Возможно ли, чтобы SSL Labs присвоила оценку A, а Chrome не говорил «устаревшая криптография»?

Возможно ли, чтобы SSL Labs присвоила оценку A, а Chrome не говорил «устаревшая криптография»?

Я использую роль Azure Web, я перепробовал сотни перестановок наборов шифров, и единственный раз, когда Chrome не говорит "устаревшее шифрование", SSL Labs оценивает меня на B. Я могу получить A, но Chrome скажет "устаревшее шифрование". Я схожу с ума?

Кто-нибудь знает, какими должны быть «правильные» настройки?

Дополнительная информация: Я могу заставить Chrome сказать «использует современную криптографию», если я использую TLS_DHE_RSA_WITH_AES_128_GCM_SHA256, но SSL Labs оценивает это как B, потому что он использует «слабые параметры обмена ключами Диффи-Хеллмана (DH)».

Это баллы и A в SSL Labs TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA256 TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_AES_128_CBC_SHA256 TLS_RSA_WITH_AES_128_CBC_SHA

но Chrome говорит "устаревшая криптография" и, похоже, использует TLS_RSA_WITH_AES_256_CBC_SHA

решение1

Я думаю, что в конечном итоге ответ будет таким: без сертификата ECDSA — нет.

https://community.qualys.com/thread/15230

Чтобы избежать уловки-22, считайте Chrome "современной криптографией" для традиционного DHE театром безопасности, поскольку он не показывает размер DH (по иронии судьбы, даже Internet Explorer показывает). Текущая стабильная версия Chrome показывает "современную" наhttps://dh768.serverhello.comно Chrome 45 даст сбой с сообщением сервера о слабом эфемерном открытом ключе Диффи-Хеллмана (ERR_SSL_WEAK_SERVER_EPHEMERAL_DH_KEY)

Теперь реальный ответ: получите сертификат ECDSA. Многие проблемы Microsoft IIS исчезают автоматически, включая обработку криптографии Chrome.

Связанный контент