हम SSL प्रमाणपत्र के लिए RSA कुंजी विनिमय तंत्र का उपयोग कर रहे हैं। मैं इसे कैसे बदल सकता हूं DHE_RSAया ECDHE_RSA?
RSA का उपयोग करने के कारण, हम क्रोम में नीचे की चेतावनी प्राप्त कर रहे हैं
वेबसाइट के लिए आपका कनेक्शन अप्रचलित क्रिप्टोग्राफी के साथ एन्क्रिप्टेड है
मैं Windows Server 2012 IIS 8 का उपयोग कर रहा हूं।
जवाबों:
अपने प्रश्न का उत्तर देने के लिए सबसे पहले;
"मैं उसे DHE_RSA या ECDHE_RSA में कैसे बदल सकता हूं?"
इसका सबसे आसान उपाय IIS क्रिप्टो डाउनलोड करना है और यह आपके लिए कड़ी मेहनत करने देता है।
DHE_RSA या ECDHE_RSA का उपयोग करने के लिए आपको IIS क्रिप्टो विंडो के निचले बाएँ फलक में सिफर सुइट वरीयताओं को फिर से क्रमबद्ध करना होगा। वर्तमान में मैंने निम्नलिखित सिफर सूट को अपनी सर्वोच्च प्राथमिकता के रूप में निर्धारित किया है;
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521
आप बाकी के ऑर्डर को सही ढंग से सेट करना चाहते हैं और कुछ प्रविष्टियों को निष्क्रिय कर सकते हैं। मैं दृढ़ता से 'बेस्ट प्रैक्टिसेस' बटन का उपयोग करने का सुझाव दूंगा क्योंकि यह आपके लिए ऐसा करेगा। यह SSL3.0 प्रोटोकॉल और नीचे को भी निष्क्रिय कर देगा, और 3DES और AES 128/256 के अलावा सभी एन्क्रिप्शन सिफर। आपको यह जानने की आवश्यकता है कि ऐसा करने से आप बहुत पुराने ग्राहकों के साथ संगतता के मुद्दे पैदा कर सकते हैं (सोचिए IE6 XP और उससे नीचे)। अधिकांश ग्राहक आधारों के साथ यह इन दिनों एक मुद्दा नहीं होना चाहिए, लेकिन दुनिया के कुछ हिस्सों में अभी भी पुराने सॉफ्टवेयर जैसे इस का उपयोग किया जाता है।
मेरे उत्तर का दूसरा भाग उस चेतावनी को हटाने की आपकी इच्छा को दर्शाता है जो क्रोम का नवीनतम संस्करण दिखा रहा है;
वेबसाइट के लिए आपका कनेक्शन अप्रचलित क्रिप्टोग्राफी के साथ एन्क्रिप्टेड है
यह हासिल करना कठिन है। ECDHE_RSA या DHE_RSA में बदलने के बाद भी आपको चेतावनी दिखाई देगी। ऐसा इसलिए है क्योंकि Chrome CBC मोड में AES को अप्रचलित मान रहा है। इसे बदलने का तरीका इसके बजाय GCM मोड में AES का उपयोग करना है, हालांकि ऐसा करने के लिए आपको यह सुनिश्चित करने की आवश्यकता होगी कि आपने पहले अपने सर्वर को नीचे पैच के साथ पैच किया है। इस पैच ने चार नए सिफर सूट पेश किए, जिनमें से दो को हमें यहाँ ज़रूरत होगी।
इससे पहले कि मैं आपको लिंक दूं, यह स्वास्थ्य चेतावनी के साथ आता है । यह पैच Microsoft द्वारा नवंबर में कई मुद्दों के कारण खींचा गया था। मुझे अभी तक पता नहीं है कि क्या इसे अब उपयोग करने के लिए सुरक्षित माना जाता है, या किन शर्तों के तहत। मैं खुद पता लगाने की कोशिश कर रहा हूं (देखें यह एसएफ सवाल )
अपने जोखिम पार इस्तेमाल करें!
पैच KB2992611 है
एक बार स्थापित होने के बाद आप सूची के शीर्ष पर निम्नलिखित सिफर सुइट लगाने के लिए IIS क्रिप्टो का उपयोग कर सकते हैं;
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
इससे क्रोम खुश होंगे। इस सुइट का एकमात्र नकारात्मक पहलू यह है कि आप डीएचई के बजाय ईसीडीएचई से जुड़े अण्डाकार वक्र गुण खो देते हैं। यह सुरक्षा को प्रभावित नहीं करता है, लेकिन कुंजी विनिमय के दौरान सर्वर और ग्राहक के प्रदर्शन को प्रभावित करता है। आपको यह मूल्यांकन करने की आवश्यकता होगी कि क्या आपके विशेष उपयोग के मामले में यह व्यापार बंद है।
अंत में , यह भी संभव है कि एईएस जीसीएम को ईसीडीएचई / ईसीडीसी के साथ संयोजन करने वाले सिफर सुइट्स में से एक का उपयोग करके, जैसे।
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521
हालाँकि यह केवल तभी काम करेगा जब आपने SSL प्रमाणपत्र प्राप्त किया है जो RSA के बजाय आपकी सार्वजनिक / निजी कुंजी बनाने के लिए ECDSA का उपयोग करता है। ये अभी भी अपेक्षाकृत दुर्लभ हैं (पढ़ें: महंगा), और क्लाइंट संगतता मुद्दों का कारण हो सकता है। मैंने स्वयं इस विकल्प के साथ प्रयोग नहीं किया है और इसलिए इस पर किसी प्राधिकरण के साथ बात नहीं कर सकता।
अंत में, अंत में (वास्तव में, अंत में)। उपरोक्त सभी के बाद, मैं वास्तव में इसके बारे में चिंता नहीं करेगा। मैं अपने IIS बॉक्स पर AES CBC का उपयोग भविष्य में करने के लिए जारी रखने जा रहा हूं। यदि उपयोगकर्ता TLS के विवरण को देखने और देखने का विकल्प चुनता है, तो क्रोम केवल पूर्वोक्त चेतावनी दिखाता है, कोई संकेत नहीं है, अन्यथा केवल पता बार सिम्बॉलॉजी को देखने से है।
आशा है कि मदद करता है, और निबंध के लिए माफी! ;-)
विंडोज में सिफर सुइट्स के ऑर्डर को बदलने का सबसे आसान तरीका मैं छोटा टूल IIS क्रिप्टो का उपयोग कर रहा हूं
हालाँकि जो संदेश आपको क्रोम में मिलता है, वह सबसे अधिक संबंधित नहीं है।
Your connection to website is encrypted with obsolete cryptographyदिखाया गया है जब आपके प्रमाणपत्र या उसके माता-पिता के पास एक हस्ताक्षर एल्गोरिथ्म है sha1। पहले जाँच लें और हो सकता है कि प्रमाणपत्र को बदल दें