Chúng tôi đang sử dụng cơ chế trao đổi khóa RSA cho chứng chỉ SSL. Làm thế nào tôi có thể thay đổi điều đó thành DHE_RSAhoặc ECDHE_RSA?
Do sử dụng RSA, chúng tôi nhận được cảnh báo bên dưới bằng chrome
Kết nối của bạn đến trang web được mã hóa bằng mật mã lỗi thời
Tôi đang sử dụng Windows Server 2012 IIS 8.
Câu trả lời:
Đầu tiên để trả lời cụ thể câu hỏi của bạn;
"Làm thế nào tôi có thể thay đổi điều đó thành DHE_RSA hoặc ECDHE_RSA?"
Giải pháp đơn giản nhất cho việc này là tải xuống IIS Crypto và để nó thực hiện công việc khó khăn cho bạn.
Để sử dụng DHE_RSA hoặc ECDHE_RSA, bạn cần phải sắp xếp lại các tùy chọn bộ mật mã trong khung bên trái dưới cùng của cửa sổ IIS Crypto. Tôi hiện đang đặt bộ mật mã sau đây là ưu tiên cao nhất của mình;
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521
Bạn cũng sẽ muốn đặt thứ tự của phần còn lại một cách chính xác và vô hiệu hóa một số mục. Tôi thực sự khuyên bạn nên sử dụng nút 'Thực tiễn tốt nhất' vì nó sẽ làm điều này cho bạn. Nó cũng sẽ vô hiệu hóa giao thức SSL3.0 trở xuống và tất cả các mật mã mã hóa khác ngoài 3DES và AES 128/256. Bạn cần lưu ý rằng bằng cách này, bạn có thể gây ra sự cố tương thích với các máy khách rất cũ (nghĩ IE6 trên XP trở xuống). Với hầu hết các cơ sở khách hàng, điều này không phải là một vấn đề ngày nay, nhưng một số nơi trên thế giới vẫn sử dụng phần mềm cũ hơn như thế này.
Phần thứ hai trong câu trả lời của tôi đề cập đến mong muốn của bạn để xóa cảnh báo mà phiên bản Chrome mới nhất đang hiển thị;
Kết nối của bạn đến trang web được mã hóa bằng mật mã lỗi thời
Điều này khó hơn để đạt được. Ngay cả sau khi thay đổi thành ECDHE_RSA hoặc DHE_RSA, bạn vẫn sẽ thấy cảnh báo. Điều này là do Chrome đang coi AES ở chế độ CBC là lỗi thời. Cách để thay đổi điều này là sử dụng AES trong chế độ GCM, tuy nhiên, để làm được điều đó, bạn sẽ cần đảm bảo rằng trước tiên bạn đã vá máy chủ của mình bằng bản vá bên dưới. Bản vá này đã giới thiệu bốn bộ mật mã mới, hai trong số đó sẽ làm những gì chúng ta cần ở đây.
Trước khi tôi cung cấp cho bạn liên kết, điều này đi kèm với một cảnh báo sức khỏe . Bản vá này đã được Microsoft kéo vào tháng 11 do vô số vấn đề. Tôi chưa biết liệu bây giờ được coi là an toàn để sử dụng, hoặc trong những điều kiện. Tôi đã cố gắng tự tìm hiểu (xem câu hỏi SF này )
Sử dụng có nguy cơ của riêng bạn!
Bản vá là KB2992611
Sau khi cài đặt, bây giờ bạn có thể sử dụng IIS Crypto để đặt bộ mật mã sau vào đầu danh sách;
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
Chrome sẽ hài lòng với điều này. Nhược điểm duy nhất của bộ này là bạn mất các thuộc tính đường cong elip liên quan đến ECDHE thay vì DHE. Điều này không ảnh hưởng đến bảo mật, nhưng ảnh hưởng đến hiệu suất của máy chủ và máy khách trong quá trình trao đổi khóa. Bạn sẽ cần phải đánh giá xem sự đánh đổi này có xứng đáng với trường hợp sử dụng cụ thể của bạn hay không.
Cuối cùng , cũng có thể đạt được điều này bằng cách sử dụng một trong các bộ mật mã kết hợp AES GCM với ECDHE / ECDSA, ví dụ:
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521
Tuy nhiên, điều này sẽ chỉ hoạt động nếu bạn đã nhận được chứng chỉ SSL sử dụng ECDSA để tạo khóa chung / riêng thay vì RSA. Chúng vẫn còn tương đối hiếm (đọc: đắt tiền) và có thể gây ra sự cố tương thích với máy khách. Tôi đã không tự mình thử nghiệm tùy chọn này và do đó không thể nói chuyện với bất kỳ cơ quan nào về nó.
Cuối cùng, cuối cùng (thực sự, cuối cùng). Sau tất cả những điều trên, tôi thực sự sẽ không lo lắng về điều đó. Tôi sẽ tiếp tục sử dụng AES CBC trên các hộp IIS của mình trong tương lai gần. Chrome chỉ hiển thị cảnh báo đã nói ở trên nếu người dùng chọn nhấp và xem chi tiết TLS, không có dấu hiệu nào khác ngoài việc chỉ nhìn vào ký hiệu tượng trưng của thanh địa chỉ.
Hy vọng rằng sẽ giúp, và xin lỗi cho bài tiểu luận! ;-)
Cách dễ nhất mà tôi biết để thay đổi thứ tự các bộ mật mã trong Windows là sử dụng công cụ nhỏ IIS Crypto
Tuy nhiên, thông báo bạn nhận được trong Chrome rất có thể không liên quan đến điều đó.
Your connection to website is encrypted with obsolete cryptographyđược hiển thị khi chứng chỉ của bạn hoặc cha mẹ của nó có thuật toán chữ ký sha1. Kiểm tra trước và có thể thay thế chứng chỉ đó