回答:
最初に具体的にあなたの質問に答えます。
「DHE_RSAまたはECDHE_RSAに変更するにはどうすればよいですか?」
これに対する最も簡単な解決策は、IIS Cryptoをダウンロードして、ハードワークを実行させることです。
DHE_RSAまたはECDHE_RSAを使用するには、IIS暗号ウィンドウの左下のペインで暗号スイートの設定を並べ替える必要があります。私は現在、次の暗号スイートを私の最高の設定として設定しています。
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521
また、残りの順序を正しく設定し、一部のエントリを無効にすることもできます。「ベストプラクティス」ボタンを使用することを強くお勧めします。また、SSL3.0プロトコル以下、および3DESおよびAES 128/256以外のすべての暗号化暗号も無効にします。これを行うと、非常に古いクライアントとの互換性の問題が発生する可能性があることに注意する必要があります(XP以下のIE6を考えてください)。ほとんどの顧客ベースでは、これは最近の問題ではないはずですが、世界の一部の地域ではまだこのような古いソフトウェアを使用しています。
私の回答の2番目の部分は、 Chromeの最新バージョンが表示されているという警告を削除したいというあなたの要望に言及しています。
ウェブサイトへの接続は古い暗号化で暗号化されています
これを達成するのは困難です。ECDHE_RSAまたはDHE_RSAに変更した後でも、警告が表示されます。これは、ChromeがCBCモードのAESを廃止することを検討しているためです。これを変更する方法は、代わりにGCMモードでAESを使用することですが、そのためには、まず以下のパッチでサーバーにパッチを適用していることを確認する必要があります。このパッチは、4つの新しい暗号スイートを導入しました。そのうちの2つは、ここで必要なものを実行します。
リンクをお伝えする前に、これには健康警告が付いています。このパッチは、多くの問題が原因で、11月にMicrosoftによってプルされました。現在、それが安全に使用できると見なされているのか、どのような条件下で使用されているのかは、まだわかりません。私は自分自身を見つけようとしました(このSF質問を参照 )
自己責任!
パッチはKB2992611です。
インストールしたら、IIS暗号を使用して、次の暗号スイートをリストの一番上に配置できます。
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
Chromeはこれで満足します。このスイートの唯一の欠点は、DHEではなくECDHEに関連付けられた楕円曲線のプロパティが失われることです。これはセキュリティには影響しませんが、キー交換中のサーバーとクライアントのパフォーマンスには影響します。このトレードオフが特定のユースケースにとって価値があるかどうかを評価する必要があります。
最後に、AES GCMとECDHE / ECDSAを組み合わせた暗号スイートの1つを使用してこれを実現することもできます。たとえば、
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521
ただし、これは、RSAの代わりにECDSAを使用して公開/秘密鍵を生成するSSL証明書を取得した場合にのみ機能します。これらはまだ比較的まれであり(読み取り:高価)、クライアントの互換性の問題を引き起こす可能性があります。私はこのオプションを自分で試したことがないので、それに関する権限と話すことはできません。
最後に、最終的に(実際に、最終的に)。上記のすべての後、私は実際にはそれを心配しませんでした。当面の間、IISボックスでAES CBCを使用し続けます。Chromeは、ユーザーがTLSの詳細をクリックして表示することを選択した場合にのみ前述の警告を表示します。それ以外の場合は、アドレスバーの記号を表示するだけでは何も表示されません。
それがお役に立てば幸いです、そしてエッセイをお詫びします!;-)
Windowsで暗号スイートの順序を変更する最も簡単な方法は、IIS Cryptoという小さなツールを使用することです。
ただし、Chromeで表示されるメッセージは、おそらくそれとは関係ありません。
Your connection to website is encrypted with obsolete cryptography
証明書またはその親の署名アルゴリズムがの場合に表示されますsha1
。最初にそれを確認し、おそらくその証明書を交換してください