Il browser Chrome segnala il cifrario obsoleto (AES_256_CBC con HMAC-SHA1)

8

Il server Jboss 6 è configurato per supportare questi codici:

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
TLS_RSA_WITH_AES_256_CBC_SHA256,
TLS_RSA_WITH_AES_256_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_RSA_WITH_AES_128_CBC_SHA256,
TLS_RSA_WITH_AES_128_CBC_SHA

Ma il browser Chrome riporta:

The connection to this site uses a strong protocol (TLS 1.2), a strong key exchange (ECDHE_RSA), and an obsolete cipher (AES_256_CBC with HMAC-SHA1)

Dovremmo rimuovere tutti gli _SHA dalla configurazione del server?

Tuttavia, la scansione di nmap ssl mostra che sono tutte cifre di grado A:

$ nmap -p 443 --script ssl-enum-ciphers.nse host-name

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp160k1) - A
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp160k1) - A
TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A
TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp160k1) - A
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp160k1) - A
TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A
TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
    
posta user133283 13.12.2016 - 11:52
fonte

3 risposte

5

Il problema non è SHA1 ma CBC. Devi offrire una cifratura AEAD come i codici GCM o CHACHA20-POLY1305. Dai progetti Chromium (base per Chrome) alla documentazione sulle suite di crittografia :

To avoid this message, use TLS 1.2 and prioritize an ECDHE cipher suite with AES_128_GCM or CHACHA20_POLY1305. Most servers will wish to negotiate TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256.

Non offri nessuno di questi codici in modo da ottenere questo avviso. Vedi anche questa risposta per ulteriori dettagli. Vedi anche il codice sorgente di Chromium, la funzione ObsoleteSSLStatusForCipherSuite in net / ssl /ssl_cipher_suite_names.c dove questo controllo è implementato.

    
risposta data 13.12.2016 - 13:59
fonte
1

Penso che il tuo problema sia nel certificato che stai utilizzando. Il tuo certificato deve essere fatto usando una buona cifra. Questo è il messaggio di Chrome che stai vedendo. È necessario emettere nuovamente il certificato utilizzando sha2 e una buona cifra questa volta.

Ti consiglio di utilizzare lo strumento online ssllabs per testare il tuo sito. Verificherà il tuo certificato, la tua configurazione, ecc. E ti fornirà un voto. A + è il migliore. E ti consiglia anche come procedere per risolvere i tuoi problemi. Uno strumento molto bello!

EDIT: forse questo post ti può aiutare

    
risposta data 13.12.2016 - 12:16
fonte
1

Risolto il problema riconfigurando i codici JBoss senza quelli SHA. Ora il Chrome non mostra alcun avviso di sicurezza.

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
    
risposta data 15.12.2016 - 06:46
fonte

Leggi altre domande sui tag