Google Chrome "La tua connessione al sito web è crittografata con crittografia obsoleta"

Naviga le tue risposte
65

Google Chrome mostra nuove informazioni nella sezione dei certificati.

È un grosso problema? In tal caso, come posso risolverlo sul server?

EDIT: Grazie per le risposte, ma non sono esperto in crittografia, quindi l'unica cosa che posso aggiornare è che questo certificato è stato creato da Shell in a Box, e mi chiedevo anche se questo stesse rovinando la sicurezza di TLS / Comunicazione SSL con l'applicazione e, in caso affermativo, come potrei risolverlo.

    
posta IMcPwn 15.03.2015 - 20:54
fonte

4 risposte

55

Il tuo caso esatto è che RSA è usato come meccanismo di scambio di chiavi. Invece, dovresti usare DHE_RSA o ECDHE_RSA .

Per rimuovere l'avviso di "crittografia obsoleta", devi utilizzare "crittografia moderna" che è definita come:

  • Protocollo: TLS 1.2 o QUIC
  • Cipher: AES_128_GCM o CHACHA20_POLY1305
  • Scambio di chiavi: DHE_RSA o ECDHE_RSA o ECDHE_ECDSA

Discussione su Twitter: link

Conferma: link

Questo non ha nulla a che fare con un certificato. C'è un avviso speciale "impostazioni di sicurezza obsolete" quando un certificato utilizza un algoritmo di firma debole, ma si tratta di autenticazione, non di crittografia. Nota che stai ancora ricevendo un blocco verde, anche in caso di crittografia obsoleta.

    
risposta data 16.03.2015 - 14:52
fonte
7

Questo messaggio indica probabilmente che sei

  • Uso di SSLv3 o
  • Avere un certificato firmato con SHA-1 o MD5

Secondo questa pagina . Il primo è un problema di configurazione , il Quest'ultimo richiede di ottenere un certificato firmato con uno SHA- 256 hash .

    
risposta data 15.03.2015 - 22:19
fonte
5

Ho avuto lo stesso problema e ho utilizzato questo servizio gratuito per ottenere un rapporto SSL .

Il rapporto analizza la configurazione SSL e ti dice:

  • Informazioni sul certificato (nomi comuni, date valide, dimensioni della chiave, algoritmo di firma, emittente, ...)
  • Percorso di certificazione
  • Protocolli abilitati (assicurandosi che SSL 2 e SSL 3 siano disabilitati)
  • Suite di crittografia supportate (dove puoi vedere cosa deve essere disabilitato)
  • Simulazioni di handshake per diversi browser e sistema operativo.
  • Dettagli del protocollo (sei vulnerabile?)

Mi ha aiutato a ottenere informazioni su come era impostata la mia configurazione, cosa poteva essere migliorato o disabilitato e ho finito per modificare la direttiva ssl_cipher di Nginx per supportare Compatibilità immediata .

    
risposta data 27.04.2015 - 22:48
fonte
1

Poiché la versione del protocollo è buona e AES_128-GCM non è certamente obsoleto, la possibilità rimanente è che qualcosa non funzioni con lo scambio di chiavi RSA. Non sono sicuro di ciò che google chrome sa essere obsoleto, ma solo il fatto che lo scambio di chiavi sia eseguito utilizzando RSA non è particolarmente buono. Preferibilmente, RSA deve essere utilizzato solo per l'autenticazione e lo scambio di chiavi deve essere eseguito utilizzando DHE o ECDHE.

Come qualcuno ha sottolineato potrebbe anche avere un problema con il certificato che è firmato con una cattiva funzione di hash o la chiave potrebbe essere troppo corta (512 bit?) quest'ultima non è molto probabilmente però.

    
risposta data 16.03.2015 - 13:40
fonte

Leggi altre domande sui tag

Perché i server dovrebbero essere collocati al di fuori della rete aziendale? In che modo alcuni siti (ad esempio banche online) richiedono solo caratteri specifici da una password senza archiviarli come testo normale?