Beantworten Sie zuerst speziell Ihre Frage.
"Wie kann ich das in DHE_RSA oder ECDHE_RSA ändern?"
Die einfachste Lösung hierfür besteht darin, IIS Crypto herunterzuladen und die harte Arbeit für Sie erledigen zu lassen.
IIS-Krypto
Um DHE_RSA oder ECDHE_RSA verwenden zu können, müssen Sie die Einstellungen der Verschlüsselungssuite im unteren linken Bereich des IIS Crypto-Fensters neu anordnen. Ich habe derzeit die folgende Verschlüsselungssuite als meine höchste Präferenz festgelegt.
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521
Sie möchten auch die Reihenfolge des Restes korrekt einstellen und einige der Einträge deaktivieren. Ich würde dringend empfehlen, die Schaltfläche "Best Practices" zu verwenden, da dies für Sie erledigt wird. Außerdem werden das SSL3.0-Protokoll und darunter sowie alle anderen Verschlüsselungs-Chiffren als 3DES und AES 128/256 deaktiviert. Sie müssen sich bewusst sein , dass dadurch Sie könnten Kompatibilitätsprobleme mit sehr alten Kunden führen (man denke IE6 auf XP und unten). Bei den meisten Kunden sollte dies heutzutage kein Problem sein, aber einige Teile der Welt verwenden immer noch ältere Software wie diese.
Der zweite Teil meiner Antwort bezieht sich auf Ihren Wunsch, die Warnung zu entfernen, dass die neueste Version von Chrome angezeigt wird.
Ihre Verbindung zur Website ist mit veralteter Kryptografie verschlüsselt
Dies ist schwerer zu erreichen. Auch nach dem Wechsel zu ECDHE_RSA oder DHE_RSA wird die Warnung angezeigt. Dies liegt daran, dass Chrome AES im CBC-Modus als veraltet ansieht. Die Möglichkeit, dies zu ändern, besteht darin, stattdessen AES im GCM-Modus zu verwenden. Dazu müssen Sie jedoch sicherstellen, dass Sie Ihren Server zuerst mit dem folgenden Patch gepatcht haben. Mit diesem Patch wurden vier neue Cipher Suites eingeführt, von denen zwei das tun, was wir hier brauchen.
Bevor ich Ihnen den Link gebe, kommt dies mit einer Gesundheitswarnung . Dieser Patch wurde im November von Microsoft aufgrund einer Vielzahl von Problemen erstellt. Ich weiß noch nicht, ob oder unter welchen Bedingungen die Verwendung jetzt als sicher angesehen wird. Ich habe versucht, es selbst herauszufinden (siehe
diese SF-Frage )
Benutzung auf eigene Gefahr!
Der Patch ist KB2992611
Nach der Installation können Sie jetzt mit IIS Crypto die folgende Verschlüsselungssuite ganz oben auf die Liste setzen.
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
Chrome wird damit zufrieden sein. Der einzige Nachteil dieser Suite ist, dass Sie die mit ECDHE und nicht mit DHE verbundenen Eigenschaften der elliptischen Kurve verlieren. Dies hat keine Auswirkungen auf die Sicherheit, wirkt sich jedoch auf die Server- und Clientleistung während des Schlüsselaustauschs aus. Sie müssen bewerten, ob sich dieser Kompromiss für Ihren speziellen Anwendungsfall lohnt.
Schließlich ist es auch möglich, dies zu erreichen, indem eine der Chiffresuiten verwendet wird, die AES GCM mit ECDHE / ECDSA kombinieren, z
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521
Dies funktioniert jedoch nur, wenn Sie ein SSL-Zertifikat erhalten haben, das ECDSA zum Generieren Ihres öffentlichen / privaten Schlüssels anstelle von RSA verwendet. Diese sind immer noch relativ selten (sprich: teuer) und können Probleme mit der Clientkompatibilität verursachen. Ich habe selbst nicht mit dieser Option experimentiert und kann daher mit keiner Behörde darüber sprechen.
Endlich, endlich (wirklich, endlich). Nach all dem würde ich mir darüber eigentlich keine Sorgen machen. Ich werde AES CBC auf absehbare Zeit weiterhin auf meinen IIS-Boxen verwenden. Chrome zeigt die oben genannte Warnung nur an, wenn der Benutzer auf die TLS-Details klickt und diese anzeigt. Es gibt keinen Hinweis darauf, dass nur die Symbolleiste der Adressleiste angezeigt wird.
Hoffe das hilft und entschuldige mich für den Aufsatz! ;-);