我正在運行一個Azure Web 角色,我已經嘗試了數百種密碼套件的排列,唯一一次我得到chrome 不說“過時的加密”的SSL 實驗室得分為B。過時的加密” 。我要瘋了嗎?
有誰知道「正確」的設定應該是什麼?
更多資訊:如果我使用 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 ,我可以讓 chrome 說“使用現代加密技術”,但 SSL 實驗室對此評分為 B,因為它使用“弱 Diffie-Hellman (DH) 金鑰交換參數”
這在 SSL Labs 中得分為 A
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA256 TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_AES_128_CBC_SHA256 TLS_RSA_WITH_AES_128_CBC_SHA
但 Chrome 說「過時的加密技術」並且似乎使用 TLS_RSA_WITH_AES_256_CBC_SHA
答案1
我想最終答案是否定的,沒有ECDSA證書。
https://community.qualys.com/thread/15230
為了逃避第 22 條軍規,可以將 Chrome 視為傳統 DHE 的「現代密碼學」安全劇院,因為它不顯示 DH 大小(諷刺的是,甚至 Internet Explorer 也顯示)。目前穩定版 Chrome 顯示為“現代”https://dh768.serverhello.com但 Chrome 45 將會失敗,伺服器有一個弱的臨時 Diffie-Hellman 公鑰訊息 (ERR_SSL_WEAK_SERVER_EPHEMERAL_DH_KEY)
現在真正的答案是:獲得 ECDSA 證書。許多 Microsoft IIS 問題會自動消失,包括 Chrome 加密處理。