web-dev-qa-db-ja.com

IIS 8のキー交換メカニズムを変更します

SSL証明書にはRSA鍵交換メカニズムを使用しています。どうすればDHE_RSAまたはECDHE_RSAに変更できますか?

RSAを使用しているため、Chromeで以下の警告が表示されます

ウェブサイトへの接続は古い暗号化で暗号化されています

Windows Server 2012を使用していますIIS 8。

10
Karthik

最初に具体的に質問に答えます;

「DHE_RSAまたはECDHE_RSAに変更するにはどうすればよいですか?」

これに対する最も簡単な解決策は、IIS Cryptoをダウンロードして、ハードワークを実行させることです。

IIS暗号

DHE_RSAまたはECDHE_RSAを使用するには、IIS Crypto window)の左下のペインで暗号スイートの設定を並べ替える必要があります。現在、次の暗号スイートを最高の設定として設定しています;

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521

また、残りの順序を正しく設定し、一部のエントリを無効にすることもできます。 「ベストプラクティス」ボタンを使用することを強くお勧めします。SSL3.0プロトコル以下も無効になります。 3DESおよびAES 128/256以外のすべての暗号化暗号。これを行うと、mightが非常に古いクライアントとの互換性の問題を引き起こす可能性があることに注意する必要があります(XP以下)のIE6を考えてください)。これは最近の問題ではないはずですが、世界の一部の地域ではまだこのような古いソフトウェアを使用しています。

私の答えの2番目の部分は、Chromeの最新バージョンが表示されているという警告を削除するというあなたの欲求を示しています。

ウェブサイトへの接続は古い暗号化で暗号化されています

これを達成するのは困難です。 ECDHE_RSAまたはDHE_RSAに変更した後でも、警告が表示されます。これは、ChromeがCBCモードのAESを廃止することを検討しているためです。これを変更する方法は、代わりにGCMモードでAESを使用することですが、これを行うには、最初に以下のパッチでサーバーにパッチを適用しました。このパッチは4つの新しい暗号スイートを導入し、そのうちの2つがここで必要なことを行います。

リンクを提供する前に、これにはヘルス警告が表示されます。このパッチは、多数の問題が原因で、11月にMicrosoftによってプルされました。安全に使用できるようになったのか、どのような条件下で使用できるのかはまだわかりません。私は自分自身を見つけようとしました( このSF質問 を参照)

ご自身の責任で使用してください!

パッチは KB2992611 です。

インストールしたら、IIS Cryptoを使用して、次の暗号スイートをリストの一番上に配置できます。

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

Chromeはこれで満足します。このスイートの唯一の欠点は、DHEではなくECDHEに関連付けられた楕円曲線のプロパティが失われることです。これはセキュリティには影響しませんが、キー交換中のサーバーとクライアントのパフォーマンスには影響します。このトレードオフが特定のユースケースにとって価値があるかどうかを評価する必要があります。

最後に、AES GCMとECDHE/ECDSAを組み合わせた暗号スイートの1つを使用してこれを実現することもできます。

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521

ただし、これは、RSAの代わりにECDSAを使用して公開/秘密鍵を生成するSSL証明書を取得した場合にのみ機能します。これらはまだ比較的まれで(読み取り:高価)、クライアントの互換性の問題を引き起こす可能性があります。私はこのオプションを自分で試したことがないので、それに関する権限と話すことはできません。

最後に、最終的に(実際に、最終的に)。上記のすべての後、私は実際にはそれを心配しませんでした。 IISボックスは予見可能な将来のために引き続き使用します。Chromeは、ユーザーがクリックして見ることを選択した場合にのみ、前述の警告を表示しますTLSの詳細については、アドレスバーの記号を調べただけでは何の意味もありません。

それがお役に立てば幸いです、そしてエッセイのために謝罪してください! ;-)

26
Steve365

Windowsで暗号スイートの順序を変更する最も簡単な方法は、小さなツール IIS Crypto を使用することです。

ただし、Chrome=で受け取るメッセージは、おそらくそれとは関係ありません。

Your connection to website is encrypted with obsolete cryptographyは、証明書またはその親がsha1の署名アルゴリズムを持っている場合に表示されます。最初にそれを確認し、おそらくその証明書を交換してください

0
Peter Hahndorf