Chrome signale un chiffrement obsolète (AES_256_CBC avec HMAC-SHA1)

Question

Le serveur Jboss 6 est configuré pour prendre en charge ces chiffres:

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA

Mais le navigateur Chrome rapporte:

La connexion à ce site utilise un protocole fort (TLS 1.2), un échange de clés fort (ECDHE_RSA) et un chiffrement obsolète (AES_256_CBC avec HMAC-SHA1)

Faut-il supprimer tous les _SHA de la configuration du serveur?

Cependant, l'analyse nmap ssl montre, ce sont tous des chiffrements de grade A:

$ nmap -p 443 --script ssl-enum-ciphers.nse Host-name TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp160k1) - A TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp160k1) - A TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp160k1) - A TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp160k1) - A TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A

Steffen Ullrich · Answer

Le problème n'est pas le SHA1 mais le CBC. Vous devez offrir un chiffrement AEAD comme les chiffrements GCM ou CHACHA20-POLY1305. Depuis les projets Chromium (base pour Chrome) documentation sur les suites de chiffrement :

Pour éviter ce message, utilisez TLS 1.2 et hiérarchisez une suite de chiffrement ECDHE avec AES_128_GCM ou CHACHA20_POLY1305. La plupart des serveurs souhaiteront négocier TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256.

Vous ne proposez aucun de ces chiffres, vous obtenez donc cet avertissement. Voir aussi cette réponse pour plus de détails. Voir aussi le code source de Chromium, notamment la fonction ObsoleteSSLStatusForCipherSuite dans net/ssl/ssl_cipher_suite_names.c où cette vérification est implémentée.

OscarAkaElvis · Answer

Je pense que votre problème est dans le certificat que vous utilisez. Votre certificat doit être fait en utilisant un bon chiffrement. C'est le message Chrome que vous voyez. Vous devez émettre à nouveau le certificat en utilisant sha2 et un bon chiffre cette fois.

Je vous recommande d'utiliser l'outil en ligne ssllabs pour tester votre site. Il testera votre certificat, votre configuration, etc. Et il vous fournira une note. A + est le meilleur. Et il vous recommande également la marche à suivre pour résoudre vos problèmes. Un très bel outil!

EDIT: peut-être que cette post peut vous aider

user133283 · Answer

Corrigé en reconfigurant les chiffrements Jboss sans SHA ceux. Maintenant le Chrome n'affiche aucun avertissement de sécurité).

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_RSA_WITH_AES_256_GCM_SHA384 TLS_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_256_CBC_SHA256 TLS_RSA_WITH_AES_128_CBC_SHA256