Chrome：没有共同的密码套件答案

【问题标题】：Chrome: No cipher suits incommonChrome：没有共同的密码套件
【发布时间】：2015-08-13 03:18:41
【问题描述】：

这个问题只存在于 Chrome 中，我可以在 Safari、Firefox 和 IE 中访问我的 URL https://localhost:8443没有问题：

我尝试修复 Chrome 中的“过时密码”套件警告，因此在我的 Jetty 配置中删除了所有带有 SHA1 和 MD5 的密码套件。这些都是可用的密码套件，我可以在 Jetty 的 DEBUG 日志中看到。

但是，使用 chrome 我无法访问 URL，因为它不知道这些密码套件中的任何一个？！为什么以及如何解决这个问题？

这是我的 Jetty（版本 8.1.16.v20140903）SSL 连接器配置：

  <Call name="addConnector">
     <Arg>
       <New class="org.eclipse.jetty.server.ssl.SslSelectChannelConnector">
         <Arg>
           <New class="org.eclipse.jetty.http.ssl.SslContextFactory">
             <Set name="keyStore"><SystemProperty name="jetty.home" default=".." />/web/etc/keystore</Set>
             <Set name="keyStorePassword">OBF:1v2j1uum1xtv1zej1zer1xtn1uvk1v1v</Set>
             <Set name="keyManagerPassword">OBF:1v2j1uum1xtv1zej1zer1xtn1uvk1v1v</Set>
             <Set name="trustStore"><SystemProperty name="jetty.home" default=".." />/web/etc/keystore</Set>
             <Set name="trustStorePassword">OBF:1v2j1uum1xtv1zej1zer1xtn1uvk1v1v</Set>
             <Set name="protocol">TLSv1.2</Set>
           </New>
         </Arg>
         <Set name="port">8443</Set>
         <Set name="maxIdleTime">30000</Set>
         <Set name="IncludeCipherSuites">
           <Array type="java.lang.String">
             <Item>TLS_RSA_WITH_AES_128_CBC_SHA256</Item>
             <Item>TLS_RSA_WITH_AES_128_CBC_SHA256</Item>
             <Item>TLS_RSA_WITH_AES_128_CBC_SHA256</Item>
             <Item>TLS_RSA_WITH_AES_128_CBC_SHA256</Item>
             <Item>TLS_RSA_WITH_AES_128_CBC_SHA256</Item>
             <Item>TLS_RSA_WITH_AES_128_CBC_SHA256</Item>
             <Item>TLS_RSA_WITH_AES_128_CBC_SHA256</Item>
             <Item>TLS_RSA_WITH_AES_128_CBC_SHA256</Item>
             <Item>TLS_RSA_WITH_AES_128_CBC_SHA256</Item>
             <Item>TLS_RSA_WITH_AES_128_CBC_SHA256</Item>
             <Item>TLS_RSA_WITH_AES_128_CBC_SHA256</Item>
             <Item>TLS_RSA_WITH_AES_128_CBC_SHA256</Item>
             <Item>TLS_RSA_WITH_AES_128_CBC_SHA256</Item>
             <Item>TLS_RSA_WITH_AES_128_CBC_SHA256</Item>
             <Item>TLS_RSA_WITH_AES_128_CBC_SHA256</Item>
             <Item>TLS_RSA_WITH_AES_128_CBC_SHA256</Item>
             <Item>TLS_RSA_WITH_AES_128_CBC_SHA256</Item>
             <Item>TLS_RSA_WITH_AES_128_CBC_SHA256</Item>
             <Item>TLS_RSA_WITH_AES_128_CBC_SHA256</Item>
             <Item>TLS_RSA_WITH_AES_128_CBC_SHA256</Item>
             <Item>TLS_RSA_WITH_AES_128_CBC_SHA256</Item>
             <Item>TLS_RSA_WITH_AES_128_CBC_SHA256</Item>
             <Item>TLS_RSA_WITH_AES_128_CBC_SHA256</Item>
             <Item>TLS_RSA_WITH_AES_128_CBC_SHA256</Item>
            <Item>TLS_EMPTY_RENEGOTIATION_INFO_SCSV</Item>
            <Item>TLS_DH_anon_WITH_AES_128_CBC_SHA256</Item>
            <Item>TLS_RSA_WITH_NULL_SHA256</Item>
             <Item>TLS_RSA_WITH_AES_128_CBC_SHA256</Item>
             <Item>TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256</Item>
             <Item>TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256</Item>
             <Item>TLS_DHE_RSA_WITH_AES_128_CBC_SHA256</Item>
             <Item>TLS_DHE_DSS_WITH_AES_128_CBC_SHA256</Item>
             <Item>TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256</Item>
             <Item>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256</Item>
           </Array>
         </Set>
     <Set name="ExcludeCipherSuites">
       <Array type="java.lang.String">
        <Item>SSL_DH_anon_EXPORT_WITH_RC4_40_MD5</Item>
        <Item>SSL_RSA_EXPORT_WITH_RC4_40_MD5</Item>
        <Item>TLS_KRB5_WITH_RC4_128_MD5</Item>
        <Item>TLS_KRB5_WITH_3DES_EDE_CBC_MD5</Item>
        <Item>TLS_KRB5_WITH_DES_CBC_MD5</Item>
        <Item>TLS_KRB5_EXPORT_WITH_RC4_40_MD5</Item>
        <Item>TLS_KRB5_EXPORT_WITH_DES_CBC_40_MD5</Item>
        <Item>SSL_RSA_WITH_NULL_MD5</Item>
        <Item>SSL_DH_anon_WITH_RC4_128_MD5</Item>
        <Item>SSL_RSA_WITH_RC4_128_MD5</Item>
         <Item>TLS_ECDHE_RSA_WITH_RC4_128_SHA</Item>
         <Item>TLS_ECDH_ECDSA_WITH_RC4_128_SHA</Item>
         <Item>TLS_ECDH_RSA_WITH_RC4_128_SHA</Item>
        <Item>TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA</Item>
        <Item>TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA</Item>
        <Item>SSL_RSA_WITH_3DES_EDE_CBC_SHA</Item>
        <Item>TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA</Item>
        <Item>TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA</Item>
        <Item>SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA</Item>
        <Item>SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA</Item>
        <Item>TLS_ECDH_anon_WITH_AES_128_CBC_SHA</Item>
        <Item>TLS_DH_anon_WITH_AES_128_CBC_SHA</Item>
        <Item>TLS_ECDH_anon_WITH_RC4_128_SHA</Item>
        <Item>TLS_ECDH_anon_WITH_3DES_EDE_CBC_SHA</Item>
        <Item>SSL_DH_anon_WITH_3DES_EDE_CBC_SHA</Item>
        <Item>TLS_ECDHE_ECDSA_WITH_NULL_SHA</Item>
        <Item>TLS_ECDHE_RSA_WITH_NULL_SHA</Item>
        <Item>SSL_RSA_WITH_NULL_SHA</Item>
        <Item>TLS_ECDH_ECDSA_WITH_NULL_SHA</Item>
        <Item>TLS_ECDH_RSA_WITH_NULL_SHA</Item>
        <Item>TLS_ECDH_anon_WITH_NULL_SHA</Item>
        <Item>SSL_RSA_WITH_DES_CBC_SHA</Item>
        <Item>SSL_DHE_RSA_WITH_DES_CBC_SHA</Item>
        <Item>SSL_DHE_DSS_WITH_DES_CBC_SHA</Item>
        <Item>SSL_DH_anon_WITH_DES_CBC_SHA</Item>
        <Item>SSL_RSA_EXPORT_WITH_DES40_CBC_SHA</Item>
        <Item>SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA</Item>
        <Item>SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA</Item>
        <Item>SSL_DH_anon_EXPORT_WITH_DES40_CBC_SHA</Item>
        <Item>TLS_KRB5_WITH_RC4_128_SHA</Item>
        <Item>TLS_KRB5_WITH_DES_CBC_SHA</Item>
        <Item>TLS_KRB5_WITH_3DES_EDE_CBC_SHA</Item>
        <Item>TLS_KRB5_EXPORT_WITH_RC4_40_SHA</Item>
        <Item>LS_KRB5_EXPORT_WITH_DES_CBC_40_SHA</Item>
         <Item>TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA</Item>
         <Item>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA</Item>
         <Item>TLS_RSA_WITH_AES_128_CBC_SHA</Item>
         <Item>TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA</Item>
         <Item>TLS_ECDH_RSA_WITH_AES_128_CBC_SHA</Item>
         <Item>TLS_DHE_RSA_WITH_AES_128_CBC_SHA</Item>
         <Item>TLS_DHE_DSS_WITH_AES_128_CBC_SHA</Item>
         <Item>TLS_ECDHE_ECDSA_WITH_RC4_128_SHA</Item>
       </Array>
       </Set>
       </New>
     </Arg>
   </Call>

【问题讨论】：

标签： google-chrome ssl encryption obsolete

【解决方案1】：

您删除了许多安全密码套件以试图摆脱“过时密码”消息，但您没有包含任何现代密码套件，可能是因为您的服务器不支持它们。最后，您删除了太多密码，以至于某些客户端无法再工作。

SHA-1 在密码套件中用作 HMAC，这种用法并非不安全。不安全只是使用 SHA-1 作为证书的签名。
有关哪些密码套件被 chrome 认为是现代的描述，请参阅https://security.stackexchange.com/questions/83831/google-chrome-your-connection-to-website-is-encrypted-with-obsolete-cryptograph。简而言之：您需要 AEAD 密码，例如 AES-GCM 或 ChaCha20-Poly1305，但您的服务器可能不支持这些密码。

有关各种浏览器支持哪些密码的概述，请参阅SSLLabs client test。

【讨论】：

谢谢...我使用 Jetty 作为服务器。支持的密码套件是否取决于 Jetty 或 JDK 的版本。 IE。那么升级到 Jetty 9 是否可行，因为上面列出的套件似乎是服务器支持的所有套件，（对不起，无知的问题，但我对此很陌生）
@Jonas：如果 JDK 不支持密码，那么新版本的 Jetty 将无济于事。
好的，只需使用 Java 1.8 就可以解决这个问题，因为它包含 Google 认为“现代”的 GCM 密码套件。谢谢，Steffen，你的回答为我指明了正确的方向，让我更好地理解了整个主题。