IIS TLS证书 - Chrome说我们正在使用"过时的加密"

时间:2015-03-23 17:14:43

标签: iis ssl

我们已在IIS中为网站安装了服务器证书。当通过HTTPS浏览网站并使用chrome检查图标时,我们会收到一条消息“您的连接...已使用过时的加密技术进行加密”。

如何配置IIS以便Chrome停止显示此消息,还需要平衡支持IE> = 8的需要。

enter image description here

[编辑]:根据屏幕截图,我们可以看到使用的加密方法是“带有SHA1的AES_256_CBC用于消息验证”。问题是我们如何在IIS中更改此内容,以便Chrome不再抱怨“Obselete Cryptography”。

5 个答案:

答案 0 :(得分:9)

Steffen给出的答案是错误的(尽管如果你进一步阅读,他提供的链接确实提供了答案)。在这种情况下,Chrome提供有关过时加密的错误的原因是由于CBC模式下的AES。

与SHA-1证书无关。

TL; DR - 忽略此错误,无所谓。

如果您真的想摆脱错误,那么您需要启用AES GCM。然而,这说起来容易做起来难。我最近在serverfault上完整地回答了这个问题 - 请参阅我的答案的后半部分;

https://serverfault.com/questions/683697/change-key-exchange-mechanism-in-iis-8/683705#683705

答案 1 :(得分:4)

由于我是SSL和证书的新手,我也在努力解决这个问题。以下是我们如何解决这个问题。请注意,在我们的案例中,我们正在使用内部Web应用程序并使用自签名证书。

  1. 在Linux上使用OpenSSL,创建一个私钥:
    openssl genrsa -out box.key 2048
  2. 然后使用密钥创建并签署证书(我们设置一年的过期日期和10天):
    openssl req -new -x509 -sha256 -days 375 -key box.key -out box.crt
  3. 回答问题(确保Common Name与网络服务器的FQDN匹配)
  4. 使用此密钥和证书配置您的Web服务器以使用SSL
  5. 在Windows上使用Chrome,输入您的网站HTTPS URL
  6. 点击地址栏中的锁定图标,然后在弹出窗口中选择Certificate Information链接
  7. 转到Details标签,选择Copy to File...按钮以启动Certificate Export Wizard
  8. 使用向导,选择PKCS#7作为导出格式,并保存证书(即mykey.p7b
  9. Trusted Root Certification Authorities证书商店中安装证书(使用certmgr.msc或右键单击证书并选择Install Certificate
  10. 关闭Chrome,注销并重新登录Windows(强制旧网站警告退出缓存)
  11. 重新打开Chrome并输入您的网站HTTPS网址
  12. 使用现代加密
    13. 欣赏您的shiny green lock图标

答案 2 :(得分:1)

您可能需要阅读https://www.chromium.org/Home/chromium-security/education/tls#TOC-Deprecation-of-TLS-Features-Algorithms-in-Chrome,这是查找此特定错误消息时的第一次点击。

如果没有查看您的证书,很难确定,但我想链接页面中的以下说明将与您的证书相符:

  

2015年初,Chrome已弃用SHA-1。   2016年到期的证书将被标记为“安全,但有轻微错误”。   2017年到期的证书将被视为“肯定不安全”。

答案 3 :(得分:0)

回答我自己的问题:

  1. 确保已安装最新的Windows更新
  2. 下载并运行IIS加密(https://www.nartac.com/Products/IISCrypto

  3. 确保此密码位于左侧列表的顶部:

    TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

  4. 在IIS加密中应用更改

  5. 重新启动服务器

答案 4 :(得分:0)

In this link有一个关于密码的黑名单和白名单。也许如果你只使用白色它可以解决你的问题。在评论中查看列表后,您会看到答案写完后它有一点变化。

当我开始解决Glassfish这个问题时,它帮助了我很多,我希望它也可以帮助你使用IIS。

相关问题
最新问题