Ändern des Schlüsselaustauschmechanismus in IIS 8

10

Wir verwenden den RSA-Schlüsselaustauschmechanismus für das SSL-Zertifikat. Wie kann ich das in DHE_RSAoder ändern ECDHE_RSA?

Aufgrund der Verwendung von RSA erhalten wir die folgende Warnung in Chrom

Ihre Verbindung zur Website ist mit veralteter Kryptografie verschlüsselt

Ich verwende Windows Server 2012 IIS 8.

Karthik
quelle

Antworten:

26

Beantworten Sie zuerst speziell Ihre Frage.

"Wie kann ich das in DHE_RSA oder ECDHE_RSA ändern?"

Die einfachste Lösung hierfür besteht darin, IIS Crypto herunterzuladen und die harte Arbeit für Sie erledigen zu lassen.

IIS-Krypto

Um DHE_RSA oder ECDHE_RSA verwenden zu können, müssen Sie die Einstellungen der Verschlüsselungssuite im unteren linken Bereich des IIS Crypto-Fensters neu anordnen. Ich habe derzeit die folgende Verschlüsselungssuite als meine höchste Präferenz festgelegt.

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521

Sie möchten auch die Reihenfolge des Restes korrekt einstellen und einige der Einträge deaktivieren. Ich würde dringend empfehlen, die Schaltfläche "Best Practices" zu verwenden, da dies für Sie erledigt wird. Außerdem werden das SSL3.0-Protokoll und darunter sowie alle anderen Verschlüsselungs-Chiffren als 3DES und AES 128/256 deaktiviert. Sie müssen sich bewusst sein , dass dadurch Sie könnten Kompatibilitätsprobleme mit sehr alten Kunden führen (man denke IE6 auf XP und unten). Bei den meisten Kunden sollte dies heutzutage kein Problem sein, aber einige Teile der Welt verwenden immer noch ältere Software wie diese.

Der zweite Teil meiner Antwort bezieht sich auf Ihren Wunsch, die Warnung zu entfernen, dass die neueste Version von Chrome angezeigt wird.

Ihre Verbindung zur Website ist mit veralteter Kryptografie verschlüsselt

Dies ist schwerer zu erreichen. Auch nach dem Wechsel zu ECDHE_RSA oder DHE_RSA wird die Warnung angezeigt. Dies liegt daran, dass Chrome AES im CBC-Modus als veraltet ansieht. Die Möglichkeit, dies zu ändern, besteht darin, stattdessen AES im GCM-Modus zu verwenden. Dazu müssen Sie jedoch sicherstellen, dass Sie Ihren Server zuerst mit dem folgenden Patch gepatcht haben. Mit diesem Patch wurden vier neue Cipher Suites eingeführt, von denen zwei das tun, was wir hier brauchen.

Bevor ich Ihnen den Link gebe, kommt dies mit einer Gesundheitswarnung . Dieser Patch wurde im November von Microsoft aufgrund einer Vielzahl von Problemen erstellt. Ich weiß noch nicht, ob oder unter welchen Bedingungen die Verwendung jetzt als sicher angesehen wird. Ich habe versucht, es selbst herauszufinden (siehe diese SF-Frage )

Benutzung auf eigene Gefahr!

Der Patch ist KB2992611

Nach der Installation können Sie jetzt mit IIS Crypto die folgende Verschlüsselungssuite ganz oben auf die Liste setzen.

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

Chrome wird damit zufrieden sein. Der einzige Nachteil dieser Suite ist, dass Sie die mit ECDHE und nicht mit DHE verbundenen Eigenschaften der elliptischen Kurve verlieren. Dies hat keine Auswirkungen auf die Sicherheit, wirkt sich jedoch auf die Server- und Clientleistung während des Schlüsselaustauschs aus. Sie müssen bewerten, ob sich dieser Kompromiss für Ihren speziellen Anwendungsfall lohnt.

Schließlich ist es auch möglich, dies zu erreichen, indem eine der Chiffresuiten verwendet wird, die AES GCM mit ECDHE / ECDSA kombinieren, z

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521

Dies funktioniert jedoch nur, wenn Sie ein SSL-Zertifikat erhalten haben, das ECDSA zum Generieren Ihres öffentlichen / privaten Schlüssels anstelle von RSA verwendet. Diese sind immer noch relativ selten (sprich: teuer) und können Probleme mit der Clientkompatibilität verursachen. Ich habe selbst nicht mit dieser Option experimentiert und kann daher mit keiner Behörde darüber sprechen.

Endlich, endlich (wirklich, endlich). Nach all dem würde ich mir darüber eigentlich keine Sorgen machen. Ich werde AES CBC auf absehbare Zeit weiterhin auf meinen IIS-Boxen verwenden. Chrome zeigt die oben genannte Warnung nur an, wenn der Benutzer auf die TLS-Details klickt und diese anzeigt. Es gibt keinen Hinweis darauf, dass nur die Symbolleiste der Adressleiste angezeigt wird.

Hoffe das hilft und entschuldige mich für den Aufsatz! ;-);

Steve365
quelle
0

Der einfachste Weg, die Reihenfolge der Cipher Suites in Windows zu ändern, ist die Verwendung des kleinen Tools IIS Crypto

Die Nachricht, die Sie in Chrome erhalten, hängt jedoch höchstwahrscheinlich nicht damit zusammen.

Your connection to website is encrypted with obsolete cryptographywird angezeigt, wenn Ihr Zertifikat oder seine Eltern einen Signaturalgorithmus von haben sha1. Überprüfen Sie dies zuerst und ersetzen Sie möglicherweise das Zertifikat

Peter Hahndorf
quelle
Verdammt geschlagen von jemandem, der keinen Aufsatz geschrieben hat ;-)
Steve365
Tatsächlich zeigt das sha1-Problem einen anderen Fehler. Das Symbol in der Adressleiste unterscheidet sich sichtbar, um anzuzeigen, dass Chrome nicht sieht, dass die Website vollständig sicher ist. Dies ist ein einfacher zu lösendes Problem, wenn Sie ein Ersatzzertifikat erhalten. Die veraltete Kryptographie ist auf die anderen verwendeten Algorithmen zurückzuführen - siehe meine Antwort :)
Steve365