使用过时的密码套件对连接进行加密

Connection is encrypted using an obsolete cipher suite

我在移动设备上收到此警告,完整警告是:

连接使用 TLS 1.2 使用 AES_256_CBC 对连接进行加密,使用 HMAC-SHA1 进行消息身份验证,并使用 ECDHE_RSA 作为密钥交换。

我正在为网站使用专用的 VPS,并且我使用了应用了最佳实践的 IISCrypto。

您可以在下面的 link 中看到站点扫描器的结果。

Qualys Scan Results

我使用的Schannels如下:

Schannel configuration

Chipher Suit Configuration

服务器是 Windows 2012 r2 with IIS

任何帮助将不胜感激。

保罗.

引用 the Chromium documentation 你需要做什么才能让这个警告消失:

... prioritize an ECDHE cipher suite with AES_128_GCM or CHACHA20_POLY1305. Most servers will wish to negotiate TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256.

看看 Windows Server 2012 R2 actually supports on ciphers 你会发现它不支持 CHACHA20_POLY1305 并且它只支持带有 ECC 证书的 GCM 密码,即它实现了像 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256 但不支持的密码像 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 这样的密码。

但是,您使用的是 RSA 证书而不是 ECC 证书,这意味着 OS 支持的 GCM 密码中的 none 可以与您的证书一起使用。您需要的密码仅受 Windows Server 2016 支持。