Perché Chrome avvisa di "Obsoleto Connection Settings" per lo scambio di chiavi?

2

Che cosa devo cambiare in modo che Google Chrome non dica che sto utilizzando uno scambio di chiavi obsoleto?

Obsolete Connection Settings

The connection to this site uses a strong protocol (TLS 1.2), an obsolete key exchange (RSA), and a stronc cipher (AES_128_GCM).

Sto usando Apache 2.4.18 e OpenSSL 1.0.2g. Queste sono le mie impostazioni:

SSLOpenSSLConfCmd DHParameters    /etc/ssl/certs/dhparam.pem
SSLOpenSSLConfCmd ECDHParameters  Automatic
SSLOpenSSLConfCmd Curves          secp521r1:secp384r1:prime256v1
SSLProtocol                       all -SSLv3 -TLSv1 -TLSv1.1 
SSLCipherSuite                    ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
SSLHonorCipherOrder               on  
SSLCompression                    off 
SSLSessionTickets                 off
SSLUseStapling                    on 
SSLStaplingResponderTimeout       5 
SSLStaplingReturnResponderErrors  off
SSLStaplingCache                  shmcb:/var/run/ocsp(128000)

Queste sono le impostazioni moderne consigliate dal Mozilla ssl-config-generator . Qualche idea?

    
posta EasyPeasy 18.12.2016 - 13:30
fonte

1 risposta

-1

Come menziona Steffen Ullrich nei commenti, Google Chrome o Chromium in sostanza ti consentono di sapere che non è stata utilizzata la crittografia ECDHE. Questo non è un problema di per sé, ma se puoi permetterlo, usa uno scambio di chiavi EC.

La configurazione che post è corretta al livello che genererà un certificato basato su curve ellittiche. Tuttavia sembra che Apache stia servendo un certificato RSA.

    
risposta data 18.12.2016 - 15:37
fonte

Leggi altre domande sui tag