it-swarm.com.de

IIS TLS-Zertifikat - Chrome gibt an, dass wir "veraltete Kryptographie" verwenden

Wir haben in IIS ein Serverzertifikat für eine Website installiert. Wenn Sie über HTTPS zur Website navigieren und das Symbol mit Chrome überprüfen, wird die Meldung "Ihre Verbindung ... wird mit veralteter Kryptographie verschlüsselt" angezeigt.

Wie konfiguriere ich IIS so, dass Chrome diese Meldung nicht mehr anzeigt, muss auch die Notwendigkeit der Unterstützung von IE> = 8 abgewogen werden.

enter image description here

[EDIT]: Wie im Screenshot zu sehen ist, wird als Verschlüsselungsmethode "AES_256_CBC mit SHA1 für die Nachrichtenauthentifizierung" verwendet. Die Frage ist, wie wir dies in IIS ändern können, so dass Chrome sich nicht mehr über "Obselete Cryptography" beschwert. 

15
gls123

Die Antwort, die Steffen gegeben hat, ist falsch (obwohl der von ihm angegebene Link die Antwort liefert, wenn Sie weiter unten lesen). Der Grund, warum Chrome den Fehler bezüglich veralteter Kryptographie in diesem Fall angibt, ist auf AES im CBC-Modus zurückzuführen.

Es hat nichts mit einem SHA-1-Zertifikat zu tun.

Der TL; DR - ignoriere diesen Fehler, es spielt keine Rolle.

Wenn Sie den Fehler wirklich beseitigen möchten, müssen Sie stattdessen AES GCM aktivieren. Dies ist jedoch leichter gesagt als getan. Ich habe dies kürzlich vollständig auf Serverfault beantwortet - siehe die zweite Hälfte meiner Antwort hier;

https://serverfault.com/questions/683697/change-key-exchange-mechanism-in-iis-8/683705#683705

9
Steve365

Da SSL und Zertifikate neu sind, habe ich auch damit zu kämpfen. So haben wir dieses Problem gelöst. Beachten Sie, dass wir in unserem Fall mit einer internen Webanwendung arbeiten und ein selbstsigniertes Zertifikat verwenden.

  1. Erstellen Sie mit OpenSSL unter Linux einen privaten Schlüssel:
    openssl genrsa -out box.key 2048
  2. Dann erstellen und signieren Sie ein Zertifikat mit dem Schlüssel (wir setzen das Ablaufdatum für ein Jahr und 10 Tage):
    openssl req -new -x509 -sha256 -days 375 -key box.key -out box.crt
  3. Beantworten Sie die Fragen (stellen Sie sicher, dass der Common Name mit dem FQDN des Webservers übereinstimmt.)
  4. Konfigurieren Sie Ihren Webserver für die Verwendung von SSL mit diesem Schlüssel und diesem Zertifikat
  5. Geben Sie in Chrome unter Windows die HTTPS-URL Ihrer Website ein
  6. Klicken Sie auf das Sperrsymbol in der Adressleiste und wählen Sie dann den Link Certificate Information im Popup aus
  7. Gehen Sie zur Registerkarte Details und wählen Sie die Schaltfläche Copy to File... aus, um den Certificate Export Wizard zu starten.
  8. Wählen Sie mit dem Assistenten PKCS # 7 als Exportformat aus und speichern Sie das Zertifikat (d. H. mykey.p7b).
  9. Installieren Sie das Zertifikat im Trusted Root Certification Authorities-Zertifikatspeicher (verwenden Sie certmgr.msc oder klicken Sie mit der rechten Maustaste auf das Zertifikat und wählen Sie Install Certificate aus.)
  10. Schließen Sie Chrome, melden Sie sich ab und melden Sie sich erneut bei Windows an (erzwingen Sie die Warnung der alten Site aus dem Cache).
  11. Öffnen Sie Chrome erneut und geben Sie die HTTPS-URL Ihrer Website ein
  12. Bewundern Sie Ihr glänzendes grünes Schloss Symbol mit moderner Kryptographie
4
Eugene Barker

Vielleicht möchten Sie https://www.chromium.org/Home/chromium-security/education/tls#TOC-Deprecation-of-TLS-Features-Algorithms-in-Chrome lesen, das der erste Treffer war bei der Suche nach dieser bestimmten Fehlermeldung.

Es ist schwer zu wissen, ohne sich Ihr Zertifikat anzusehen, aber ich denke, die folgende Beschreibung auf der verlinkten Seite wird Ihrem Zertifikat entsprechen:

SHA-1 wird Anfang 2015 in Chrome nicht mehr empfohlen. Zertifikate, die 2016 auslaufen, werden als "sicher, aber mit geringfügigen Fehlern" gekennzeichnet. Zertifikate, die 2017 auslaufen, werden später als "positiv unsicher" eingestuft.

1
Steffen Ullrich

In diesem Link gibt es eine schwarze und eine weiße Liste über Chiffren. Wenn Sie nur die weißen verwenden, könnte dies Ihr Problem lösen. Achten Sie auf die Listen in den Kommentaren. Sie werden sehen, dass sich seit der Antwort etwas geändert hat.

Es hat mir sehr geholfen, als ich dieses Problem mit Glassfish hatte. Ich hoffe, es hilft auch bei IIS.

0
Sertage

Um meine eigene Frage zu beantworten:

  1. Stellen Sie sicher, dass die neuesten Windows-Updates installiert wurden 
  2. Laden Sie IIS Crypto herunter ( https://www.nartac.com/Products/IISCrypto ).
  3. Stellen Sie sicher, dass diese Chiffre oben in der Liste auf der linken Seite steht:

    TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

  4. Übernehmen Sie die Änderungen in IIS Crypto

  5. Starten Sie den Server neu
0
gls123