Como posso resolver “Sua conexão com 192. *. *. * está criptografada com criptografia obsoleta”

1

Eu apenas configurei meu servidor apache com SSL instalado, e tudo está perfeito, exceto que quando abro a página com https: // recebo a seguinte mensagem quando clico no cadeado ao lado da barra de endereço no chrome: " Sua conexão com 192. . . é criptografada com criptografia obsoleta * "

Eu tenho uma versão do Apache Server:

Server version: Apache/2.4.6 (CentOS)
Server built:   Mar 12 2015 15:07:19

E SSL:

OpenSSL 1.0.1e-fips 11 Feb 2013

Esta é a configuração que tenho no meu arquivo httpd.conf:

SSLCipherSuite AES128+EECDH:AES128+EDH
SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder On
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"
Header always set X-Frame-Options DENY
Header always set X-Content-Type-Options nosniff
# Requires Apache >= 2.4
SSLCompression off
SSLUseStapling on
SSLStaplingCache "shmcb:logs/stapling-cache(150000)"

#Cipher directives end here.
<VirtualHost *:443>
    Servername 192.80.91.70
   DocumentRoot /var/www/html/examplei/app.example.com


   SSLEngine On


    ErrorLog /var/www/html/SSLerror.log
    CustomLog /var/www/html/SSLrequests.log combined
   SSLCertificateFile /etc/httpd/ssl/example.crt
   SSLCertificateKeyFile /etc/httpd/ssl/example.key
</VirtualHost>

Atualização:

Eu não percebi, mas só recebo essa mensagem no cadeado ao lado da barra de endereços quando vou para o endereço IP do meu servidor e a tela "Esta conexão não é particular" aparece. Então, quando eu clico em prossigo entendo os riscos eu clico no cadeado novamente e agora ele diz que é criptografado com criptografia moderna. Então eu não entendo se esse é o comportamento esperado ou o que está acontecendo.

    
por VaTo 23.06.2015 / 22:11

1 resposta

1

Além de: @CodesInChaos Chrome diz "configurações de segurança desatualizadas", NÃO "criptografia obsoleta", para o certificado SHA1 no final do ano.

A página "Sua conexão não é particular" que você adicionou é, na verdade, o sintoma importante. Ele não é causado por configurações de criptografia, é causado se o cert não puder ser validado , porque é auto-assinado (que é o seu caso com openssl req -new -x509 ) ou é assinado por uma CA não no armazenamento confiável (ou seu servidor não foi configurado para enviar os certificados de cadeia necessários para vincular à raiz no armazenamento confiável) ou o nome no certificado não corresponde ao nome do host. No teste, vejo a página "não privada" também mostra "criptografia obsoleta" sem os detalhes normalmente presentes nas Informações da conexão, mesmo que a conexão inicial tenha usado uma criptografia que o Chrome considera moderna (no meu caso, GCM ). Talvez isso aconteça porque o Chrome na verdade descarta a conexão enquanto a página "não privada" é exibida, portanto, não há realmente qualquer criptografia em vigor naquele momento.

    
por 26.06.2015 / 03:11