Como tornar o TLS a conexão segura preferida no IIS 7

3

Eu tenho um site mvc3 hospedado em um servidor Server 2008 r2 e tenho um certificado de segurança instalado e tudo parece estar funcionando bem. No entanto, se eu me conectar ao site com o Google Chrome e clicar no ícone de segurança, recebo esta mensagem:

The connection uses SSL 3.0.

The connection is encrypted using RC4_128, with SHA1 for message authentication and RSA as the key exchange mechanism.

The connection is not compressed.

The connection had to be retried using SSL 3.0. This typically means that the server is using very old software and may have other security issues.

A última afirmação é aquela que me incomoda. Eu sei que isto é apenas um problema com o Chrome e espero que não seja um problema de segurança real, mas eu fui a vários outros https sites e todos eles dizem The connection uses TLS 1.0. e nenhuma outra informação de erro / aviso. Então, gostaria que meu site usasse o TLS.

Meu entendimento é que o IIS 7 negocia um protocolo que tanto o servidor quanto o cliente têm em comum e nesta ordem de preferência:

1: PCT 1.0

2: SSL 3.0

3: SSL 2.0

Como eu poderia adicionar o TLS 1.0 a isso e ser a primeira escolha? Eu vi o resumo da Microsoft sobre a desativação de protocolos, mas quero apoiá-los todos apenas no caso de um cliente não poder.

Talvez o 'SSL 3.0' não seja a causa disso, no entanto, é que a conexão teve que ser tentada novamente. Em caso afirmativo, por que foi tentada novamente e como posso corrigi-la? O site mvc3 usa [RequireHttps] em todas (mais todas) as classes do controlador, isso poderia ter alguma coisa a ver com isso?

    
por Garrett Fogerlie 15.05.2012 / 04:17

1 resposta

1

Sua compreensão da negociação de cifra em alto nível está correta. Para mais informações sobre como o SSL funciona: link

Espero interpretar corretamente a tarefa útil:

Você está procurando usar e priorizar os conjuntos de criptografia SSL de sua escolha (o protocolo TLS 1.0 foi mencionado, mas o conjunto de criptografia não foi). Parece que esta ferramenta gratuita (disponível em ambos os gui e cli) é o que você está procurando: link

Há detalhes adicionais nessa página para leitura adicional também.

Observação: não sou afiliado à ferramenta ou ao site, mas o encontrei em minhas viagens. Simplesmente tentando levá-lo para uma resolução de trabalho de configuração de criptografia SSL como você deseja.

    
por 19.02.2013 / 01:37