ASP.NET Chrome 和 Firefox 上的 Http2 的 Core 3.0 安全问题
ASP.NET Core 3.0 security issue with Http2 on Chrome and Firefox
我有一些同事创建的 VS 2019 项目,我下载并尝试 运行。开箱即用,没有任何修改,Chrome 和 Firefox 都抱怨(Edge 没有。)
顺便说一下,我正在 运行使用 Kestrel 进行此操作。
Chrome:
“无法访问此站点
https://localhost:5001/ 的网页可能暂时无法访问,也可能已永久移至新网址。
ERR_SPDY_INADEQUATE_TRANSPORT_SECURITY"
Firefox
你的连接不安全……等等等等……
NS_ERROR_NET_INADEQUATE_SECURITY
我已经使用了 appsettings.json 中的解决方法:
"Kestrel": {
"EndpointDefaults": {
"Protocols": "Http1"
}
但是,简单地回归到 Http1 并不是解决方案,它只是一种变通方法。我也不确定为什么我的同事没有遇到这个问题,而我也没有。任何想法将不胜感激。
检查您的 TLS 设置,因为 HTTP/2 将最旧、更不安全的密码列入黑名单 as listed in the specification,并且可能不允许连接使用 HTTP/2(如果使用)。您应该配置 Web 服务器以使用更现代的 GCM 密码,例如 TLS_AES_256_GCM_SHA384.
我有一些同事创建的 VS 2019 项目,我下载并尝试 运行。开箱即用,没有任何修改,Chrome 和 Firefox 都抱怨(Edge 没有。)
顺便说一下,我正在 运行使用 Kestrel 进行此操作。
Chrome:
“无法访问此站点
https://localhost:5001/ 的网页可能暂时无法访问,也可能已永久移至新网址。
ERR_SPDY_INADEQUATE_TRANSPORT_SECURITY"
Firefox 你的连接不安全……等等等等…… NS_ERROR_NET_INADEQUATE_SECURITY
我已经使用了 appsettings.json 中的解决方法:
"Kestrel": {
"EndpointDefaults": {
"Protocols": "Http1"
}
但是,简单地回归到 Http1 并不是解决方案,它只是一种变通方法。我也不确定为什么我的同事没有遇到这个问题,而我也没有。任何想法将不胜感激。
检查您的 TLS 设置,因为 HTTP/2 将最旧、更不安全的密码列入黑名单 as listed in the specification,并且可能不允许连接使用 HTTP/2(如果使用)。您应该配置 Web 服务器以使用更现代的 GCM 密码,例如 TLS_AES_256_GCM_SHA384.