답변:
먼저 귀하의 질문에 구체적으로 답변하십시오.
"어떻게 DHE_RSA 또는 ECDHE_RSA로 변경할 수 있습니까?"
이것에 대한 가장 쉬운 해결책은 IIS Crypto를 다운로드하여 열심히 일하는 것입니다.
DHE_RSA 또는 ECDHE_RSA를 사용하려면 IIS Crypto 창의 왼쪽 아래 창에서 암호 제품군 기본 설정을 다시 정렬해야합니다. 나는 현재 다음 암호 그룹을 가장 선호합니다.
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521
또한 나머지 순서를 올바르게 설정하고 일부 항목을 비활성화하려고합니다. 'Best Practices'버튼을 사용하는 것이 좋습니다. 또한 SSL3.0 프로토콜 이하와 3DES 및 AES 128/256 이외의 모든 암호화 암호를 비활성화합니다. 이 작업을 수행하면 매우 오래된 클라이언트와 호환성 문제 가 발생할 수 있습니다 (XP 이하의 IE6 생각). 요즘 대부분의 고객층에서는 이것이 문제가되지 않지만, 일부 지역에서는 여전히 이와 같은 구형 소프트웨어를 사용합니다.
내 대답의 두 번째 부분은 최신 버전의 Chrome이 표시한다는 경고를 제거하려는 욕구를 나타냅니다.
웹 사이트 연결은 더 이상 사용되지 않는 암호화로 암호화됩니다
달성하기가 더 어렵다. ECDHE_RSA 또는 DHE_RSA로 변경 한 후에도 여전히 경고가 표시됩니다. Chrome에서 CBC 모드의 AES가 더 이상 사용되지 않는 것으로 간주하고 있기 때문입니다. 이를 변경하는 방법은 GCM 모드에서 AES를 대신 사용하는 것이지만이를 위해서는 먼저 아래 패치로 서버를 패치해야합니다. 이 패치는 4 개의 새로운 암호 제품군을 도입했으며 그 중 2 개는 여기에서 필요한 작업을 수행합니다.
링크를 제공하기 전에 건강 경고 메시지가 표시 됩니다. 이 패치는 11 월에 수많은 문제로 인해 Microsoft에서 발표했습니다. 현재 사용하기에 안전한지 또는 어떤 조건에서 사용되는지 아직 알 수 없습니다. 나는 나 자신을 찾으려고 노력했다 ( 이 SF 질문 참조 )
자신의 책임하에 사용하십시오!
패치는 KB2992611입니다.
설치되면 이제 IIS Crypto를 사용하여 다음 암호 그룹을 목록의 맨 위에 놓을 수 있습니다.
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
Chrome이 이에 만족합니다. 이 제품군의 유일한 단점은 DHE가 아닌 ECDHE와 관련된 타원 곡선 속성을 잃는다는 것입니다. 이는 보안에는 영향을 미치지 않지만 키 교환 중 서버 및 클라이언트 성능에는 영향을줍니다. 이 트레이드 오프가 특정 사용 사례에 가치가 있는지 평가해야합니다.
마지막으로 AES GCM과 ECDHE / ECDSA를 결합한 암호화 제품군 중 하나를 사용하여이를 달성 할 수도 있습니다.
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521
그러나 이는 RSA 대신 공개 / 개인 키를 생성하기 위해 ECDSA를 사용하는 SSL 인증서를 얻은 경우에만 작동합니다. 이들은 여전히 상대적으로 드물며 (읽기 : 고가) 클라이언트 호환성 문제를 일으킬 수 있습니다. 나는이 옵션을 직접 실험하지 않았으므로 권한에 대해 이야기 할 수 없습니다.
마침내, 마침내 (실제로, 마침내). 위의 모든 후에, 나는 실제로 그것에 대해 걱정하지 않을 것입니다. 가까운 미래에 IIS 박스에서 AES CBC를 계속 사용할 것입니다. 사용자가 클릭하여 TLS 세부 정보를 선택하면 Chrome은 위에서 언급 한 경고 만 표시합니다. 주소 표시 줄 기호를 보면 아무런 표시가 없습니다.
그것이 에세이를위한 희망과 사과를 바랍니다! ;-)
Windows에서 암호 제품군의 순서를 변경하는 가장 쉬운 방법은 작은 도구 인 IIS Crypto를 사용하는 것입니다.
그러나 Chrome에서받는 메시지는 관련이 없을 가능성이 큽니다.
Your connection to website is encrypted with obsolete cryptography인증서 또는 해당 부모의 서명 알고리즘이있는 경우이 표시됩니다 sha1. 먼저 확인하고 해당 인증서를 교체하십시오