Jboss 6サーバーはこれらの暗号をサポートするように設定されています:
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
TLS_RSA_WITH_AES_256_CBC_SHA256,
TLS_RSA_WITH_AES_256_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_RSA_WITH_AES_128_CBC_SHA256,
TLS_RSA_WITH_AES_128_CBC_SHA
しかし、Chromeブラウザレポート:
このサイトへの接続には、強力なプロトコル(TLS 1.2)、強力な鍵交換(ECDHE_RSA)、および廃止された暗号(HMAC-SHA1を使用するAES_256_CBC)が使用されています
サーバー構成からすべての_SHAを削除する必要がありますか?
ただし、nmap sslスキャンは、すべてAグレードの暗号であることを示しています。
$ nmap -p 443 --script ssl-enum-ciphers.nse Host-name
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp160k1) - A
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp160k1) - A
TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A
TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp160k1) - A
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp160k1) - A
TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A
TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
問題はSHA1ではなくCBCです。 GCM暗号またはCHACHA20-POLY1305のような AEAD暗号 を提供する必要があります。 Chromium(base for Chrome)プロジェクトから 暗号スイートに関するドキュメント :
このメッセージを回避するには、TLS 1.2を使用し、AES_128_GCMまたはCHACHA20_POLY1305でECDHE暗号スイートを優先します。ほとんどのサーバーはTLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256をネゴシエートすることを望みます。
これらの暗号を提供していないため、この警告が表示されます。詳細については、 この回答 も参照してください。 Chromiumのソースコードも参照してください。このチェックが実装されている net/ssl/ssl_cipher_suite_names.c の関数ObsoleteSSLStatusForCipherSuite
は注目に値します。
SHA onesなしでJboss暗号を再構成することで修正しました。Chromeはセキュリティ警告を表示しなくなりました。
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256