Answers:
首先要具体回答您的问题;
“如何将其更改为DHE_RSA或ECDHE_RSA?”
对此最简单的解决方案是下载IIS Crypto,然后让它为您完成艰苦的工作。
为了使用DHE_RSA或ECDHE_RSA,您需要在IIS加密窗口的左下方窗格中对密码套件首选项进行重新排序。我目前将以下密码套件设置为最高优先级;
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521
您还需要正确设置其余部分的顺序并禁用某些条目。我强烈建议您使用“最佳做法”按钮,因为这样做会对您有帮助。它还将禁用SSL3.0协议及其以下版本,以及除3DES和AES 128/256之外的所有加密密码。您需要注意,这样做可能会导致与非常老的客户端的兼容性问题(请考虑XP及以下版本的IE6)。如今,对于大多数客户而言,这已经不是问题,但世界上某些地区仍在使用诸如此类的旧软件。
我的答案的第二部分涉及您希望删除显示最新版本的Chrome的警告;
您与网站的连接已使用过时的加密技术进行了加密
这很难实现。即使更改为ECDHE_RSA或DHE_RSA,您仍然会看到警告。这是因为Chrome浏览器认为CBC模式下的AES已过时。更改此方法的方法是改为在GCM模式下使用AES,但是为此,您需要确保首先使用以下补丁对服务器进行了补丁。该补丁引入了四个新的密码套件,其中两个将完成我们在此需要的工作。
在我给您链接之前,它带有健康警告。由于许多问题,Microsoft在11月取消了此补丁程序。我不知道现在是否认为它可以安全使用或在什么条件下使用。我一直试图找出自己(请参阅 此SF问题)
使用风险自负!
补丁为KB2992611
安装完成后,您现在可以使用IIS Crypto将以下密码套件放在列表的顶部。
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
Chrome将对此感到满意。该套件的唯一缺点是您失去了与ECDHE而不是DHE相关的椭圆曲线属性。这不会影响安全性,但会影响密钥交换期间的服务器和客户端性能。您将需要评估这种折衷是否适合您的特定用例。
最后,也可以通过使用将AES GCM与ECDHE / ECDSA相结合的密码套件之一来实现此目的,例如
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521
但是,这仅在获得使用ECDSA而不是RSA生成公钥/私钥的SSL证书的情况下才有效。这些仍然相对罕见(阅读:昂贵),并且可能导致客户端兼容性问题。我自己没有尝试过该选项,因此无法与任何权威人士进行交流。
最后,最后(真的,最后)。完成以上所有操作后,我实际上无需担心。在可预见的将来,我将继续在IIS盒上使用AES CBC。仅当用户选择单击并查看TLS详细信息时,Chrome才会显示上述警告,否则仅通过查看地址栏符号系统就不会显示任何警告。
希望对本文有所帮助,并为本文道歉!;-)
我知道在Windows中更改密码套件顺序的最简单方法是使用小型工具IIS Crypto
但是,您在Chrome中收到的消息很可能与此无关。
Your connection to website is encrypted with obsolete cryptography当您的证书或其父母的签名算法为时,会显示sha1。首先检查,然后替换该证书