Отключить SHA1 теперь Firefox не будет работать
Мне было поручено привести наш сайт в соответствие PCI, отключив SHA1 на сервере. Я выполняю это с помощью IIS Crypto 2.0. Мы решили также использовать только TLS 1.2. Конкретная проблема, с которой я сталкиваюсь, - когда я отключаю SHA1, все версии Firefox выдают общее сообщение об ошибке "Сбой безопасного соединения". Я включил все опции, кроме SHA1, и все еще получаю сообщение, но как только SHA1 отключен, сообщение возвращается. Я вставляю скриншоты ниже с конфигами на IIS Crypto.
Кроме того, я запустил SChannel ETL и получил следующие результаты
Во время работы этого ETL я запустил Netmon как вы можете видеть в моем списке конфигурации по сравнению с запросом netmon, у меня включены эти наборы шифров, но я все еще получаю ту же ошибку.
Я начал заниматься этой проблемой в начале прошлого месяца и взял перерыв, чтобы поработать над другим проектом, подумав, что смогу вернуться к этому и просто разобраться, но я никуда не денусь. Я не могу поверить, что Firefox требует SHA1 для работы, это просто смешно,
Да, и моя Cert Подпись - SHA256RSA, Мой Сервер - Windows Server 2012 R2 Standard
1 ответ
Похоже, что нет никаких совпадений между комплектами шифров, включенными на стороне сервера (скриншот IIS Crypto), и теми, которые предложены клиентом (скриншот Netmon).
Я предполагаю, что вы используете ключ / сертификат RSA, потому что выбор серверных наборов шифров для RSA на стороне сервера представляется особенно ограничивающим.
В качестве примера клиент предлагает TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
а также TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
как его основные опции на основе RSA (они кажутся очень разумными современными опциями для RSA), но вы их не поддерживаете. В целом, кажется, у вас есть в основном наборы CBC, а не GCM для RSA?
Я хотел бы предложить статью Mozilla OpSec Team по серверной TLS для руководства относительно разумного выбора набора шифров и последствий их предложений для совместимости.
Sidenote: Зачем вам когда-нибудь включать NULL-шифр? (Как выделенный в данный момент один на скриншоте.)