我一直是很长时间的读者,但这是我第一篇关于我无法找到解决方案的真实帖子。
我目前正在Windows 2012上托管一个网站,我希望能够运行最新的TLS 1.2密码套件。
我知道如何在Windows中启用TLS 1.1和TLS 1.2并且已经这样做了(通过注册表编辑)。我还将密码顺序更改为我希望的顺序。
我的问题是:在这一步之后,我如何实际通过并设置密码套件的ECDHE / ECDSA部分?
当我在最新的chrome beta(在TLS 1.2中支持ECDHE和ECDSA,只要您使用支持的曲线)查看网站时,它似乎跳过了所有的ECHDE密码套件。
为了让ECDHE / ECDSA正常启用,我还需要做些什么吗?
我已经在网上试图自己解决这个问题,他们提到制作根证书的副本,然后修改它们以某种方式支持ECDHE。我吵了一棵错误的树吗?
提前感谢您对此问题的任何和所有支持。
编辑:添加澄清/进度
经过更多研究,我发现为了让ECDSA工作,你需要一份ECDSA证书。此时获得一个的唯一方法是自签,因为证书卡尚未提出适当的交叉许可协议和Ellipic Curve证书的费用结构。
由于自签名不是此网站的选项,因此我已从密码订单中删除了所有ECDSA套件。
不幸的是,因为所有AES Galois Counter Mode套件都是ECDSA,所以暂时将其排除在外。
这给我留下了最强的密码套件ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521,我相信最新版本的Chrome版本是否支持?我似乎无法让Chrome获得超越SHA-1的任何东西。没有SHA-2支持吗?即使是最新的测试版?
答案 0 :(得分:3)
AES-GCM是关于如何加密连接,EC-DSA或RSA中有关服务器如何向客户端标识自身的数据。因此,没有理由不通过RSA身份验证进行AES-GCM加密。
RFC 5289确实为此定义了所需的套件: http://tools.ietf.org/html/rfc5289#section-3.2
CipherSuite TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 = {0xC0,0x2F}; CipherSuite TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 = {0xC0,0x30}; CipherSuite TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256 = {0xC0,0x31}; CipherSuite TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384 = {0xC0,0x32};
然而,找到支持它们的客户端和服务器并不是一件容易的事。
答案 1 :(得分:3)
我有与Win2008 R2相似的经历。 根据证书,GCM密码由服务器提供或不提供。
使用自签名的ECDSA证书,我可以使用GCM,但是旧的浏览器 或者Windows XP无法连接到这样的https站点。
Windows不支持任何TLS_ECDHE_RSA ... GCM ...密码: http://msdn.microsoft.com/en-us/library/aa374757(v=vs.85).aspx 因此,正常的RSA证书不适用于Windows下的GCM。
浏览器兼容性: http://www.g-sec.lu/sslharden/SSL_comp_report2011.pdf