我通过第三方(StartSSL)为我的Azure网站创建了一个SSL证书。我能够上传它,但当我浏览网站时,我收到有关过时安全算法等的安全警告。
该域名为elect.olbert.com。有人可以向我解释我需要做些什么来解决这些问题吗?我是Azure的新手,坦率地说,那里的文档并不是所有可以访问的。
答案 0 :(得分:2)
您可以使用Qualys SSL实验室获取有关SSL配置的详细报告:
https://www.ssllabs.com/ssltest/analyze.html?d=elect.olbert.com
在这种情况下,报告列出了2个弱密码套件,这两个密码套件都与RC4密码相关。现在这被认为是不安全的,建议您禁用它。
https://en.wikipedia.org/wiki/RC4
根据Microsoft的说法,在撰写本答案时(2015年6月),无法更改Azure网站上的密码套件,因为它们是在客户操作系统级别进行控制,而操作系统是在Azure网站上共享的。许多人已经要求这个功能,他们估计它将从2015年7月中旬开始生产
如果你可以等到那时,他们按时交付,你应该没问题。如果您不能等待,或者如果有问题导致他们推迟生产,那么您将需要更改您的托管。注意:通常,您应该期望使用Azure WebSite减少对这些类型的控制。这是他们提供低维护与减少控制的权衡的一部分。
如果要保留在Azure上,可以使用WebRole而不是Azure WebSites。这为您提供了所需的控制,但价格会更高。
答案 1 :(得分:1)
在https://elect.olbert.com/Account/Login我可以看到关于不安全证书的警告,因为它 - 或链中的任何父证书! - 使用SHA1进行签名 - 这不再被认为是安全的。见这里:
https://konklone.com/post/why-google-is-hurrying-the-web-to-kill-sha-1
这不是Azure的问题,而是错误的(过时的技术)证书。只需使用SHA256或更好的新版本。
答案 2 :(得分:-1)
我们的免费加密证书目前正在Azure Web Apps上的Qualys SSL实验室获得A等级。
您可以尝试切换到它们,但这需要使用full step-by-step write up来处理配置IIS。
与其他证书颁发机构相比,让我们的加密有一个不寻常的模型。从他们那里获取证书是以完全自动化的方式完成的,您必须更频繁地更新证书 - 这就是网站扩展变得容易。
获取证书需要几个步骤,但我已经整理了Find more here about wrong abstraction,可以引导您完成这些步骤。