為什麼 Chrome 會抱怨“過時的密碼學”？

我在 IIS / Windows 2008R2 上託管一個帶有萬用字元 ssl 證書的 ASP.NET 網站。雖然 Chrome 可以在我的網站上正常執行並顯示綠色鎖定 https 連接，但 https 詳細資訊提到“過時的加密”：

我認為這是由於 SHA1 造成的，chrome 在同一視窗中也提到了這一點。

但是，根據 Digicert 的 SSL 證書檢查器，應該使用 SHA256：

現在我不確定發生了什麼以及如何解決這個問題。這篇部落格文章似乎描述了這個問題的解決方法，但解決方法似乎很模糊（1。步驟：安裝 OpenSSL？），我無法想像這是在 Windows 2008 R2 上執行此操作的官方方法。

我應該如何著手擺脫 ssl 證書警告？

**編輯：**應用格蘭特推薦的腳本後，我的 SSLabs 已從 C 改進為 A，Chrome 使用的是 TLS 1.2 而不是 1.0。但是，“過時的密碼學”警告仍然存在。

導致問題的不是 SHA，而是 TLS 1.0。

您的域的 SSL 實驗室報告提供了完整的故事。您的伺服器僅支持 TLS 1.0，不支持 1.1 或 1.2。此外，它仍然支持 RC4 等過時的密碼，並且不支持完美前向保密。

調整 IIS 以獲得更好的安全性是很有可能的，但手動操作很痛苦。 這個由 Alexander Hass 編寫的精彩腳本將設置各種系統資料庫設置以禁用 IIS7.5 和 IIS8 的舊不安全加密方法。

執行腳本後，重新啟動伺服器，您應該在 SSLLabs 上獲得 A 評級，並停止在 chrome 中收到警告。

引用自：https://serverfault.com/questions/700309