【问题标题】:Connection is encrypted using an obsolete cipher suite使用过时的密码套件对连接进行加密
【发布时间】:2019-01-03 00:55:09
【问题描述】:

我在移动设备上收到此警告,完整的警告是:

连接使用 TLS 1.2 连接使用 AES_256_CBC 加密,使用 HMAC-SHA1 进行消息验证,使用 ECDHE_RSA 作为密钥交换。

我正在为网站使用专用 VPS,并且我使用了 IISCrypto 并应用了最佳实践。

您可以通过以下链接查看站点扫描器的结果。

Qualys Scan Results

我使用的渠道如下:

Schannel configuration

Chipher Suit Configuration

服务器是带有 IIS 的 Windows 2012 r2

任何帮助将不胜感激。

保罗。

【问题讨论】:

    标签: ssl encryption obsolete suite


    【解决方案1】:

    the Chromium documentation 引用您需要做些什么才能使此警告消失:

    ... 优先使用 AES_128_GCM 或 CHACHA20_POLY1305 的 ECDHE 密码套件。大多数服务器都希望协商 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256。

    查看Windows Server 2012 R2 actually supports on ciphers 的内容,您会发现它不支持 CHACHA20_POLY1305,并且仅支持带有 ECC 证书的 GCM 密码,即它实现了 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256 之类的密码,但不支持 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 之类的密码。

    但是,您使用的是 RSA 证书而不是 ECC 证书,这意味着您的操作系统支持的 GCM 密码都不能与您的证书一起使用。只有 Windows Server 2016 支持您需要的密码。

    【讨论】:

    • 谢谢你,Steffen,你是说我在 Windows 2012 上无能为力,我需要使用 2016 来消除警告吗?
    • @user2006049:您获得了 ECDSA 证书(这可能会锁定其他客户端,尤其是任何较旧的客户端)或 serverfault.com/questions/683697/… 说有一个带有“问题”的补丁可以让您使用 DHE_RSA 获得 GCM(但是显然是 DHE-1024,这不是很好)。
    猜你喜欢
    • 2014-12-05
    • 1970-01-01
    • 2016-04-10
    • 1970-01-01
    • 2015-10-07
    • 2013-01-27
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多