У меня есть веб-сайт mvc3, который размещен на сервере Server 2008 r2, и у меня установлен сертификат безопасности, и, похоже, все работает нормально. Однако, если я подключаюсь к сайту с помощью Google Chrome и нажимаю значок безопасности, я получаю следующее сообщение:
Соединение использует SSL 3.0.
Соединение зашифровано с использованием RC4_128, с SHA1 для аутентификации сообщения и RSA в качестве механизма обмена ключами.
Соединение не сжато.
Пришлось повторить попытку подключения с использованием SSL 3.0. Обычно это означает, что сервер использует очень старое программное обеспечение и могут иметь другие проблемы с безопасностью.
Последнее утверждение меня беспокоит. Я знаю, что это проблема только Chrome и, надеюсь, не проблема безопасности, но я обратился к нескольким другим https сайты и все они говорят The connection uses TLS 1.0. и никакой другой информации об ошибках / предупреждениях. Поэтому я бы хотел, чтобы на моем сайте использовался TLS.
Я понимаю, что IIS 7 согласовывает протокол, который является общим для сервера и клиента, и в следующем порядке предпочтений:
1: РСТ 1.0
2: SSL 3.0
3: SSL 2.0
Как я могу добавить к этому TLS 1.0 и стать первым выбором? Я видел краткую информацию об отключении протоколов от Microsoft, но я хочу поддержать их все на случай, если клиент не сможет.
Возможно, «SSL 3.0» не является причиной этого, но дело в том, что соединение нужно было повторить, если да, то почему это было повторено и как я могу это исправить? Сайт mvc3 использует [RequireHttps] на всех (почти всех) классах контроллеров, может ли это иметь какое-то отношение к этому?
Ваше понимание согласования шифров на высоком уровне правильное. Для получения дополнительной информации о том, как работает SSL: https://security.stackexchange.com/questions/20803/how-does-ssl-work/20847
Надеюсь, я правильно интерпретирую выполнимую задачу:
Вы хотите использовать и установить приоритетность набора шифров SSL по вашему выбору (протокол TLS 1.0 был упомянут, но какой набор шифров не был). Казалось бы, этот бесплатный инструмент (доступный как в gui, так и в cli) - это то, что вы ищете: https://www.nartac.com/Products/IISCrypto/Default.aspx
На этой странице есть дополнительные сведения для дальнейшего чтения.
Примечание. Я никоим образом не связан с инструментом или сайтом, но нашел их во время своих путешествий. Просто пытаюсь привести вас к рабочему разрешению установки шифров SSL по вашему желанию.