El navegador Chrome reporta cifrado obsoleto (AES_256_CBC con HMAC-SHA1)

Navega tus respuestas
8

El servidor Jboss 6 está configurado para admitir estos cifrados: 

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
TLS_RSA_WITH_AES_256_CBC_SHA256,
TLS_RSA_WITH_AES_256_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_RSA_WITH_AES_128_CBC_SHA256,
TLS_RSA_WITH_AES_128_CBC_SHA

Pero el navegador Chrome informa:

  

La conexión a este sitio utiliza un protocolo fuerte (TLS 1.2), un fuerte   intercambio de claves (ECDHE_RSA), y un cifrado obsoleto (AES_256_CBC con   HMAC-SHA1)

¿Deberíamos eliminar todos los _SHA de la configuración del servidor?

Sin embargo, el escaneo de nmap ssl muestra que todos son cifrados de grado A: 

$ nmap -p 443 --script ssl-enum-ciphers.nse host-name

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp160k1) - A
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp160k1) - A
TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A
TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp160k1) - A
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp160k1) - A
TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A
TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
    
pregunta user133283 13.12.2016 - 11:52
fuente

3 respuestas

5

El problema no es el SHA1 sino el CBC. Debe ofrecer un cifrado AEAD como los cifrados GCM o CHACHA20-POLY1305. Desde los proyectos de Chromium (base para Chrome) documentación sobre conjuntos de cifrado :

  

Para evitar este mensaje, use TLS 1.2 y priorice un conjunto de cifrado ECDHE con AES_128_GCM o CHACHA20_POLY1305. La mayoría de los servidores desearán negociar TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256.

No ofrece ninguna de estas cifras, por lo que recibe esta advertencia. Consulte también esta respuesta para más detalles. Consulte también el código fuente de Chromium, que destaca la función ObsoleteSSLStatusForCipherSuite en net / ssl /ssl_cipher_suite_names.c donde se implementa esta verificación.

    
respondido por el Steffen Ullrich 13.12.2016 - 13:59
fuente
1

Creo que su problema está en el certificado que está utilizando. Su certificado debe hacerse utilizando un buen cifrado. Ese es el mensaje de Chrome que estás viendo. Debe emitir el certificado nuevamente usando sha2 y un buen cifrado esta vez.

Le recomiendo que utilice la herramienta en línea ssllabs para probar su sitio. Probará su certificado, su configuración, etc. Y le proporcionará una calificación. A + es lo mejor. Y también te recomienda cómo proceder para resolver tus problemas. Una muy buena herramienta!

EDITAR: tal vez esto post puede ayudarte

    
respondido por el OscarAkaElvis 13.12.2016 - 12:16
fuente
1

Se corrigió reconfigurando los cifrados Jboss sin SHA. Ahora, Chrome no muestra ninguna advertencia de seguridad. 

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
    
respondido por el user133283 15.12.2016 - 06:46
fuente

Lea otras preguntas en las etiquetas

¿Creando un túnel con la mayoría de los puertos cerrados? ¿Es necesaria la protección CSRF para los clientes que no aceptan cookies?