호화"라고 말하지 않도록 할 수 있습니까?

저는 Azure 웹 역할을 실행 중입니다. 수백 가지의 암호 제품군 순열을 시도했는데 Chrome에서 "사용되지 않는 암호화"라고 말하지 않은 유일한 경우 SSL Labs 점수가 B입니다. A를 얻을 수 있지만 Chrome에서 "사용되지 않는 암호화"라고 표시됩니다. . 내가 화를 내고 있는 걸까?

"올바른" 설정이 무엇인지 아는 사람이 있나요?

추가 정보: TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 을 사용하면 Chrome에서 "최신 암호화를 사용합니다"라고 말할 수 있지만 SSL 연구소에서는 "약한 Diffie-Hellman(DH) 키 교환 매개변수"를 사용하기 때문에 B 등급을 매깁니다.

이 점수와 SSL 연구소의 A TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA256 TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_AES_128_CBC_SHA256 TLS_RSA_WITH_AES_128_CBC_SHA

하지만 Chrome에서는 "사용되지 않는 암호화"라고 말하고 TLS_RSA_WITH_AES_256_CBC_SHA를 사용하는 것으로 보입니다.

답변1

결국 ECDSA 인증서 없이는 답이 나오지 않는다고 생각합니다.

https://community.qualys.com/thread/15230

캐치-22를 피하려면 DH 크기를 표시하지 않기 때문에(아이러니하게도 Internet Explorer도 표시함) 기존 DHE에 대한 Chrome "현대 암호화"를 보안 극장으로 간주하십시오. 현재 안정적인 Chrome은 '현대'를 표시합니다.https://dh768.serverhello.com그러나 Chrome 45는 서버에 약한 임시 Diffie-Hellman 공개 키 메시지(ERR_SSL_WEAK_SERVER_EPHEMERAL_DH_KEY)가 있으므로 실패합니다.

이제 진짜 답은 ECDSA 인증서를 획득하는 것입니다. Chrome 암호화 처리를 포함하여 많은 Microsoft IIS 문제가 자동으로 사라집니다.

관련 정보