Sono stato un lettore di lunga data ma questo è il mio primo vero post su un argomento a cui non sono riuscito a trovare una soluzione.https con ECDHE-ECDSA-AES256-GCM-SHA384 in windows 2012
Attualmente sto ospitando un sito Web su Windows 2012 che mi piacerebbe ottenere le ultime cipherion di TLS 1.2 in esecuzione.
Sono a conoscenza di come abilitare TLS 1.1 e TLS 1.2 in Windows e lo hanno fatto (tramite le modifiche del Registro di sistema). Ho anche cambiato l'ordine cifrato in quello che vorrei fosse.
La mia domanda è: come posso effettivamente passare e impostare la mia parte ECDHE/ECDSA della suite di crittografia dopo questo passaggio?
Quando visualizzo il sito nell'ultima versione beta di Chrome (che supporta ECDHE e ECDSA in TLS 1.2 purché si utilizzino le curve supportate) sembra saltare tutte le cipherrite di ECHDE.
C'è qualcos'altro che devo fare per ottenere ECDHE/ECDSA correttamente abilitato?
Ho letto in giro sulla rete cercando di risolvere da solo questo e menzionano fare copie del vostro certificato di root e quindi modificarle per supportare in qualche modo ECDHE. Sto abbaiando dall'albero sbagliato?
Grazie in anticipo per qualsiasi supporto con questo problema.
Edit: l'aggiunta di un chiarimento/progresso
Dopo ulteriori ricerche, ho scoperto che al fine di ottenere ECDSA a lavorare, è necessario un certificato di ECDSA. L'unico modo per ottenere uno in questo momento è autofirmare, in quanto il cartello-cartello non ha ancora trovato adeguati accordi di cross-licensing e strutture tariffarie per i certificati di curva ellittica.
Poiché l'autofirma non è un'opzione per questo sito, ho rimosso tutte le suite ECDSA dall'ordine di cifratura.
Sfortunatamente, poiché tutte le suite di contromisure AES Galois erano anche ECDSA, questo per ora le esclude.
Questo mi lascia con una suite di crittografia più potente di ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521 che CREDO è supportata dall'ultima versione di Chrome beta corretta? Non riesco a convincere Chrome a prendere nulla oltre SHA-1. Non c'è un supporto SHA-2? anche nell'ultima beta?
Dopo ulteriori ricerche, credo che il problema con i miei pacchetti di crittografia selezionati è che io non ho un ECDSA CA. Ho aggiunto il server a un dominio (il proprio dominio) e installato AD CS. Ho creato un certificato aziendale utilizzando il provider di chiavi software EC-PEA P-521 di MS. Ora, non so come procedere per ottenere questo in realtà funziona in IIS8. Anche una domanda a parte: Devo creare un certificato per ogni curva se voglio supportare tutte e 3 le curve di default in Windows 2012? – user2555174
> "Devo creare un certificato per ogni curva se voglio supportare tutte e 3 le curve di default in Windows 2012?" - Se hai usato un Cert per tutto, anche un canale non criptato, sarebbe facile indovinare il codice del Cert. Allo stesso modo se usi un Cert per le tre Curve e uno è rotto, così anche tutti gli altri. Certi separati per tutto sono più sicuri quanto più grandi (più lunghezze chiave e più difficili da decrittografare gli algoritmi) Chiavi, ma tutto ciò costa di più (per te e un Attaccante). – Rob