IIS 7.5上的TLS_ECDHE_RSA_与_RC4_128_SHA?
我正在努力改变我管理的许多web服务器上的密码规范,以避免大家都在谈论的野兽/破坏/犯罪混战 在我们的LAMP主机上,我只是升级到OpenSSL 1.0.1和Apache 2.4,并使用了以下密码规范: SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES228-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDH-RSA-AES256-GCM-SHA384:AES256-GCM-SHA384:ECDHE-RSA-RC4-SHA:AES256-GCM-SHA256:RC4-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES228-SHA:DHE-RSA-AES256-AES256:SA128:AESSA:128:AESSA:!MD5:!空的 这是我想要的功能——兼容的客户机通常会从主题中获得密码规范,希望在未来TLS 1.2兼容的客户机将获得GCM套件,并且一切都会非常顺利地失败。但是,我们有一些非常重要的ASP.NET应用程序在服务器2008 R2上的IIS 7.5中运行(完全修补),组策略“SSL密码套件顺序”似乎不支持这一点 在Server 2008 R2的密码套件组策略中,它列出了支持的密码。显然,它只支持IIS 7.5上的TLS_ECDHE_RSA_与_RC4_128_SHA?,iis,ssl,iis-7.5,windows-server-2008-r2,Iis,Ssl,Iis 7.5,Windows Server 2008 R2,我正在努力改变我管理的许多web服务器上的密码规范,以避免大家都在谈论的野兽/破坏/犯罪混战 在我们的LAMP主机上,我只是升级到OpenSSL 1.0.1和Apache 2.4,并使用了以下密码规范: SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES228-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDH-RSA-AES256-GCM-SHA384:AES256-GCM-SHA384:ECDHE-
ECDHE_ECDSA
的GCM密码,而不支持ECDHE_RSA
。ECDHE\u RSA
仅支持CBC。此外,没有列出将ECDHE_RSA
与RC4组合的支持
我是遗漏了什么,还是有好的解决办法?我所能想到的就是通过一个主机代理它,这个主机确实支持我想要的加密,但出于许多原因,这是不可取的。我是否无法正常使用RSA-RC4-128-SHA?或者,如果我禁用HTTP/TLS压缩,并受到性能影响,我可以安全地使用TLS\u ECDHE\u RSA\u和\u AES\u 256\u CBC\u SHA\u P256
或类似产品吗
如果这没有多大意义,很抱歉,我对这类事情还很陌生。如果我没有错的话,违规/犯罪属于不同的漏洞类别,因为它们可以在不修改密码套件列表的情况下进行修补。至于BASE,确切的定义是CBC密码+SSL3或TLS1.0,但实际上,大多数SSL测试人员认为,如果有TLS1.1或TLS1.2(),它会被修补。除了CBC/RC4之外,SSL3/TLS1.0中的密码太少了,以至于你最终会破坏一切。