谷歌浏览器正在证书部分显示新信息。
这有什么大不了的吗?如果是这样,我该如何在服务器端修复它?
编辑:感谢您的回答,但我不擅长密码学,所以我唯一可以更新的是这个证书是由 Shell in a Box 创建的,我还想知道这是否破坏了 TLS/SSL 通信的安全性应用程序,如果是,我该如何修复它。
谷歌浏览器正在证书部分显示新信息。
这有什么大不了的吗?如果是这样,我该如何在服务器端修复它?
编辑:感谢您的回答,但我不擅长密码学,所以我唯一可以更新的是这个证书是由 Shell in a Box 创建的,我还想知道这是否破坏了 TLS/SSL 通信的安全性应用程序,如果是,我该如何修复它。
您的确切情况是RSA
用作密钥交换机制。相反,您应该使用DHE_RSA
or ECDHE_RSA
。
要删除“过时加密”警告,您需要使用“现代加密”,其定义为:
TLS 1.2
或QUIC
AES_128_GCM
或CHACHA20_POLY1305
DHE_RSA
或ECDHE_RSA
或ECDHE_ECDSA
推特讨论:https ://twitter.com/reschly/status/534956038353477632
提交:https ://codereview.chromium.org/703143003
这与证书无关。当证书使用弱签名算法时,会有一个特殊的“过时的安全设置”警告,但这是关于身份验证,而不是关于加密。请注意,即使在加密过时的情况下,您仍然会获得绿色锁。
由于协议版本很好并且 AES_128-GCM 肯定不会过时,剩下的可能性是 RSA 密钥交换有问题。我不确定 google chrome 将什么理解为过时的,但只是使用 RSA 执行密钥交换这一事实并不是特别好。最好 RSA 应该只用于身份验证,并且应该使用 DHE 或 ECDHE 执行密钥交换。
正如有人指出的那样,您的证书也可能存在问题,该证书要么使用错误的散列函数签名,要么密钥可能太短(512 位?),但后者不太可能。