web-dev-qa-db-fra.com

IIS Certificat TLS - Chrome indique que nous utilisons une "cryptographie obsolète"

Nous avons installé un certificat de serveur dans IIS pour un site Web. Lorsque vous naviguez sur le site Web via HTTPS et inspectez l'icône à l'aide de chrome, vous obtenez un message "Votre connexion ... est cryptée avec une cryptographie obsolète".

Comment configurer IIS de sorte que Chrome cesse d’afficher ce message et doit également équilibrer la nécessité de prendre en charge IE> = 8.

enter image description here

[EDIT]: Selon la capture d'écran, nous pouvons voir que la méthode de cryptage utilisée est "AES_256_CBC avec SHA1 pour l'authentification du message". La question est de savoir comment changer cela dans IIS afin que Chrome ne se plaint plus de la "cryptographie obselete". 

15
gls123

La réponse de Steffen est incorrecte (bien que le lien qu'il a fourni fournisse la réponse si vous lisez plus bas). La raison pour laquelle Chrome donne l'erreur concernant la cryptographie obsolète dans ce cas est due à AES en mode CBC.

Cela n'a rien à voir avec un certificat SHA-1.

Le TL; DR - ignore cette erreur, peu importe.

Si vous voulez vraiment vous débarrasser de l'erreur, vous devez plutôt activer AES GCM. Cependant, c'est plus facile à dire qu'à faire. J'ai récemment répondu à cela en totalité par serverfault - voir la deuxième partie de ma réponse ici;

https://serverfault.com/questions/683697/change-key-exchange-mechanism-in-iis-8/683705#683705

9
Steve365

Depuis que je suis nouveau sur SSL et les certificats, j'ai eu du mal avec ça aussi. Voici comment nous avons résolu ce problème. Notez que dans notre cas, nous travaillons avec une application Web interne et utilisons un certificat auto-signé.

  1. En utilisant OpenSSL sur Linux, créez une clé privée:
    openssl genrsa -out box.key 2048
  2. Ensuite, créez et signez un certificat avec la clé (nous fixons la date d'expiration pour une année et 10 jours):
    openssl req -new -x509 -sha256 -days 375 -key box.key -out box.crt
  3. Répondez aux questions (assurez-vous que le Common Name correspond au nom de domaine complet du serveur Web)
  4. Configurez votre serveur Web pour utiliser SSL à l'aide de cette clé et de ce certificat
  5. À l'aide de Chrome sous Windows, entrez l'URL HTTPS de votre site Web.
  6. Cliquez sur l'icône de cadenas dans la barre d'adresse, puis sélectionnez le lien Certificate Information dans la fenêtre contextuelle.
  7. Allez sur l’onglet Details, sélectionnez le bouton Copy to File... pour lancer le Certificate Export Wizard.
  8. À l'aide de l'assistant, sélectionnez PKCS # 7 comme format d'exportation et enregistrez le certificat (c'est-à-dire mykey.p7b).
  9. Installez le certificat dans le magasin de certificats Trusted Root Certification Authorities (utilisez certmgr.msc ou cliquez avec le bouton droit sur le certificat et sélectionnez Install Certificate
  10. Fermez Chrome, déconnectez-vous et reconnectez-vous à Windows (forcez l'ancien avertissement du site hors du cache).
  11. Rouvrez Chrome et entrez l'URL HTTPS de votre site Web.
  12. Admirez votre icône verrou vert brillant avec la cryptographie moderne
4
Eugene Barker

Vous voudrez peut-être lire https://www.chromium.org/Home/chromium-security/education/tls#TOC-Deprecation-of-TLS-Features-Algorithms-in-Chrome , qui a été le premier succès lorsque vous recherchez ce message d'erreur spécifique.

Il est difficile de savoir avec certitude sans consulter votre certificat, mais je suppose que la description suivante de la page liée correspond à votre certificat:

SHA-1 est obsolète dans Chrome au début de 2015 . Les certificats expirant en 2016 seront marqués comme "sécurisés, mais avec des erreurs mineures" . Les certificats expirant en 2017 seront traités ultérieurement comme "non sécurisés".

1
Steffen Ullrich

Dans ce lien il y a une liste noire et une liste blanche sur les chiffrements. Peut-être que si vous utilisez uniquement les blancs, cela résoudrait votre problème. Surveillez les listes dans les commentaires, vous verrez que cela a un peu changé depuis que la réponse a été écrite.

Cela m'a beaucoup aidé lorsque j'ai commencé à avoir ce problème avec Glassfish, j'espère que cela vous aidera également avec IIS.

0
Sertage

Pour répondre à ma propre question:

  1. S'assurer que les dernières mises à jour Windows ont été installées 
  2. Téléchargez et exécutez IIS Crypto ( https://www.nartac.com/Products/IISCrypto )
  3. Assurez-vous que ce chiffre est en haut de la liste à gauche:

    TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

  4. Appliquer les modifications dans IIS Crypto

  5. Redémarrer le serveur
0
gls123