web-dev-qa-db-ja.com

Google Chrome "ウェブサイトへの接続は古い暗号で暗号化されています"

Google Chromeは、証明書セクションに新しい情報を表示しています。

image

これは大したことですか?もしそうなら、どうすればサーバー側で修正できますか?

編集:回答をありがとうございますが、私は暗号法に熟練していないので、更新できる唯一のことは、この証明書がShell in a Boxによって作成されたものであり、これがTLS/SSL通信のセキュリティを台無しにしていないかどうかも疑問に思っていましたアプリケーションと、もしそうなら、それをどのように修正できるか。

cryptographychrome
65
Carleton Stuberg

正確なケースは、RSAがキー交換メカニズムとして使用されることです。代わりに、DHE_RSAまたはECDHE_RSAを使用する必要があります。

「廃止された暗号化」の警告を削除するには、次のように定義された「最新の暗号化」を使用する必要があります。

  • プロトコル:TLS 1.2またはQUIC
  • Cipher:AES_128_GCMまたはCHACHA20_POLY1305
  • 鍵交換:DHE_RSAまたはECDHE_RSAまたはECDHE_ECDSA

Twitterディスカッション: https://Twitter.com/reschly/status/534956038353477632

コミット: https://codereview.chromium.org/7031430

これは証明書とは関係ありません。証明書が弱い署名アルゴリズムを使用する場合、特別な「古いセキュリティ設定」警告がありますが、これは認証に関するものであり、暗号化に関するものではありません。古くなった暗号化の場合でも、まだ緑色のロックがかかっていることに注意してください。

55
Adm Selec

そのメッセージはおそらくあなたが

  • SSLv3の使用、または
  • SHA-1またはMD5で署名された証明書を持っている

このページ によると。前者は 構成の問題 、後者は SHA-256ハッシュで署名された証明書 を取得する必要があります。

7
gowenfawr

同じ問題が発生し、この無料サービスを使用して SSLレポート を取得しました。

レポートはSSL構成をスキャンし、次のことを伝えます。

  • 証明書に関する情報(通称、有効な日付、鍵サイズ、署名アルゴリズム、発行者など)
  • 認定パス
  • 有効なプロトコル(SSL 2およびSSL 3が無効になっていることを確認してください)
  • サポートされる暗号スイート(無効にする必要があるものを確認できる場所)
  • さまざまなブラウザとOSのハンドシェイクシミュレーション。
  • プロトコルの詳細(脆弱ですか?)

それは私の構成がどのように設定されたか、何が改善または無効化できるかについての情報を得るのに役立ち、私はssl_cipher中間互換性 をサポートするNginxのディレクティブ。

5
Maxime

プロトコルバージョンは良好であり、AES_128-GCMは確かに時代遅れではないので、残りの可能性は、RSA鍵交換に問題があることです。 google chromeが廃止されたと理解しているものはわかりませんが、RSAを使用してキー交換が実行されるという事実は特に良くありません。できればRSAは認証にのみ使用し、キー交換はDHEまたはECDHEを使用して実行されます。

誰かが指摘したように、不正なハッシュ関数で署名されているか、キーが短すぎる(512ビット?)証明書に問題がある可能性もありますが、後者はおそらくそうではありません。

2
DRF