客户因预算问题,os使用windows server2012 r2,但因资安考量,将一些弱演算法关闭。
导致 user使用chrome连到此网站 https无法连线,但http可以(ie11两边都连得到)。
若我将TLS_RSA_WITH_AES_256_GCM_SHA384开启则chrome可以透过https连线到此网站。
但客户的弱扫软体将 TLS_RSA_WITH_AES_256_GCM_SHA384 归为弱演算法,建议不开启(用nmap扫TLS_RSA_WITH_AES_256_GCM是level A……)。
资安建议我使用
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384、TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256。
但我查询server2012 r2支援的tls1.2演算法不包含上述两种演算法
https://docs.microsoft.com/zh-tw/windows/win32/secauthn/cipher-suites-in-schannel?redirectedfrom=MSDN
只有从SERVER2016起才支援。但客户说其它厂商在相同的OS下都可以达成这个要求…,我上网GOOGLE相关文章,找不到可以手动在SERVER2012上增加TLS_ECDHE_RSA_WITH_AES_256_GCM的作法,希望有相关经验的前辈们可以指点一下或提供参考的网站,谢谢~