我正在运行 Azure Web 角色,我尝试了数百种密码套件排列,只有一次 Chrome 没有显示“过时的加密”,SSL Labs 得分为 B。我可以得到 A,但 Chrome 却显示“过时的加密”。我疯了吗?
有人知道“正确”的设置应该是什么吗?
更多信息:如果我使用 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 ,我可以让 chrome 说“使用现代密码术”,但 SSL 实验室给它打了 B 分,因为它使用“弱 Diffie-Hellman (DH) 密钥交换参数”
这在 SSL 实验室中获得了 A 的成绩
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA256 TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_AES_128_CBC_SHA256 TLS_RSA_WITH_AES_128_CBC_SHA
但 Chrome 显示“过时的加密技术”,并且似乎使用了 TLS_RSA_WITH_AES_256_CBC_SHA
答案1
我认为最终的答案是否定的,没有 ECDSA 证书。
https://community.qualys.com/thread/15230
为了避免这种困境,请将 Chrome 的“现代加密”视为传统 DHE 的安全剧场,因为它不显示 DH 大小(具有讽刺意味的是,甚至 Internet Explorer 也显示)。当前稳定的 Chrome 在https://dh768.serverhello.com但 Chrome 45 会因服务器的临时 Diffie-Hellman 公钥消息较弱 (ERR_SSL_WEAK_SERVER_EPHEMERAL_DH_KEY) 而失败
现在真正的答案是:获取 ECDSA 证书。许多 Microsoft IIS 问题都会自动消失,包括 Chrome 加密处理。