连接使用过时的密码套件加密。

Question

我在移动设备上收到这个警告，全部警告是：

连接使用TLS1.2，连接使用AES_256_CBC加密，HMAC-SHA1 1用于消息身份验证，ECDHE_RSA作为密钥交换。

我正在使用一个专用的VPS的网站，我已经使用了IISCrypto与最佳实践应用。

您可以通过下面的链接看到站点扫描仪的结果。

Qualys扫描结果

我正在使用的通道如下：

Schannel配置

密码套装配置

服务器是带有IIS的Windows 2012 r2

任何帮助都是非常感激的。

保罗。

Answer 1

要从铬文献中引用您需要做什么才能消除这个警告：

..。优先使用AES_128_GCM或CHACHA20_POLY1305的ECDHE密码套件。大多数服务器都希望协商TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256。

查看一下什么Windows 2012 R2实际上支持密码器，您会发现它不支持CHACHA20_POLY1305，而且它只支持使用ECC证书的GCM密码，也就是说，它实现了像TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256这样的密码，而不是像TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256这样的密码。

但是，您使用的是RSA证书，而不是ECC证书，这意味着操作系统支持的任何GCM密码都不能与证书一起使用。Windows Server 2016只支持您需要的密码。