Azure SSL配置

Question

我通过第三方（StartSSL）为我的Azure网站创建了SSL证书。 我能够上传它，但是当我浏览该站点时，我收到有关过时的安全算法等的安全警告。

该域为elec.olbert.com。 有人可以向我解释解决这些问题需要做什么吗？ 我是Azure的新手，老实说，那里的文档并不多。

Answer 1

您可以使用Qualys SSL实验室获取有关SSL配置的详细报告：

https://www.ssllabs.com/ssltest/analyze.html?d=elect.olbert.com

在这种情况下，报告列出了2个弱密码套件，两者均与RC4密码有关。 现在认为这是不安全的，建议您禁用它。

https://zh.wikipedia.org/wiki/RC4

根据Microsoft的说法，在编写此答案时（2015年6月），无法更改Azure网站上的密码套件，因为它们是在来宾操作系统级别上控制的，并且该操作系统在Azure网站上共享。 不过，许多人都要求使用此功能，并且他们估计该功能将于2015年7月中旬投入生产

https://social.msdn.microsoft.com/Forums/azure/zh-CN/50f1ab33-c22a-4629-951e-b7510f6b2cbe/upgrading-tlsssl-cryptography-for-azure-web-apps?forum=windowsazurewebsitespreview

如果您可以等到那时，并且准时交付，那么您就可以了。 如果您迫不及待，或者有问题导致延迟生产，那么您将需要更改主机。 注意：通常，您应该期望使用Azure WebSite对这类事情的控制较少。 这是他们提供低维护与降低控制权衡的一部分。

如果要保留在Azure上，可以使用WebRole代替Azure WebSite。 这样可以为您提供所需的控制，但价格会更高。

Answer 2

在https://elect.olbert.com/Account/Login上，我可以看到有关不安全证书的警告，因为它-或链中的任何父证书！ -使用SHA1进行签名-不再被认为是安全的。 看这里 ：

https://konklone.com/post/why-google-is-hurrying-the-web-to-kill-sha-1

这不是Azure的问题，而是错误的（过时的技术）证书。 只需使用SHA256或更高级的产品即可。

Answer 3

让我们加密的证书（也是免费的）目前在Azure Web Apps的Qualys SSL Labs中获得A级。

您可以尝试切换到它们，但这需要使用“ Azure Let's Encrypt”站点扩展来处理配置IIS。

与其他证书颁发机构相比，我们加密有一个不寻常的模型。 从它们那里获取证书是完全自动化的，并且您必须更频繁地更新证书-这是网站扩展很容易的事情。

要准备好证书，需要几个步骤，但是我整理了完整的分步指南，逐步指导您完成操作。