Google Chrome "Su conexión con el sitio web está cifrada con criptografía obsoleta"

Navega tus respuestas
65

Google Chrome está mostrando nueva información en la sección de certificados.

¿Es esto un gran problema? Si es así, ¿cómo puedo solucionarlo en el extremo del servidor?

EDITAR: gracias por las respuestas, pero no soy experto en criptografía, así que lo único que puedo actualizar es que este certificado fue creado por Shell in a Box, y también me preguntaba si esto estaba arruinando la seguridad de TLS / Comunicación SSL con la aplicación y, en caso afirmativo, cómo podría solucionarlo.

    
pregunta IMcPwn 15.03.2015 - 20:54
fuente

4 respuestas

55

Su caso exacto es que RSA se utiliza como mecanismo de intercambio de claves. En su lugar, debe usar DHE_RSA o ECDHE_RSA .

Para eliminar la advertencia de "criptografía obsoleta", deberá usar "criptografía moderna", que se define como:

  • Protocolo: TLS 1.2 o QUIC
  • Cifrado: AES_128_GCM o CHACHA20_POLY1305
  • Intercambio de claves: DHE_RSA o ECDHE_RSA o ECDHE_ECDSA

Discusión sobre Twitter: enlace

Comprometerse: enlace

Esto no tiene nada que ver con un certificado. Hay una advertencia especial de "configuración de seguridad desactualizada" cuando un certificado utiliza un algoritmo de firma débil, pero se trata de autenticación, no de cifrado. Tenga en cuenta que todavía está recibiendo un bloqueo verde, incluso en el caso de un cifrado obsoleto.

    
respondido por el Adm Selec 16.03.2015 - 14:52
fuente
7

Ese mensaje probablemente indica que estás

  • Usando SSLv3, o
  • Tener un certificado firmado con SHA-1 o MD5

Según esta página . El primero es un problema de configuración , el estos últimos requieren que obtenga un certificado firmado con un SHA- 256 hash .

    
respondido por el gowenfawr 15.03.2015 - 22:19
fuente
5

Tuve el mismo problema y utilicé este servicio gratuito para obtener: informe SSL .

El informe escanea su configuración SSL y le dice:

  • Información sobre el certificado (nombres comunes, fechas válidas, tamaño de clave, algoritmo de firma, emisor, ...)
  • Ruta de certificación
  • Protocolos habilitados (asegurándose de que SSL 2 y SSL 3 estén deshabilitados)
  • Compatibilidad con suites de cifrado (donde puede ver lo que debería estar desactivado)
  • Simulaciones de handshake para diferentes navegadores y sistemas operativos.
  • Detalles del protocolo (¿eres vulnerable?)

Me ayudó a obtener información sobre cómo se configuró mi configuración, qué podría mejorarse o deshabilitarse y terminé modificando la directiva ssl_cipher de Nginx para que sea compatible con Compatibilidad intermedia .

    
respondido por el Maxime 27.04.2015 - 22:48
fuente
1

Dado que la versión del protocolo es buena y AES_128-GCM no está obsoleta, la posibilidad restante es que algo esté mal con el intercambio de claves RSA. No estoy seguro de lo que Google Chrome entiende como obsoleto, pero el hecho de que el intercambio de claves se realice mediante RSA no es particularmente bueno. Preferiblemente, RSA solo debe usarse para la autenticación y el intercambio de claves se debe realizar utilizando DHE o ECDHE.

Como alguien señaló, es posible que también tenga un problema con su certificado que está firmado con una función de hash incorrecta o que la clave sea demasiado corta (¿512 bits?) aunque esta última no es muy probable.

    
respondido por el DRF 16.03.2015 - 13:40
fuente

Lea otras preguntas en las etiquetas

Asegurando una aplicación de página única de JavaScript con un backend RESTful ¿Cómo pueden los usuarios comunes defenderse contra la vulnerabilidad de StageFright?