我以前没有使用过SSL证书,很好奇这是证书问题还是我做的不正确。
我购买了一个SSL证书,该证书正在我的服务器上运行。我正在使用Laravel 5。我使用的是MCRYPT_RIJNDAEL_256密码。
在谷歌chrome是显示以下
您与…的连接。。。是用过时的技术加密的。
连接使用AES_256_CBC加密,SHA1用于消息验证,ECDHE_RSA作为密钥交换机制。
我有什么需要改变的吗?还是我不需要担心?
10天前,这个问题在这里得到了回答:https://security.stackexchange.com/questions/83831/google-chrome-your-connection-to-website-is-encrypted-with-obsolete-cryptograph
对于"现代密码学",您应该使用经过身份验证的加密。Google Chrome支持AES_128_GCM和CHACHA20_POLY1305。
谷歌正在扼杀SHA1作为一种证书签名算法,而不是一种消息验证码。目前,当Chrome看到过时的加密技术时,其行为不会改变。
@lukasgeiter实际上在评论中持有答案:
谷歌博客声明:
Chrome将于11月开始使用Chrome 39对SHA-1(用于HTTPS的证书签名)进行日落。证书链使用SHA-1且有效期超过2017年1月1日的HTTPS网站在Chrome的用户界面中将不再完全可信。
2014年11月,代码被签入chrome项目,该项目更改了"连接"对话框中显示的消息。
此前,该措辞说明了连接加密的比特级别,这可能会产生误导。
现在,如果连接>=TLS 1.2并且使用前向保密(例如ECDHE_RSA)和AEAD密码(AES-GCM或CHACHA20_POLY1305),Chrome将把它标记为现代连接。否则,它将被标记为过时。
如果您能够自己配置服务器,并且确定要将其配置为支持现代配置文件,Mozilla的SSL配置生成器是一个很好的起点。
有关更多信息,请参阅Mozilla的安全/服务器端TLS wiki页面。