Yanıtlar:
Sorunuzu özellikle cevaplayan ilk kişi;
"Bunu DHE_RSA veya ECDHE_RSA olarak nasıl değiştirebilirim?"
Bunun en kolay çözümü IIS Crypto'yu indirmek ve sizin için zor işi yapmasına izin vermektir.
DHE_RSA veya ECDHE_RSA'yı kullanmak için, IIS Kripto penceresinin sol alt bölmesindeki şifre paketi tercihlerini yeniden sipariş etmeniz gerekir. Şu anda aşağıdaki şifre setini en yüksek tercihim olarak belirledim;
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521
Ayrıca geri kalanların sırasını doğru bir şekilde ayarlamak ve bazı girişleri devre dışı bırakmak istersiniz. Bunun sizin için yapacağı gibi 'En İyi Uygulamalar' düğmesini kullanmanızı şiddetle tavsiye ederim. Ayrıca SSL3.0 protokolünü ve altında ve 3DES ve AES 128/256 dışındaki tüm şifreleme şifrelerini de devre dışı bırakır. Bunu yaparak , çok eski istemcilerle uyumluluk sorunlarına neden olabileceğinizi bilmeniz gerekir (XP ve aşağısında IE6'yı düşünün). Çoğu müşteri tabanında bu, bu günlerde bir sorun olmamalı, ancak dünyanın bazı bölümleri hala böyle eski yazılımlar kullanıyor.
Cevabımın ikinci kısmı , Chrome'un en son sürümünün gösterdiği uyarıyı kaldırma isteğinizle ilgilidir;
Web sitesi bağlantınız eski şifreleme ile şifreleniyor
Bunu başarmak daha zordur. ECDHE_RSA veya DHE_RSA'ya geçtikten sonra bile uyarıyı göreceksiniz. Bunun nedeni, Chrome'un CBC modundaki AES'nin eski olduğunu düşünmesidir. Bunu değiştirmenin yolu, AES'yi GCM modunda kullanmaktır, ancak bunu yapmak için sunucunuzu ilk önce aşağıdaki yama ile yamaladığınızdan emin olmanız gerekir. Bu yama, ikisi burada ihtiyacımız olanı yapacak dört yeni şifre paketi tanıttı.
Size bağlantıyı vermeden önce, bu bir sağlık uyarısı ile birlikte gelir . Bu düzeltme eki, çok sayıda sorun nedeniyle Kasım ayında Microsoft tarafından çekilmiştir. Şu anda kullanımın güvenli olup olmadığını veya hangi koşullar altında olduğunu henüz bilmiyorum. Kendimi bulmaya çalışıyorum ( bu SF sorusuna bakın )
Kendi sorumluluğunuzdadır kullanın!
Düzeltme eki KB2992611
Kurulduktan sonra artık aşağıdaki şifreleme paketini listenin en üstüne koymak için IIS Crypto'yu kullanabilirsiniz;
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
Chrome bundan memnun olacak. Bu süitin tek dezavantajı, DHE yerine ECDHE ile ilişkili eliptik eğri özelliklerini kaybetmenizdir. Bu güvenliği etkilemez, ancak anahtar değişimi sırasında sunucu ve istemci performansını etkiler. Özel kullanım durumunuz için bu değiş tokuşun buna değip değmeyeceğini değerlendirmeniz gerekir.
Son olarak , bunu, AES GCM'yi ECDHE / ECDSA ile birleştiren şifre takımlarından birini kullanarak da başarmak mümkündür, örn.
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521
Ancak bu yalnızca RSA yerine ortak / özel anahtarınızı oluşturmak için ECDSA kullanan bir SSL sertifikası aldıysanız çalışır. Bunlar hala nispeten nadirdir (okundu: pahalı) ve istemci uyumluluğu sorunlarına neden olabilir. Bu seçeneği kendim denemedim ve bu nedenle üzerinde herhangi bir otorite ile konuşamıyorum.
Sonunda, sonunda (gerçekten, sonunda). Yukarıdakilerin hepsinden sonra, aslında endişelenmezdim. Öngörülebilir gelecek için IIS kutularımda AES CBC'yi kullanmaya devam edeceğim. Chrome, yalnızca kullanıcı TLS ayrıntılarını tıklayıp görüntülemeyi seçerse yukarıda belirtilen uyarıyı gösterir, aksi takdirde yalnızca adres çubuğu sembolojisine bakmanın bir göstergesi yoktur.
Umarım deneme için özür dileriz! ;-)
Windows'da şifre paketlerinin sırasını değiştirmenin en kolay yolu IIS Kripto küçük aracını kullanmaktır
Ancak Chrome'da aldığınız mesaj büyük olasılıkla bununla ilgili değildir.
Your connection to website is encrypted with obsolete cryptography
sertifikanız veya ebeveynlerinin bir imza algoritması olduğunda gösterilir sha1
. Önce kontrol edin ve belki bu sertifikayı değiştirin