我正在运行一个Azure Webangular色,我尝试了数以百计的密码套件排列,并且唯一一次我不会说“过时的encryption”。SSL实验室得分为B.我可以得到一个A,但随后Chrome会说“过时的encryption” 。 我疯了吗?
有谁知道“正确的”设置应该是什么?
更多信息:如果我使用TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,则可以使用chrome来说“使用现代密码术”,但SSL实验室对此使用B分数,因为它使用“弱Diffie-Hellman(DH)密钥交换参数”
这个成绩和A在SSL实验室TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA256 TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_AES_128_CBC_SHA256 TLS_RSA_WITH_AES_128_CBC_SHA
但铬说“过时的密码学”,并似乎使用TLS_RSA_WITH_AES_256_CBC_SHA
我想最终的答案不是真的,没有ECDSA证书。
https://community.qualys.com/thread/15230
为了逃避catch-22,考虑到传统的DHE安全影院的Chrome“现代密码学”,因为它不显示DH大小(具有讽刺意味的是,甚至是Internet Explorer)。 目前稳定的Chrome浏览器在https://dh768.serverhello.com上显示“现代”,但Chrome 45将会失败,服务器具有弱暂时性Diffie-Hellman公共密钥消息(ERR_SSL_WEAK_SERVER_EPHEMERAL_DH_KEY)
现在真正的答案是:获得ECDSA证书。 许多Microsoft IIS问题会自动消失,包括Chromeencryption处理。