Sửa lỗi encrypted using a modern cipher suite trên Chrome chạy IIS

Bài viết này sau đây sẽ là những hướng dẫn giúp bạn sửa lỗi encrypted using a modern cipher suite trên Chrome chạy IIS. Nắm được cách khắc phục lỗi sẽ giúp bạn có hướng giải quyết và xử lý hiệu quả, giúp công việc không bị gián đoạn. Cùng BKNS tìm hiểu chi tiết thông qua bài viết này nhé. 

IIS là gì?

Trước tiên, nắm được khái niệm IIS là gì sẽ khiến bạn hình dung vấn đề dễ dàng hơn.

IIS (Internet Information Services) là một máy chủ web của Microsoft chạy trên hệ điều hành Windows. Nó được sử dụng để cung cấp nội dung trang web qua internet tới người dùng cuối. IIS có thể phục vụ cả các trang web HTML tiêu chuẩn và các trang web động, chẳng hạn như các ứng dụng ASP.NET và các trang PHP.

IIS được sử dụng phổ biến nhất bởi các doanh nghiệp IT vì nó có thể được quản lý tập trung và mở rộng quy mô để tạo ra các web server lớn, đáp ứng nhu cầu cho các trang web có lưu lượng truy cập cao. IIS lưu trữ ứng dụng, trang web và các dịch vụ tiêu chuẩn khác mà người dùng cần và cho phép các nhà phát triển tạo trang web, ứng dụng và thư mục ảo để chia sẻ với người dùng của họ.

Sửa lỗi encrypted using a modern cipher suite trên Chrome chạy IIS

Bạn vui lòng làm theo hướng dẫn sau để khắc phục:

Update – 2.2.2016 – The ciphers originally listed in this post no longer work to fix the obsolete cryptography warning as Google has upped the requirement from DHE with AES_128_GCM to ECDHE with AES_128_GCM or CHACHA20_POLY1305. The only ciphers we have on Windows that are close to this requirement are all ECDHE-ECDSA which will require an ECC (Elliptic Curve Cryptography) certificate to be used vs ECDHE-RSA which requires a certificate signed with the standard RSA key algorithm.

To get an ECC certificate, the CSR for the certificate has to be generated with ECDSA as the key algorithm (rather than RSA 2048 or 4096). If you do have one of these certificates you can then use the steps in this post to bump the following cipher suites to the top to satisfy the obsolete cryptography warning:
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256

I have an updated post about acquiring an ECC certificate and steps needed to implement the ECDHE_ECDSA ciphers here:
Download SQL Server Management Studio (SSMS) 20.1

If you have a regular certificate signed with RSA like most are,

I would go with the settings mentioned in this post:
Hardening SSL & TLS connections on Windows Server 2008 R2 & 2012 R2

This post is going to be a quick and simple tip that should work on IIS 7 and IIS 8 to fix the “Your connection to somedomain.com is encrypted with obsolete cryptography.” warning that recently popped up in Google Chrome seen below:

Before we can fix it, we need to make sure that the following patch is installed from MS14-066:
KB2992611

Which adds support for the following cipher suites:
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256

Note as the KB mentions there were quite a few issues reported with this patch, so be sure to test before you put it in production and have a roll back plan in place.

Once the patch is installed, we will need to download IIS Crypto from Nartac Software and then follow these steps:

Tuần tự các bước thực hiện

1. Open IIS Crypto and apply the “Best Practices” template.
   Mở IIS và chọn mục Best Practices.
2. On the bottom left in the Cipher Suite Order box find and move the following cipher suites to the top of the list and make sure they are now checked (screen shot below):
   TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
   TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
   TLS_RSA_WITH_AES_256_GCM_SHA384
   TLS_RSA_WITH_AES_128_GCM_SHA256
   Dòng giữa bên trái bộ mã hóa, tìm và di chuyển bộ mật mã lên đầu danh sách và để chúng đúng vị trí như ví dụ minh họa trên.
3. Uncheck TLS 1.0 under Protocols Enabled (optional but recommended on 2008R2/12/12R2)
4. Reboot the server and test in a new browser window, preferably an incognito/private one, otherwise you may need to clear your browser cache to see the changes.

IIS Crypto settings:

And Chrome now shows that we are using Modern Cryptography:

Đến đây là bạn đã hoàn thành quá trình sửa lỗi encrypted using a modern cipher suite trên Chrome chạy IIS. Hy vọng những kiến thức này hữu ích với bạn.

BKNS – nhà cung cấp chứng chỉ SSL uy tín và đáng tin cậy

Với nhu cầu sử sụng chứng chỉ SSL ngày càng lớn, nhiều đơn vị cung cấp chứng chỉ SSL cũng ngày càng phổ biến trên thị trường. Tuy nhiên giữa vô vàn lựa chọn khác nhau, có thể khiến bạn không dễ dàng lựa chọn hơn, ngược lại càng khiến bạn phân vân không biết lựa chọn chứng chỉ nào cho phù hợp.

Là một thương hiệu đã có trên 10 năm kinh nghiệm trên thị trường, khoảng thời gian không quá dài nhưng cũng không quá ngắn, BKNS tự tin có đủ kinh nghiệm và sự uy tín để mang đến cho khách hàng những chứng chỉ SSL chất lượng nhất.

Điều đó thể hiện qua những chứng chỉ SSL mà BKNS cung cấp:

• Đủ các thương hiệu cao cấp nổi tiếng trên thế giới: Thawte, GeoTrust, Sectigo, Comodo,…
• Quy mô và các tính năng bảo vệ của tên miền đầy đủ, có thể linh hoạt tùy chọn theo quy mô và mục đích doanh nghiệp: có tên miền đơn, tên miền bảo vệ đa miền, hỗ trợ SANs, Wildcard,…
• Đa dạng về mức giá: từ thấp đến cao, bạn dễ dàng chọn lựa trong mức giá mong muốn

Tham khảo nhiều hơn Bảng chứng chỉ SSL của BKNS.

Hoặc nếu bạn chưa tự tin để tự mình lựa chọn, đừng ngại ngần liên hệ BKNS để được tư vấn miễn phí từ đội ngũ của BKNS.

Kết luận

Cuộc sống không có điều gì hoàn hảo, và đó là nguyên nhân chúng ta cần phải kiểm tra thường xuyên các lỗi phát sinh. Hy vọng đến đây bạn đã biết cách và có thể tự khắc phục lỗi encrypted using a modern cipher suite chạy trên máy.

Đừng quên đọc thêm nhiều thông tin hữu ích hơn tại blog của BKNS.