Sto provando a configurare IIS 8.5 su Windows 2012 R2 in modo da non ricevere la notifica da Chrome che il sito Web utilizza la crittografia obsoleta. L'immagine qui sotto è di Mac OS X, ma ricevo un messaggio simile in Windows 8.1 dove l'algoritmo di crittografia è AES_256_CBC utilizzando un hash SHA1 e lo scambio di chiavi è ECDHE_RSA. Il problema è l'hashing del messaggio SHA1. Google sta cercando di convincere i siti Web a utilizzare l'hashing dei messaggi SHA2. Sul Mac l'algoritmo utilizzato è SHA256 per la firma hash ma il problema qui è il modificatore GCM sulla crittografia AES.Correggere la notifica di Chrome sulla crittografia obsoleta in IIS8.5 e SQL Server 2012
Ho un nuovo certificato che è un certificato RSA a 2048 bit che supporta l'hashing del messaggio SHA256.
Ho utilizzato lo strumento Crypto di NARTAC IIS per configurare il server IIS. I protocolli abilitati sono TLS 1.0, TLS 1.1 e TLS 1.2 I crittografi abilitati sono TripleDES 168, AES 12/128 e AES 256/256. Gli hash attivati sono SHA, SHA256, SHA384 e SHA512. I Key Exchanges Enabled sono Diffie-Hellman, PKCS e ECDH. L'SSL Cipher Suite ordine per suite abilitati sono:
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521 (è proprio così nella più recente strumento) TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256 TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
ho provato un gran numero di varianti di questa configurazione, ma nessuno hanno portato ad un sito di lavoro con la notifica da Chrome andato. Se rimuovo AES 128/128 dalle Cipher Enabled, sembra che non abbia alcun impatto. Se rimuovo SHA dagli hash abilitati, il sito Web non è in grado di comunicare con SQL Server 2012 che fornisce servizi di dati al sito Web. Se rimuovo le suite di crittografia SSL basate su SHA1 dall'ordine supportato, il browser non è in grado di connettersi al server.
Qualcuno ha una configurazione funzionante di Windows IIS 8.5 con SQL Server, dove la notifica di Chrome è scomparsa?
Anche tutti i certificati * intermedi * nella catena di certificati utilizzano SHA256? In realtà, quale suite di crittografia Chrome crede che stia usando? – vcsjones
@vcjones no, 2 dei certificati intermedi sono sha384, ma la radice effettiva è sha1. Sembra che stia selezionando TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256 basato su sha1. –
Le radici SHA1 sono ok. Quale versione di SQL Server stai usando? – vcsjones