¿Por qué Chrome advierte acerca de la "Configuración de conexión obsoleta" para el intercambio de claves?

2

¿Qué debo cambiar para que Google Chrome no diga que estoy usando un intercambio de claves obsoleto?

  

Configuración de conexión obsoleta

     

La conexión a este sitio utiliza un protocolo fuerte (TLS 1.2), un intercambio de claves obsoletas (RSA) y un cifrado de caracteres (AES_128_GCM).

Estoy usando Apache 2.4.18 y OpenSSL 1.0.2g. Estas son mis configuraciones:

SSLOpenSSLConfCmd DHParameters    /etc/ssl/certs/dhparam.pem
SSLOpenSSLConfCmd ECDHParameters  Automatic
SSLOpenSSLConfCmd Curves          secp521r1:secp384r1:prime256v1
SSLProtocol                       all -SSLv3 -TLSv1 -TLSv1.1 
SSLCipherSuite                    ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
SSLHonorCipherOrder               on  
SSLCompression                    off 
SSLSessionTickets                 off
SSLUseStapling                    on 
SSLStaplingResponderTimeout       5 
SSLStaplingReturnResponderErrors  off
SSLStaplingCache                  shmcb:/var/run/ocsp(128000)

Estos son los ajustes modernos recomendados de Mozilla ssl-config-generator . ¿Alguna idea?

    
pregunta EasyPeasy 18.12.2016 - 13:30
fuente

1 respuesta

-1

Como menciona Steffen Ullrich en los comentarios, Google Chrome o Chromium básicamente le informan que no se utiliza ningún conjunto de cifrado ECDHE. Esto no es un problema en sí mismo, pero si puede permitirlo, utilice un intercambio de claves EC.

La configuración que publica es correcta al nivel en el que generará un certificado basado en curvas elípticas. Sin embargo, parece que Apache está sirviendo un certificado RSA.

    
respondido por el Yorick de Wid 18.12.2016 - 15:37
fuente

Lea otras preguntas en las etiquetas