web-dev-qa-db-ja.com

証明書がSHA256を使用しているにもかかわらず、廃止された暗号化(SHA1)警告

ComodoにSHA256を含む証明書を注文しましたが、なぜChromeがこのメッセージを表示するのか疑問に思いました:

接続は廃止された暗号で暗号化されています。

接続はAES_256_CBCを使用して暗号化されます。メッセージ認証にはSHA1、鍵交換メカニズムにはDHE_RSAが使用されます。

SHA1を使用する唯一の証明書はルート証明書であるため、SHA1について問題があります。 Chromeこのような警告が表示されるのはなぜですか?

以下は、SSL Labsテストの結果です(サーバー上の証明書情報と暗号スイート)。

パス#1

[私のドメイン]
RSA 2048ビット(e 65537)/ SHA256withRSA

COMODO RSAドメイン検証セキュアサーバーCA
RSA 2048ビット(e 65537)/ SHA384withRSA

COMODO RSA認証局
RSA 4096ビット(e 65537)/ SHA384withRSA

パス#2

[私のドメイン]
RSA 2048ビット(e 65537)/ SHA256withRSA

COMODO RSAドメイン検証セキュアサーバーCA
RSA 2048ビット(e 65537)/ SHA384withRSA

COMODO RSA認証局
RSA 4096ビット(e 65537)/ SHA384withRSA

AddTrust外部CAルート
RSA 2048ビット(e 65537)/ SHA1withRSA

暗号スイート

TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA

注: AES_256_CBCは最新の暗号化とは見なされないので、古い暗号化に関する警告が引き続き表示されます。私はちょうどSHA1の部分について考えていました。

tlscertificateschromesha
11
chrisklaussner

エラーメッセージは誤解を招くだけです

あなたは自分で言った:

AES_256_CBCは最新の暗号化とは見なされないため、古い暗号化に関する警告が引き続き表示されます。

そして、それがあなたがそのメッセージを受け取る理由です。

残念ながら、メッセージ自体はあまり明確に表現されていません。

SHA-1はいくつかの状況で使用されます。ここで、「SHA-1」はHMACメッセージ認証を指し、証明書内での使用を指していません。

Chromium TLSページ (アーカイブ ここ 。)から:

メッセージ認証

あなたは見るかもしれません:

「接続はメッセージ認証にSHA1で[暗号]を使用しています。」

これは実際、接続が証明書の署名アルゴリズム(sha1WithRSAEncryptionなど)ではなく、データの整合性のためにHMAC-SHA1を使用していることを意味します。 HMACの構造は十分強力で、ハッシュ関数としてSHA1(またはMD5)を使用しても壊れないため、これは現在notは非推奨です。

何をすべきか
有効にして、サーバーにChromeのほうが好きな暗号スイートを優先させます。つまり、前方機密とAES- GCMまたはCHACHA20_POLY1305(TLSページではTLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256。)

これは既にリストに含まれているため、サーバーの設定を変更するだけで済みます。

8
StackzOfZtuff

証明書はSHA-256を使用する場合がありますが、SHA-1暗号スイートが有効になっています。

TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA

これらを無効にすると、警告が消えます。

コメントに応じて編集:

Chrome暗号スイートは次のとおりです。

TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305       0xCC13
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305     0xCC14
TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256  0xCC15

Cipher suites

したがって、サーバーからの最も強力な選択はTLS_DHE_RSA_WITH_AES_128_GCM_SHA256。パフォーマンスの目的でより弱い暗号を優先するように構成設定している可能性があると思いますか?

3
SilverlightFox