Поддержка Identity Server 4 для Secure Cipher Suites

Question

В настоящее время мы используем Identity Server 3 и хотим перейти на Identity Server 4.

Недавно мы провели тест на проникновение для нашего крупного клиента, и они обнаружили, что мы разрешили набор шифров TLS_RSA_WITH_3DES_EDE_CBC_SHA. Это небезопасный набор шифров с известными уязвимостями. Когда мы запретили это, Identity Server 3 перестал работать.

Есть ли способ заставить IdentityServer3 работать при отключении этого набора шифров? Наш сертификат правильный и соответствует требованиям.

Будет ли работать Identity Server 4, если мы его запретим? Или это даст ту же проблему. Мы получили следующую ошибку: Клиент и Сервер не могут общаться, потому что у них нет общего алгоритма.

Answer 1

После некоторого расследования, как указано в параметре lessprivilege, возникла проблема с Microsoft.При использовании .net4.5 и ниже они не используют tls1.2 по умолчанию и всегда возвращаются к tls1.1.Таким образом, если вы используете .net4.5, вам нужно указать ему использовать tls1.2, установив параметры реестра, указанные в этой статье: https://techsupport.osisoft.com/Troubleshooting/KB/KB01625

После того, как я настроил эти параметры реестра, все заработалохорошо, используя tls1.2.