Сертификат IIS TLS - Chrome говорит, что мы используем "устаревшую криптографию",

Ответ 1

Ответ Штеффена неверен (хотя ссылка, которую он предоставил, дает ответ, если вы читаете дальше). Причина, по которой Chrome дает ошибку в отношении устаревшей криптографии, в этом случае обусловлена ​​AES в режиме CBC.

Это не имеет никакого отношения к наличию сертификата SHA-1.

TL; DR - игнорировать эту ошибку, это не имеет значения.

Если вы действительно хотите избавиться от ошибки, вам нужно включить AES GCM. Однако это легче сказать, чем сделать. Я ответил на это полностью на serverfault в последнее время - см. Вторую половину моего ответа здесь;

https://serverfault.com/questions/683697/change-key-exchange-mechanism-in-iis-8/683705#683705

Ответ 2

Поскольку я новичок в SSL и сертификатах, я тоже боролся с этим. Вот как мы решили эту проблему. Обратите внимание, что в нашем случае мы работаем с внутренним веб-приложением и используем самозаверяющий сертификат.

• Используя OpenSSL в Linux, создайте закрытый ключ:
  openssl genrsa -out box.key 2048
• Затем создайте и подпишите сертификат с ключом (мы устанавливаем дату истечения срока годности и 10 дней):
  openssl req -new -x509 -sha256 -days 375 -key box.key -out box.crt
• Ответьте на вопросы (убедитесь, что Common Name соответствует FQDN веб-сервера)
• Настройте свой веб-сервер на использование SSL с помощью этого ключа и сертификата
• Используя Chrome в Windows, введите URL-адрес вашего веб-сайта HTTPS
• Нажмите на значок блокировки в адресной строке, затем выберите ссылку Certificate Information во всплывающем окне
• Перейдите на вкладку Details, выберите кнопку Copy to File..., чтобы запустить Certificate Export Wizard
• Используя мастер, выберите PKCS # 7 в качестве формата экспорта и сохраните сертификат (т.е. mykey.p7b)
• Установите сертификат в хранилище сертификатов Trusted Root Certification Authorities (используйте certmgr.msc или щелкните правой кнопкой мыши по сертификату и выберите Install Certificate
• Закрыть Chrome, выйти из системы и снова войти в Windows (принудительно извещать старый сайт из кэша)
• Откроем Chrome и введите URL-адрес веб-сайтов HTTPS.
• Полюбуйтесь блестящий зеленый замок с современной криптографией

Ответ 3

Возможно, вы захотите прочитать https://www.chromium.org/Home/chromium-security/education/tls#TOC-Deprecation-of-TLS-Features-Algorithms-in-Chrome, что было первым хитом при поиске этого конкретного сообщения об ошибке.

Трудно точно знать, не глядя на ваш сертификат, но я думаю, что следующее описание со связанной страницы будет соответствовать вашему сертификату:

SHA-1 устарел в Chrome в начале 2015 года. Сертификаты, срок действия которых истекает в 2016 году, будут отмечены как "безопасные, но с незначительными ошибками". Сертификаты, истекающие в 2017 году, позже будут рассматриваться как "утвердительно небезопасные".

Ответ 4

Чтобы ответить на мой собственный вопрос:

• Убедитесь, что установлены последние обновления Windows.
• Загрузите и запустите IIS Crypto (https://www.nartac.com/Products/IISCrypto)

• Убедитесь, что этот Cipher находится сверху списка в левой части:

  TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

• Применить изменения в IIS Crypto

• Перезагрузите сервер

Ответ 5

В этой ссылке есть черные и белые списки о шифрах. Может быть, если вы просто используете белые, это решит вашу проблему. Следите за списками в комментариях, вы увидите, что он немного изменился с момента написания ответа.

Это очень помогло мне, когда у меня возникла проблема с Glassfish, я надеюсь, что это тоже поможет вам с IIS.