Identity Server 4 对安全密码套件的支持
Identity Server 4 support for Secure Cipher Suites
我们目前正在使用 Identity Server 3 并希望升级到 Identity Server 4。
我们最近为我们的一个大客户做了渗透测试,他们发现我们允许 TLS_RSA_WITH_3DES_EDE_CBC_SHA 密码套件。这是一个具有已知漏洞的不安全密码套件。
当我们不允许它时,Identity Server 3 停止工作。
有没有办法在禁用此密码套件时让 IdentityServer3 工作?
我们的证书是正确的,符合要求。
如果我们不允许,Identity Server 4 还能工作吗?还是会出现同样的问题。
我们得到的错误如下:
Client 和 Server 无法通信,因为它们没有共同的算法。
经过一些调查,如 leastprivilege 所示,这是一个微软问题。
使用 .net4.5 及更低版本时,默认情况下它们不使用 tls1.2,并且始终恢复为 tls1.1。
因此,如果您使用的是 .net4.5,那么您需要通过设置本文指示的注册表设置来告诉它使用 tls1.2:
https://techsupport.osisoft.com/Troubleshooting/KB/KB01625
配置这些注册表设置后,使用 tls1.2 一切正常。
我们目前正在使用 Identity Server 3 并希望升级到 Identity Server 4。
我们最近为我们的一个大客户做了渗透测试,他们发现我们允许 TLS_RSA_WITH_3DES_EDE_CBC_SHA 密码套件。这是一个具有已知漏洞的不安全密码套件。 当我们不允许它时,Identity Server 3 停止工作。
有没有办法在禁用此密码套件时让 IdentityServer3 工作? 我们的证书是正确的,符合要求。
如果我们不允许,Identity Server 4 还能工作吗?还是会出现同样的问题。 我们得到的错误如下: Client 和 Server 无法通信,因为它们没有共同的算法。
经过一些调查,如 leastprivilege 所示,这是一个微软问题。 使用 .net4.5 及更低版本时,默认情况下它们不使用 tls1.2,并且始终恢复为 tls1.1。 因此,如果您使用的是 .net4.5,那么您需要通过设置本文指示的注册表设置来告诉它使用 tls1.2: https://techsupport.osisoft.com/Troubleshooting/KB/KB01625
配置这些注册表设置后,使用 tls1.2 一切正常。