IIS 7.5 及更高版本 - 在更新檔 KB2992611 之後啟用 schannel 密碼 DHE_RSA_AES_128_GCM - 這安全嗎？

我最近意識到，在 11 月發布更新檔KB2992611之後，微軟為 schannel（以及 IIS）提供了四個新的密碼套件；

• TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_RSA_WITH_AES_256_GCM_SHA384
• TLS_RSA_WITH_AES_128_GCM_SHA256

我還知道，此更新檔和上述四個密碼報告了問題，導致更新檔被暫時撤消，並且預設情況下上述密碼套件處於禁用狀態。

我的問題有兩個；

1. 現在這是否已得到糾正，上述密碼套件是否可以安全地在執行 IIS 7.5 及更高版本的 Web 伺服器上使用？
2. 以下兩個選項中哪個被認為是“最好的”；

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

換句話說，第二個選項 (ECDHE_RSA) 的黃道曲線元素是否被第一個提供的高級版本的 AES (AES_GCM) 所抵消？

最後，這裡的建議在 2008 R2、2012 和 2012 R2 之間有什麼不同嗎？

在閱讀了更多內容後，我得出了以下結論；

• 出於兼容性原因，Microsoft 在 TLS_DHE_RSA_WITH_AES_128_GCM / TLS_DHE_RSA_WITH_AES_256_GCM 中使用的 DH 參數長度僅為 1024 位，因此被視為“弱”。
• 由於報告的不兼容問題（尤其是與 MS SQL 伺服器），新密碼套件繼續不存在於預設密碼套件優先級中。
• AES CBC 在完全打更新檔的 IIS 伺服器上被認為是安全的
• Windows 10（以及相應的下一版本的 Windows 伺服器）將具有 ECDHE_RSA 和 AES_GCM

在此基礎上，我將繼續在目前伺服器上更喜歡 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 而不是較新的 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256，並希望在未來 Windows 10 / Server ‘Next’ 可用時進行升級。

參考

https://community.qualys.com/thread/14821 https://www.nartac.com/Products/IISCrypto/FAQ.aspx https://community.qualys.com/thread/13294 https://en.wikipedia.org/wiki/Comparison_of_TLS_implementations#Key_exchange_algorithms_.28certificate-only.29

引用自：https://serverfault.com/questions/683256