Azure SSL配置

Question

我通過第三方（StartSSL）為我的Azure網站創建了SSL證書。 我能夠上傳它，但是當我瀏覽該站點時，我收到有關過時的安全算法等的安全警告。

該域為elec.olbert.com。 有人可以向我解釋解決這些問題需要做什么嗎？ 我是Azure的新手，老實說，那里的文檔並不多。

Answer 1

您可以使用Qualys SSL實驗室獲取有關SSL配置的詳細報告：

https://www.ssllabs.com/ssltest/analyze.html?d=elect.olbert.com

在這種情況下，報告列出了2個弱密碼套件，兩者均與RC4密碼有關。 現在認為這是不安全的，建議您禁用它。

https://zh.wikipedia.org/wiki/RC4

根據Microsoft的說法，在編寫此答案時（2015年6月），無法更改Azure網站上的密碼套件，因為它們是在來賓操作系統級別上控制的，並且該操作系統在Azure網站上共享。 不過，許多人都要求使用此功能，並且他們估計該功能將於2015年7月中旬投入生產

https://social.msdn.microsoft.com/Forums/azure/zh-CN/50f1ab33-c22a-4629-951e-b7510f6b2cbe/upgrading-tlsssl-cryptography-for-azure-web-apps?forum=windowsazurewebsitespreview

如果您可以等到那時，並且准時交付，那么您就可以了。 如果您迫不及待，或者有問題導致延遲生產，那么您將需要更改主機。 注意：通常，您應該期望使用Azure WebSite對這類事情的控制較少。 這是他們提供低維護與降低控制權衡的一部分。

如果要保留在Azure上，可以使用WebRole代替Azure WebSite。 這樣可以為您提供所需的控制，但價格會更高。

Answer 2

在https://elect.olbert.com/Account/Login上，我可以看到有關不安全證書的警告，因為它-或鏈中的任何父證書！ -使用SHA1進行簽名-不再被認為是安全的。 看這里 ：

https://konklone.com/post/why-google-is-hurrying-the-web-to-kill-sha-1

這不是Azure的問題，而是錯誤的（過時的技術）證書。 只需使用SHA256或更高級的產品即可。

Answer 3

讓我們加密的證書（也是免費的）目前在Azure Web Apps的Qualys SSL Labs中獲得A級。

您可以嘗試切換到它們，但這需要使用“ Azure Let's Encrypt”站點擴展來處理配置IIS。

與其他證書頒發機構相比，我們加密有一個不尋常的模型。 從它們那里獲取證書是完全自動化的，並且您必須更頻繁地更新證書-這是網站擴展很容易的事情。

要准備好證書，需要幾個步驟，但是我整理了完整的分步指南，逐步指導您完成操作。