Crittografia obsoleta di Google Chrome

0

Ho un server Apache in esecuzione e in seguito alla configurazione di ssl:

 Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
 SSLProtocol -all +TLSv1.2
 SSLCompression Off
 SSLHonorCipherOrder on
 SSLCipherSuite "ECDH+AESGCM256:DH+AESGCM256:ECDH+AES256:SH+AES256:RSA+AESGCM256:RSA+AES256:!aNULL:!MD5:!kEDH:!DSS"

In Chrome ho avuto lo stesso "problema" come l'utente ha chiesto qui: Google Chrome" La tua connessione al sito web è crittografata con crittografia obsoleta "

Qualcuno può dirmi cosa devo cambiare in questa configurazione per ottenere la "crittografia moderna"?

Il mio certificato è firmato con SHA512withRSA e voglio supportare solo chipher a 256 bit.

    
posta MCSeifert 29.05.2015 - 10:02
fonte

1 risposta

5

Quando osservi quali algoritmi effettivamente fornisci:

openssl ciphers -V 'ECDH+AESGCM256:DH+AESGCM256:ECDH+AES256:SH+AES256:RSA+AESGCM256:RSA+AES256:!aNULL:!MD5:!kEDH:!DSS'

      0xC0,0x30 - ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AESGCM(256) Mac=AEAD
      0xC0,0x2C - ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AESGCM(256) Mac=AEAD
      0xC0,0x28 - ECDHE-RSA-AES256-SHA384 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AES(256)  Mac=SHA384
      0xC0,0x24 - ECDHE-ECDSA-AES256-SHA384 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AES(256)  Mac=SHA384
      0xC0,0x14 - ECDHE-RSA-AES256-SHA    SSLv3 Kx=ECDH     Au=RSA  Enc=AES(256)  Mac=SHA1
      0xC0,0x0A - ECDHE-ECDSA-AES256-SHA  SSLv3 Kx=ECDH     Au=ECDSA Enc=AES(256)  Mac=SHA1
      0xC0,0x32 - ECDH-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH/RSA Au=ECDH Enc=AESGCM(256) Mac=AEAD
      0xC0,0x2E - ECDH-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH/ECDSA Au=ECDH Enc=AESGCM(256) Mac=AEAD
      0xC0,0x2A - ECDH-RSA-AES256-SHA384  TLSv1.2 Kx=ECDH/RSA Au=ECDH Enc=AES(256)  Mac=SHA384
      0xC0,0x26 - ECDH-ECDSA-AES256-SHA384 TLSv1.2 Kx=ECDH/ECDSA Au=ECDH Enc=AES(256)  Mac=SHA384
      0xC0,0x0F - ECDH-RSA-AES256-SHA     SSLv3 Kx=ECDH/RSA Au=ECDH Enc=AES(256)  Mac=SHA1
      0xC0,0x05 - ECDH-ECDSA-AES256-SHA   SSLv3 Kx=ECDH/ECDSA Au=ECDH Enc=AES(256)  Mac=SHA1
      0x00,0x9D - AES256-GCM-SHA384       TLSv1.2 Kx=RSA      Au=RSA  Enc=AESGCM(256) Mac=AEAD
      0x00,0x3D - AES256-SHA256           TLSv1.2 Kx=RSA      Au=RSA  Enc=AES(256)  Mac=SHA256
      0x00,0x35 - AES256-SHA              SSLv3 Kx=RSA      Au=RSA  Enc=AES(256)  Mac=SHA1

Fornisci cifrari con GCM, che è ciò di cui hai bisogno per la "crittografia moderna". Ma fornisci solo cifrari con SHA384, che non è supportato da Chrome. Pertanto, nessuno dei codici di GCM può essere utilizzato dal client e possono essere utilizzati solo gli algoritmi di "crittografia obsoleta".

My certificate is signed with SHA512withRSA and I only want to support 256-Bit chiphers.

Dovresti fornire sicurezza adeguata e non "la mia è più grande della tua" sicurezza. AES128-GCM-SHA256 è adeguato e supportato da Chrome.

Raccomando di leggere link

    
risposta data 29.05.2015 - 10:33
fonte

Leggi altre domande sui tag