Ssl

現在禁用 SHA1 Firefox 將無法工作

  • February 4, 2020

我的任務是通過禁用伺服器上的 SHA1 使我們的站點符合 PCI 合規性。我通過使用 IIS Crypto 2.0 來實現這一點。我們決定也只使用 TLS 1.2。我遇到的具體問題是當我禁用 SHA1 時,所有版本的 Firefox 都會給出一般錯誤消息“安全連接失敗”。我已啟用除 SHA1 之外的所有選項,但仍會收到消息,但一旦禁用 SHA1,消息就會返回。我將螢幕截圖粘貼到下面的 IIS Crypto 上的配置中。

密碼套裝

協議

此外,我執行了 SChannel ETL 並得出了以下結果 頻道ETL

在執行該 ETL 時,我執行了一個 Netmon 在此處輸入圖像描述 ,正如您在我的配置列表中看到的,與 netmon 請求相比,我確實啟用了這些密碼套件,但我仍然遇到相同的錯誤。

在此處輸入圖像描述

我上個月初開始研究這個問題,然後休息了一段時間,開始研究另一個項目,我想我可以回到這個問題上,然後弄清楚,但我什麼也沒有。我不敢相信 Firefox 需要 SHA1 才能工作,這看起來很荒謬,

哦,我的證書籤名是 SHA256RSA,我的伺服器是 Windows Server 2012 R2 Standard

在伺服器端啟用的密碼套件(IIS Crypto 螢幕截圖)與客戶端建議的密碼套件(Netmon 螢幕截圖)之間似乎沒有任何重疊。

我猜您正在使用 RSA 密鑰/證書,因為您在伺服器端選擇的 RSA 密碼套件特別有限。

作為範例,客戶提出TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384作為其基於 RSA 的頂級選項(這些似乎是 RSA 非常合理的現代選項),但您不支持這些。一般來說,您似乎主要擁有 CBC 套件而不是 RSA 的 GCM?

我會建議Mozilla OpSec 團隊關於伺服器端 TLS 的文章,以獲取有關合理密碼套件選擇及其提議的兼容性影響的指導。

旁注:為什麼要啟用 NULL 密碼?(就像螢幕截圖中目前突出顯示的一樣。)

引用自:https://serverfault.com/questions/891256