私は長年の読者でしたが、これは私が解決策を見つけることができなかったトピックの私の最初の実際の投稿です。窓口でのECDHE-ECDSA-AES256-GCM-SHA384のhttps
私は現在、Windows 2012上で最新のTLS 1.2暗号スイートを稼働させたいというウェブサイトをホストしています。
私はWindowsでTLS 1.1とTLS 1.2を有効にする方法を知っており、これを(レジストリの編集を介して)行っています。私はまた、私はそれが欲しいと思うものに暗号の順序を変更しました。
私の質問は:実際にこの手順の後に暗号スイートのECDHE/ECDSA部分を設定して設定するにはどうすればよいですか?
最新のクロムベータ版(TLS 1.2のECDHEとECDSAをサポートしていますが、サポートされている曲線を使用しています)では、すべてのECHDE暗号化をスキップしているようです。
ECDHE/ECDSAを正しく有効にするために何か必要なことはありますか?
私は自分自身でこの問題を解決しようとしていますが、ルート証明書のコピーを作成してECDHEを何らかの形でサポートするよう修正しています。私は間違った木を吠えていますか?
この問題については、事前にサポートいただきありがとうございます。
編集:より多くの研究の後の明確化/進捗
を追加し、私は仕事にECDSAを得るために、あなたはECDSA証明書を必要とすることを見出しました。現時点で入手する唯一の方法は、証明書カルテルがEllipic Curve証明書の適切なクロスライセンス契約と料金体系をまだ用意していないため、自己署名することです。
このサイトでは、自己署名がオプションではないため、すべてのECDSAスイートを暗号化の順序から削除しました。
残念ながら、AESガロアカウンターモードスイートはすべてECDSAであったため、当分の間はこれを排除しています。
これは、ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521という最も強力な暗号スイートを私に残しています。これは、最新バージョンのChromeベータ版で正式にサポートされていますか?私はChromeにSHA-1を超えて何かを拾うように見えることはできません。 SHA-2のサポートはありませんか?最新のベータ版でも?
より多くの研究の後、私は自分の選択した暗号スイートでの問題は、私はECDSA CAを持っていないことであると信じて ドメイン(独自のドメイン)にサーバーを追加し、AD CSをインストールしました。 MSのP-521 ECDSAソフトウェアキープロバイダを使用してエンタープライズ証明書を作成しました。今、IIS8でこれを実際に動作させる方法を知りません。 もう一つの質問:Windows 2012で3つのデフォルトカーブをすべてサポートしたい場合、カーブごとに証明書を作成する必要がありますか? – user2555174
> "Windows 2012で3つのデフォルトカーブをすべてサポートしたい場合、カーブごとに証明書を作成する必要がありますか?" - 暗号化されていないチャンネルでさえ、すべてのものに対して1つのCertを使用した場合、Certのコードを推測するのは簡単です。同様に、3つの曲線に対して1つのCertを使用し、1つが破損している場合、他のすべてのCertも同様です。暗号化されたすべての証明書は、鍵の長さとアルゴリズムの解読が困難なほど大きくなりますが、より安全です(ただし、あなたと攻撃者にとって)。 – Rob