У меня есть сервер win 2016 с IIS 10 и некоторыми веб-сайтами. У меня также есть подстановочный сертификат (SHA-256 с шифрованием RSA). Я пытаюсь укрепить веб-сервер, отключив незащищенные протоколы (разрешен только TLS 1.2) / шифры, и я сталкиваюсь с двумя проблемами:
1) Ниже приведен список набора шифров, который я использую (использовал IISCrypto):
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_256_GCM_SHA384, TLS_DHE_RSA_WITH_AES_128_GCM_SHA256, TLS_DHE_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA
Если я отключитьшифры SHA1 (для большей безопасности) и шифры TLS_DHE для прямой секретности, мои разрывы TLS (ошибка в веб-браузерах). Почему это происходит? Каков наилучший подход к этому?
2) При онлайн-тестах ssl (qualys +) я получаю сообщение (в наборах шифров):
TLS 1.2 (у сервера нет предпочтений)
Я искал, есть ли где-нибудь настройка для настройки сервера, но ничего не нашел. Есть идеи по этому поводу?
Обратите внимание, что я включил групповую политику (Конфигурация компьютера, Административные шаблоны, Сеть, Настройки конфигурации SSL => Порядок набора шифров SSL).