it-swarm.com.de

Chrome Browser meldet veraltete Verschlüsselung (AES_256_CBC mit HMAC-SHA1)

Der Jboss 6-Server ist so konfiguriert, dass er diese Chiffren unterstützt:

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
TLS_RSA_WITH_AES_256_CBC_SHA256,
TLS_RSA_WITH_AES_256_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_RSA_WITH_AES_128_CBC_SHA256,
TLS_RSA_WITH_AES_128_CBC_SHA

Aber der Browser Chrome] meldet:

Die Verbindung zu dieser Site verwendet ein starkes Protokoll (TLS 1.2), einen starken Schlüsselaustausch (ECDHE_RSA) und eine veraltete Verschlüsselung (AES_256_CBC mit HMAC-SHA1).

Sollten wir alle _SHA aus der Serverkonfiguration entfernen?

Der nmap ssl-Scan zeigt jedoch, dass es sich bei allen um Chiffren der Klasse A handelt:

$ nmap -p 443 --script ssl-enum-ciphers.nse Host-name

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp160k1) - A
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp160k1) - A
TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A
TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp160k1) - A
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp160k1) - A
TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A
TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
9
user133283

Das Problem ist nicht der SHA1, sondern der CBC. Sie müssen eine AEAD-Chiffre wie die GCM-Chiffren oder CHACHA20-POLY1305 anbieten. Aus den Chromium-Projekten (Basis für Chrome) Dokumentation zu Cipher Suites :

Um diese Meldung zu vermeiden, verwenden Sie TLS 1.2 und priorisieren Sie eine ECDHE-Verschlüsselungssuite mit AES_128_GCM oder CHACHA20_POLY1305. Die meisten Server möchten TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 aushandeln.

Sie bieten keine dieser Chiffren an, sodass Sie diese Warnung erhalten. Siehe auch diese Antwort für weitere Details. Siehe auch den Quellcode von Chromium, insbesondere die Funktion ObsoleteSSLStatusForCipherSuite in net/ssl/ssl_cipher_suite_names.c , in der diese Prüfung implementiert ist.

7
Steffen Ullrich

Ich denke, Ihr Problem liegt in dem Zertifikat, das Sie verwenden. Ihr Zertifikat muss mit einer guten Chiffre erstellt werden. Dies ist die Chrome - Meldung, die Sie sehen. Sie müssen das Zertifikat dieses Mal erneut mit sha2 und einer guten Chiffre ausstellen.

Ich empfehle Ihnen, das Online-Tool ssllabs zu verwenden, um Ihre Website zu testen. Es testet Ihr Zertifikat, Ihre Konfiguration usw. und gibt Ihnen eine Note. A + ist das Beste. Außerdem wird empfohlen, wie Sie vorgehen müssen, um Ihre Probleme zu lösen. Ein sehr schönes Werkzeug!

EDIT: Vielleicht kann dir das post helfen

2
OscarAkaElvis

Es wurde behoben, indem die Jboss-Chiffren ohne SHA) neu konfiguriert wurden. Jetzt zeigt das Chrome keine Sicherheitswarnungen an.

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
1
user133283