Estou executando uma função Web do Azure, tentei centenas de permutações de conjuntos de criptografia e a única vez que obtive o Chrome para não dizer "criptografia obsoleta", o SSL Labs obteve nota B. Posso obter um A, mas o Chrome diz "criptografia obsoleta" . Estou ficando louco?
Alguém sabe quais devem ser as configurações "corretas"?
Mais informações: posso fazer com que o Chrome diga "usa criptografia moderna" se eu usar TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 , mas os laboratórios SSL pontuam isso como B porque usa "parâmetros de troca de chaves Diffie-Hellman (DH) fracos"
Esta pontuação é A em SSL Labs
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA256 TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_AES_128_CBC_SHA256 TLS_RSA_WITH_AES_128_CBC_SHA
mas o Chrome diz "criptografia obsoleta" e parece usar TLS_RSA_WITH_AES_256_CBC_SHA
Responder1
Acho que a resposta no final não é sem um certificado ECDSA.
https://community.qualys.com/thread/15230
Para escapar do beco sem saída, considere a "criptografia moderna" do Chrome para o DHE tradicional como um teatro de segurança, já que ele não mostra o tamanho do DH (ironicamente, até o Internet Explorer mostra). O atual Chrome estável mostra "moderno" emhttps://dh768.serverhello.commas o Chrome 45 falhará com o servidor com uma mensagem de chave pública Diffie-Hellman fraca e efêmera (ERR_SSL_WEAK_SERVER_EPHEMERAL_DH_KEY)
Agora a verdadeira resposta: obter o certificado ECDSA. Muitos problemas do Microsoft IIS desaparecem automaticamente, incluindo o tratamento de criptografia do Chrome.