web-dev-qa-db-ja.com

Chromeブラウザは古い暗号を報告します(HMAC-SHA1のAES_256_CBC)

Jboss 6サーバーはこれらの暗号をサポートするように設定されています:

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
TLS_RSA_WITH_AES_256_CBC_SHA256,
TLS_RSA_WITH_AES_256_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_RSA_WITH_AES_128_CBC_SHA256,
TLS_RSA_WITH_AES_128_CBC_SHA

しかし、Chromeブラウザレポート:

このサイトへの接続には、強力なプロトコル(TLS 1.2)、強力な鍵交換(ECDHE_RSA)、および廃止された暗号(HMAC-SHA1を使用するAES_256_CBC)が使用されています

サーバー構成からすべての_SHAを削除する必要がありますか?

ただし、nmap sslスキャンは、すべてAグレードの暗号であることを示しています。

$ nmap -p 443 --script ssl-enum-ciphers.nse Host-name

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp160k1) - A
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp160k1) - A
TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A
TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp160k1) - A
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp160k1) - A
TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A
TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
9
user133283

問題はSHA1ではなくCBCです。 GCM暗号またはCHACHA20-POLY1305のような AEAD暗号 を提供する必要があります。 Chromium(base for Chrome)プロジェクトから 暗号スイートに関するドキュメント

このメッセージを回避するには、TLS 1.2を使用し、AES_128_GCMまたはCHACHA20_POLY1305でECDHE暗号スイートを優先します。ほとんどのサーバーはTLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256をネゴシエートすることを望みます。

これらの暗号を提供していないため、この警告が表示されます。詳細については、 この回答 も参照してください。 Chromiumのソースコードも参照してください。このチェックが実装されている net/ssl/ssl_cipher_suite_names.c の関数ObsoleteSSLStatusForCipherSuiteは注目に値します。

7
Steffen Ullrich

問題はあなたが使用している証明書にあると思います。証明書は適切な暗号を使用して作成する必要があります。これは、表示されているChromeメッセージです。今回は、sha2と適切な暗号を使用して証明書を再度発行する必要があります。

オンラインツール ssllabs を使用してサイトをテストすることをお勧めします。それはあなたの証明書、あなたの設定などをテストします。そしてそれはあなたにグレードを提供します。 A +が最適です。また、問題の解決方法についても説明します。とても素敵なツールです!

編集:多分これ post があなたを助けることができます

2
OscarAkaElvis

SHA onesなしでJboss暗号を再構成することで修正しました。Chromeはセキュリティ警告を表示しなくなりました。

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
1
user133283