Nous avons installé un certificat de serveur dans IIS pour un site Web. Lorsque vous naviguez sur le site Web via HTTPS et inspectez l'icône à l'aide de chrome, vous obtenez un message "Votre connexion ... est cryptée avec une cryptographie obsolète".
Comment configurer IIS de sorte que Chrome cesse d’afficher ce message et doit également équilibrer la nécessité de prendre en charge IE> = 8.
[EDIT]: Selon la capture d'écran, nous pouvons voir que la méthode de cryptage utilisée est "AES_256_CBC avec SHA1 pour l'authentification du message". La question est de savoir comment changer cela dans IIS afin que Chrome ne se plaint plus de la "cryptographie obselete".
La réponse de Steffen est incorrecte (bien que le lien qu'il a fourni fournisse la réponse si vous lisez plus bas). La raison pour laquelle Chrome donne l'erreur concernant la cryptographie obsolète dans ce cas est due à AES en mode CBC.
Cela n'a rien à voir avec un certificat SHA-1.
Le TL; DR - ignore cette erreur, peu importe.
Si vous voulez vraiment vous débarrasser de l'erreur, vous devez plutôt activer AES GCM. Cependant, c'est plus facile à dire qu'à faire. J'ai récemment répondu à cela en totalité par serverfault - voir la deuxième partie de ma réponse ici;
https://serverfault.com/questions/683697/change-key-exchange-mechanism-in-iis-8/683705#683705
Depuis que je suis nouveau sur SSL et les certificats, j'ai eu du mal avec ça aussi. Voici comment nous avons résolu ce problème. Notez que dans notre cas, nous travaillons avec une application Web interne et utilisons un certificat auto-signé.
openssl genrsa -out box.key 2048
openssl req -new -x509 -sha256 -days 375 -key box.key -out box.crt
Common Name
correspond au nom de domaine complet du serveur Web)Certificate Information
dans la fenêtre contextuelle.Details
, sélectionnez le bouton Copy to File...
pour lancer le Certificate Export Wizard
.mykey.p7b
).Trusted Root Certification Authorities
(utilisez certmgr.msc
ou cliquez avec le bouton droit sur le certificat et sélectionnez Install Certificate
Vous voudrez peut-être lire https://www.chromium.org/Home/chromium-security/education/tls#TOC-Deprecation-of-TLS-Features-Algorithms-in-Chrome , qui a été le premier succès lorsque vous recherchez ce message d'erreur spécifique.
Il est difficile de savoir avec certitude sans consulter votre certificat, mais je suppose que la description suivante de la page liée correspond à votre certificat:
SHA-1 est obsolète dans Chrome au début de 2015 . Les certificats expirant en 2016 seront marqués comme "sécurisés, mais avec des erreurs mineures" . Les certificats expirant en 2017 seront traités ultérieurement comme "non sécurisés".
Dans ce lien il y a une liste noire et une liste blanche sur les chiffrements. Peut-être que si vous utilisez uniquement les blancs, cela résoudrait votre problème. Surveillez les listes dans les commentaires, vous verrez que cela a un peu changé depuis que la réponse a été écrite.
Cela m'a beaucoup aidé lorsque j'ai commencé à avoir ce problème avec Glassfish, j'espère que cela vous aidera également avec IIS.
Pour répondre à ma propre question:
Assurez-vous que ce chiffre est en haut de la liste à gauche:
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
Appliquer les modifications dans IIS Crypto