Cambiare il meccanismo di scambio di chiavi in ​​IIS 8

Stiamo utilizzando il meccanismo di scambio di chiavi RSA per il certificato SSL. Come posso cambiarla a DHE_RSA o ECDHE_RSA ?

A causa dell'utilizzo di RSA, stiamo ricevendo l'avviso sotto in cromo

La connessione al sito è crittografata con una crittografia obsoleta

Sto usando Windows Server 2012 IIS 8.

  • Migrazione da Server 2003 R2 utilizzando IIS1 e FrontPage a Server 2012 utilizzando IIS8
  • Solidworks: la modalità licenza di triggerszione non è supportta in questo ambiente virtuale (Qemu-KVM)
  • Autenticazione Windows IIS 8.5 non rioutput per alcuni utenti
  • Come configurare correttamente un record DNS wildcard in Windows Server 2012?
  • Come configurare ADFS 2.0 per submit il token SAML 2.0 quando si utilizza WS-Federation
  • Dettagli tecnici per la funzionalità di de-duplicazione Server 2012
  • Installazione del sistema ospite da DVD fisico Hyper-v 2012 R2 di CD / DVD
  • Come abilitare "Sleep" per il server Windows 2012
  • 2 Solutions collect form web for “Cambiare il meccanismo di scambio di chiavi in ​​IIS 8”

    In primo luogo rispondere specificamente alla tua domanda;

    "Come posso cambiarla a DHE_RSA o ECDHE_RSA?"

    La soluzione più semplice è scaricare il IIS Crypto e lasciarlo fare per voi.

    IIS Crypto

    Per utilizzare DHE_RSA o ECDHE_RSA è necessario ordinare nuovamente le preferenze della suite di cifratura nel riquadro in basso a sinistra della window IIS Crypto. Attualmente ho impostato la seguente suite di cifratura come la mia preferenza più alta;

     TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521 

    Vorresti anche impostare correttamente l'ordine del resto e distriggersre alcune voci. Suggerisco vivamente di utilizzare il button 'Best Practices' come farà di questo per te. Disattiverà anche il protocollo SSL3.0 e di seguito, e tutte le cifrature di cifratura diverse da 3DES e AES 128/256. È necessario essere consapevoli che, facendo ciò, potrebbero causare problemi di compatibilità con i client molto vecchi (pensa IE6 su XP e sotto). Con la maggior parte delle basi dei clienti questo non dovrebbe essere un problema in questi giorni, ma alcune parti del mondo ancora utilizzare software più vecchi come questo.

    La seconda parte della mia risposta riguarda il tuo desiderio di rimuovere l'avviso che mostra l'ultima versione di Chrome;

    La connessione al sito è crittografata con una crittografia obsoleta

    Questo è più difficile da raggiungere. Anche dopo aver cambiato ECDHE_RSA o DHE_RSA, vedrai ancora l'avviso. Ciò è dovuto al fatto che Chrome sta valutando l'AES in modalità CBC per essere obsoleto. Il modo per cambiare questo metodo è quello di utilizzare AES in modalità GCM, ma per farlo è necessario assicurarsi di aver prima eseguito il patch del server con la patch riportta di seguito. Questa patch ha introdotto quattro nuove suite di cifrature, due dei quali faranno quello che serve qui.

    Prima di darti il ​​collegamento, questo viene fornito con un avviso di salute . Questa patch è stata tirata da Microsoft nel mese di novembre a causa di una moltitudine di problemi. Non so ancora se ora è considerato sicuro da usare, o in quali condizioni. Sto cercando di scoprirmi (vedi questa domanda SF )

    Utilizzare a proprio rischio!

    La patch è KB2992611

    Una volta installato è ora ansible utilizzare IIS Crypto per inserire la seguente suite di cifratura nella parte superiore dell'elenco;

     TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 

    Chrome sarà felice di questo. L'unico lato negativo di questa suite è che si perde le properties; ellittiche della curva associate a ECDHE piuttosto che DHE. Ciò non influisce sulla sicurezza, ma influisce sulle performance del server e del client durante lo scambio di chiavi. Sarà necessario valutare se questo compromesso è valido per il tuo particolare caso d'uso.

    Infine , è anche ansible get questo risultato utilizzando una delle suite cifrari che combinano AES GCM con ECDHE / ECDSA, ad esempio

     TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521 

    Tuttavia ciò functionrà solo se è stato ottenuto un certificato SSL che utilizza ECDSA per la generazione di chiave pubblica / privata anziché RSA. Questi sono ancora relativamente rari (leggi: costosi) e possono causare problemi di compatibilità con i client. Non ho sperimentato questa opzione e quindi non posso parlare con alcuna autorità su di esso.

    Infine, finalmente (veramente, finalmente). Dopo tutto quanto sopra, in realtà non mi preoccuperei. Continuerò a utilizzare AES CBC sulle mie scatole IIS per il prossimo futuro. Chrome mostra solo l'avviso di cui sopra se l'utente sceglie di fare clic e guardare i dettagli TLS, non c'è alcuna indicazione altrimenti dalla visualizzazione della simbologia della barra degli indirizzi.

    Speranza che aiuta e scusa per il saggio! 😉

    Il modo più semplice che conosco per cambiare l'ordine delle suite di cifratura in Windows è quello che utilizza il piccolo strumento IIS Crypto

    Tuttavia il messaggio che hai in Chrome non è più probabilmente correlato a questo.

    Your connection to website is encrypted with obsolete cryptography viene mostrato quando il certificato oi suoi genitori hanno un algorithm di firma di sha1 . Controllare prima e forse sostituire il certificato

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.