Я использую роль Azure Web, я перепробовал сотни перестановок наборов шифров, и единственный раз, когда Chrome не говорит "устаревшее шифрование", SSL Labs оценивает меня на B. Я могу получить A, но Chrome скажет "устаревшее шифрование". Я схожу с ума?
Кто-нибудь знает, какими должны быть «правильные» настройки?
Дополнительная информация: Я могу заставить Chrome сказать «использует современную криптографию», если я использую TLS_DHE_RSA_WITH_AES_128_GCM_SHA256, но SSL Labs оценивает это как B, потому что он использует «слабые параметры обмена ключами Диффи-Хеллмана (DH)».
Это баллы и A в SSL Labs
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA256 TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_AES_128_CBC_SHA256 TLS_RSA_WITH_AES_128_CBC_SHA
но Chrome говорит "устаревшая криптография" и, похоже, использует TLS_RSA_WITH_AES_256_CBC_SHA
решение1
Я думаю, что в конечном итоге ответ будет таким: без сертификата ECDSA — нет.
https://community.qualys.com/thread/15230
Чтобы избежать уловки-22, считайте Chrome "современной криптографией" для традиционного DHE театром безопасности, поскольку он не показывает размер DH (по иронии судьбы, даже Internet Explorer показывает). Текущая стабильная версия Chrome показывает "современную" наhttps://dh768.serverhello.comно Chrome 45 даст сбой с сообщением сервера о слабом эфемерном открытом ключе Диффи-Хеллмана (ERR_SSL_WEAK_SERVER_EPHEMERAL_DH_KEY)
Теперь реальный ответ: получите сертификат ECDSA. Многие проблемы Microsoft IIS исчезают автоматически, включая обработку криптографии Chrome.