Cambiare il meccanismo di scambio di chiavi in ​​IIS 8

Stiamo utilizzando il meccanismo di scambio di chiavi RSA per il certificato SSL. Come posso cambiarla a DHE_RSA o ECDHE_RSA ?

A causa dell'utilizzo di RSA, stiamo ricevendo l'avviso sotto in cromo

  • Server 2012 explorer.exe manca dopo la patch non rioutput
  • TLS Error 70 emette
  • VPS continua ad appendere, ma non posso dire come
  • Certificato Wildcard di terze parti su DC per LDAPS
  • Installazione del certificato ssl su tomcat
  • Rimuove le credenziali URL di cache memorizzate nella cache di Win 10 / Server 2012
  • La connessione al sito è crittografata con una crittografia obsoleta

    Sto usando Windows Server 2012 IIS 8.

  • IIS finirà le richieste in sospeso su Stop-WebSite?
  • Windows 2012 / IIS 8 + ASP.NET MVC Applicaiton 403.14 (Proibito) - Il server Web è configurato per non elencare il contenuto
  • Come configurare il server WebDeploy per la pubblicazione diretta da studio visivo?
  • Determinare perché i registri sono stati purificati
  • Utilizzo della memory estrema di Windows 2012 Core sul servizio SVCHOST / Workstation
  • Avviare IIS Manager ha prompt di piattaforma Web
  • 2 Solutions collect form web for “Cambiare il meccanismo di scambio di chiavi in ​​IIS 8”

    In primo luogo rispondere specificamente alla tua domanda;

    "Come posso cambiarla a DHE_RSA o ECDHE_RSA?"

    La soluzione più semplice è scaricare il IIS Crypto e lasciarlo fare per voi.

    IIS Crypto

    Per utilizzare DHE_RSA o ECDHE_RSA è necessario ordinare nuovamente le preferenze della suite di cifratura nel riquadro in basso a sinistra della window IIS Crypto. Attualmente ho impostato la seguente suite di cifratura come la mia preferenza più alta;

     TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521 

    Vorresti anche impostare correttamente l'ordine del resto e distriggersre alcune voci. Suggerisco vivamente di utilizzare il button 'Best Practices' come farà di questo per te. Disattiverà anche il protocollo SSL3.0 e di seguito, e tutte le cifrature di cifratura diverse da 3DES e AES 128/256. È necessario essere consapevoli che, facendo ciò, potrebbero causare problemi di compatibilità con i client molto vecchi (pensa IE6 su XP e sotto). Con la maggior parte delle basi dei clienti questo non dovrebbe essere un problema in questi giorni, ma alcune parti del mondo ancora utilizzare software più vecchi come questo.

    La seconda parte della mia risposta riguarda il tuo desiderio di rimuovere l'avviso che mostra l'ultima versione di Chrome;

    La connessione al sito è crittografata con una crittografia obsoleta

    Questo è più difficile da raggiungere. Anche dopo aver cambiato ECDHE_RSA o DHE_RSA, vedrai ancora l'avviso. Ciò è dovuto al fatto che Chrome sta valutando l'AES in modalità CBC per essere obsoleto. Il modo per cambiare questo metodo è quello di utilizzare AES in modalità GCM, ma per farlo è necessario assicurarsi di aver prima eseguito il patch del server con la patch riportta di seguito. Questa patch ha introdotto quattro nuove suite di cifrature, due dei quali faranno quello che serve qui.

    Prima di darti il ​​collegamento, questo viene fornito con un avviso di salute . Questa patch è stata tirata da Microsoft nel mese di novembre a causa di una moltitudine di problemi. Non so ancora se ora è considerato sicuro da usare, o in quali condizioni. Sto cercando di scoprirmi (vedi questa domanda SF )

    Utilizzare a proprio rischio!

    La patch è KB2992611

    Una volta installato è ora ansible utilizzare IIS Crypto per inserire la seguente suite di cifratura nella parte superiore dell'elenco;

     TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 

    Chrome sarà felice di questo. L'unico lato negativo di questa suite è che si perde le properties; ellittiche della curva associate a ECDHE piuttosto che DHE. Ciò non influisce sulla sicurezza, ma influisce sulle performance del server e del client durante lo scambio di chiavi. Sarà necessario valutare se questo compromesso è valido per il tuo particolare caso d'uso.

    Infine , è anche ansible get questo risultato utilizzando una delle suite cifrari che combinano AES GCM con ECDHE / ECDSA, ad esempio

     TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521 

    Tuttavia ciò functionrà solo se è stato ottenuto un certificato SSL che utilizza ECDSA per la generazione di chiave pubblica / privata anziché RSA. Questi sono ancora relativamente rari (leggi: costosi) e possono causare problemi di compatibilità con i client. Non ho sperimentato questa opzione e quindi non posso parlare con alcuna autorità su di esso.

    Infine, finalmente (veramente, finalmente). Dopo tutto quanto sopra, in realtà non mi preoccuperei. Continuerò a utilizzare AES CBC sulle mie scatole IIS per il prossimo futuro. Chrome mostra solo l'avviso di cui sopra se l'utente sceglie di fare clic e guardare i dettagli TLS, non c'è alcuna indicazione altrimenti dalla visualizzazione della simbologia della barra degli indirizzi.

    Speranza che aiuta e scusa per il saggio! 😉

    Il modo più semplice che conosco per cambiare l'ordine delle suite di cifratura in Windows è quello che utilizza il piccolo strumento IIS Crypto

    Tuttavia il messaggio che hai in Chrome non è più probabilmente correlato a questo.

    Your connection to website is encrypted with obsolete cryptography viene mostrato quando il certificato oi suoi genitori hanno un algorithm di firma di sha1 . Controllare prima e forse sostituire il certificato

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.