No puede deshacerse de "Su conexión al sitio web está cifrada con criptografía obsoleta"

4

En mi configuración Nginx tengo:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;     
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;

Pero en el ícono de certificado de Chrome, todavía recibo el mensaje "Su conexión al sitio web está cifrada con criptografía obsoleta". ¿Alguna sugerencia sobre qué hacer para deshacerse de este mensaje?

    
pregunta dman 11.07.2015 - 00:26
fuente

1 respuesta

3

Estos cifrados son viejos:

DHE-DSS-AES128-GCM-SHA256:DHE-DSS-AES256-GCM-SHA384:DHE-DSS-AES128-SHA256:DHE-DSS-AES256-SHA:SRP-DSS-AES-256-CBC-SHA:SRP-RSA-AES-256-CBC-SHA:SRP-AES-256-CBC-SHA:DHE-DSS-AES256-SHA256:SRP-DSS-AES-128-CBC-SHA:SRP-RSA-AES-128-CBC-SHA:SRP-AES-128-CBC-SHA:DHE-DSS-AES128-SHA:DHE-DSS-CAMELLIA256-SHA:CAMELLIA256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-DSS-CAMELLIA128-SHA

La forma más rápida de deshacerse de ellos es adjuntar esto al ciphersuite:

!EDH-DSS:!SRP

Además, ¡no olvide definir sus propios parámetros DH o todas las conexiones con cifrados DHE son débiles!

Si desea tener una seguridad muy buena, puede usar este conjunto de cifrado, tal como está:

EECDH+ECDSA+AESGCM:EECDH+ECDSA+AES256:EECDH+ECDSA+AES:EECDH+AESGCM:EECDH+AES256:EECDH+AES:EDH+AESGCM:EDH+AES256:EDH+AES:EECDH+ECDSA+3DES:EECDH+3DES:EDH+3DES:RSA+AESGCM:RSA+AES256:RSA+AES:RSA+3DES:!NULL:!RC4:!EDH+DSS:!MD5
    
respondido por el Vilican 11.07.2015 - 16:46
fuente

Lea otras preguntas en las etiquetas