Windows-Server-2008-R2
為什麼 Chrome 會抱怨“過時的密碼學”?
我在 IIS / Windows 2008R2 上託管一個帶有萬用字元 ssl 證書的 ASP.NET 網站。雖然 Chrome 可以在我的網站上正常執行並顯示綠色鎖定 https 連接,但 https 詳細資訊提到“過時的加密”:
我認為這是由於 SHA1 造成的,chrome 在同一視窗中也提到了這一點。
但是,根據 Digicert 的 SSL 證書檢查器,應該使用 SHA256:
現在我不確定發生了什麼以及如何解決這個問題。這篇部落格文章似乎描述了這個問題的解決方法,但解決方法似乎很模糊(1。步驟:安裝 OpenSSL?),我無法想像這是在 Windows 2008 R2 上執行此操作的官方方法。
我應該如何著手擺脫 ssl 證書警告?
**編輯:**應用格蘭特推薦的腳本後,我的 SSLabs 已從 C 改進為 A,Chrome 使用的是 TLS 1.2 而不是 1.0。但是,“過時的密碼學”警告仍然存在。
導致問題的不是 SHA,而是 TLS 1.0。
您的域的 SSL 實驗室報告提供了完整的故事。您的伺服器僅支持 TLS 1.0,不支持 1.1 或 1.2。此外,它仍然支持 RC4 等過時的密碼,並且不支持完美前向保密。
調整 IIS 以獲得更好的安全性是很有可能的,但手動操作很痛苦。 這個由 Alexander Hass 編寫的精彩腳本將設置各種系統資料庫設置以禁用 IIS7.5 和 IIS8 的舊不安全加密方法。
執行腳本後,重新啟動伺服器,您應該在 SSLLabs 上獲得 A 評級,並停止在 chrome 中收到警告。