我有一个托管在 Server 2008 r2 服务器上的 mvc3 网站,并且安装了安全证书,一切似乎都运行正常。但是,如果我使用 Google Chrome 连接到该网站并单击安全图标,我会收到以下消息:
该连接使用 SSL 3.0。
该连接使用 RC4_128 加密,使用 SHA1 进行消息认证,使用 RSA 作为密钥交换机制。
连接未被压缩。
必须使用 SSL 3.0 重试连接。这通常意味着服务器正在使用非常旧的软件,并且可能存在其他安全问题。
最后一句话让我很困扰。我知道这只是 Chrome 的问题,希望不是真正的安全问题,但我去了其他几个https网站,他们都说The connection uses TLS 1.0.没有其他错误/警告信息。所以我希望我的网站使用 TLS。
我的理解是,IIS 7 协商服务器和客户端都具有的共同协议,并按照以下优先顺序:
1:PCT 1.0
2:SSL 3.0
3:SSL 2.0
我该如何添加 TLS 1.0 并将其作为首选?我已经看到了微软关于禁用协议的简介,但我想支持所有协议,以防客户端无法支持。
也许“SSL 3.0”不是造成这种情况的原因,但是必须重试连接,如果是这样,为什么要重试,我该如何修复它? mvc3 网站[RequireHttps]在所有(几乎所有)控制器类上使用,这与它有什么关系吗?
答案1
您对高层次密码协商的理解是正确的。有关 SSL 工作原理的更多信息,请参阅: https://security.stackexchange.com/questions/20803/how-does-ssl-work/20847
我希望我正确地解释了可操作的任务:
您希望使用并优先考虑您选择的 SSL 密码套件(提到了 TLS 1.0 协议,但没有提到哪个密码套件)。看来这个免费工具(在 GUI 和 CLI 中均可用)就是您正在寻找的: https://www.nartac.com/Products/IISCrypto/Default.aspx
该页面上还有其他详细信息可供进一步阅读。
注意:我与该工具或网站没有任何关系,只是在旅途中发现了它。只是想让你找到一个可行的解决方案,让你可以按照自己的意愿设置 SSL 密码。