不光是IIS网站,包括.net使用HttpListener开发的web程序,在默认情况下都会被评为B级。
提示为:降级原因: 1. 没有使用AEAD系列加密套件,降级为B 2. 没有优先使用FS系列加密套件,降级为B。
我现在知道AEAD 系列加密套件指的是那些支持认证加密和关联数据(Authenticated Encryption with Associated Data)的套件,比如 AES-GCM 和 ChaCha20-Poly1305,也就是说加密套件字符串中如果没有这两个关键词,就不行。FS 系列加密套件是指使用前向保密(Forward Secrecy)的套件,比如 ECDHE 和 DHE。也就是说加密套件字符串中如果没有这两个关键词,也不行。
我使用了组策略编辑加密套件顺序的方法,反复试,都不行。最后使用了推荐的IISCrypto(微软官方工具)自动优化配置,它具有图形界面,在加密套件中点击最佳实践,重启计算机就可以了。