Fix Chrome Benachrichtigung über veraltete Verschlüsselung in IIS8.5 und SQL Server 2012

Question

Ich versuche, IIS 8.5 unter Windows 2012 R2 zu konfigurieren, so dass ich die Benachrichtigung von Chrome nicht erhalten, dass die Website veraltete Kryptografie verwendet. Das folgende Bild stammt von Mac OS X, aber ich erhalte eine ähnliche Meldung in Windows 8.1, wo der Verschlüsselungsalgorithmus AES_256_CBC mit einem SHA1-Hash ist und der Schlüsselaustausch ECDHE_RSA ist. Das Problem ist das Hashing der SHA1-Nachrichten. Google versucht, Websites dazu zu bringen, SHA2-Nachrichten-Hashing zu verwenden. Auf dem Mac ist der verwendete Algorithmus SHA256 für das Hash-Signieren, aber das Problem ist hier der GCM-Modifikator für die AES-Verschlüsselung.

Ich habe ein neues Zertifikat, das 2048-Bit-RSA-Zertifikat unterstützt SHA256 Message Hashing.

Ich habe das NARTAC IIS Crypto Tool zum Konfigurieren des IIS-Servers verwendet. Die aktivierten Protokolle sind TLS 1.0, TLS 1.1 und TLS 1.2. Die aktivierten Chiffrierschlüssel sind TripleDES 168, AES 12/128 und AES 256/256. Die aktivierten Hashes sind SHA, SHA256, SHA384 und SHA512. Die aktivierten Key Exchanges sind Diffie-Hellman, PKCS und ECDH. Der SSL-Cipher Suites Auftrag für aktivierte Suiten:

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521 (es ist wirklich diese Art und Weise in dem neuesten Werkzeug) TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256 TLS_RSA_WITH_AES_256_GCM_SHA384

TLS_RSA_WITH_AES_128_GCM_SHA256

Ich habe eine große Anzahl von Variationen dieser Konfiguration versucht, aber keine hat in einer Arbeitsstelle mit der Benachrichtigung von Chrome weg geführt. Wenn ich das AES 128/128 von den aktivierten Chiffren entferne, scheint es keine Auswirkungen zu haben. Wenn ich SHA aus dem Hashes Enabled entferne, kann die Website nicht mit dem SQL Server 2012 kommunizieren, der Datendienste für die Website bereitstellt. Wenn ich die SHA1-basierten SSL Cipher Suites aus der unterstützten Bestellung entferne, kann der Browser keine Verbindung zum Server herstellen.

Hat jemand eine funktionierende Konfiguration von Windows IIS 8.5 mit SQL Server, wo die Chrome-Benachrichtigung weg ist?

Answer 1

Entweder setzen Sie TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 oben auf die Liste oder lassen Sie den Server die Verschlüsselungsreihenfolge nicht überschreiben, die vom Client angezeigt wird (wodurch die bevorzugten Ziffern an die Spitze gesetzt werden). Ich weiß nicht, ob es dafür eine Option gibt.

Weitere Hintergrundinformationen über das Thema sehen https://security.stackexchange.com/questions/85532/chrome-showing-cryptography-as-obsolete/85544#85544

Answer 2

Windows Server 2012 scheint nicht die TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 Cipher Suite benötigt, um diesen Fehler zu beseitigen. Unter https://msdn.microsoft.com/en-us/library/windows/desktop/aa374757(v=vs.85).aspx finden Sie Links zu Seiten, auf denen die Cipher Suites für die verschiedenen Versionen von Server aufgelistet sind. Sie werden feststellen, dass Windows Server 2016 diese Cipher-Suite enthält, und ich fand, dass das Upgrade auf 2016 der beste Weg für mich war, den Google-Fehler zu beheben. Bitte beachten Sie, dass Sie, wenn Sie auf Windows Server 2016 upgraden, erneut Ihr IIS_Crypto 2.0-Programm verwenden müssen, um die Verschlüsselungen entsprechend zu ordern (oder die von Ihnen gewählte Bestelloberfläche). Mit der Best Practices-Vorlage gelangen Sie dorthin. Ich wählte ihre Verschlüsselungsreihenfolge, die TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 am Anfang der Liste ergibt.