Ab Firefox 39 wurde beim Verbinden mit einer alten Verwaltungsschnittstelle für Drittanbietersoftware die folgende Meldung ausgegeben:
sichere Verbindung fehlgeschlagen
Bei einer Verbindung zu backup.trinetsolutions.com ist ein Fehler aufgetreten. SSL hat in der Server Key Exchange-Handshake-Nachricht einen schwachen, flüchtigen Diffie-Hellman-Schlüssel empfangen. (Fehlercode: ssl_error_weak_server_ephemeral_dh_key)
- Die Seite, die Sie aufrufen möchten, kann nicht angezeigt werden, da die Echtheit der empfangenen Daten nicht überprüft werden konnte.
- Bitte wenden Sie sich an den Websitebesitzer, um ihn über dieses Problem zu informieren.
Antwort1
Abhängig von der Software ist ein Upgrade möglicherweise nicht erforderlich.
Ich hatte dieses Problem auch. In meinem Fall verwendete die Anwendung Tomcat und ich konnte die Konfigurationseinstellungen in der server.xml
Datei ändern. Ich habe die Lösung gefundenHier.
Um den relevanten Teil zu zitieren:
Tomcat hat standardmäßig mehrere schwache Chiffren aktiviert. SSL hat einen schwachen temporären Diffie-Hellman-Schlüssel in der Server Key Exchange-Handshake-Nachricht erhalten. Wenn Sie einen Tomcat-Server (Version 4.1.32 oder höher) haben, können Sie SSL 2.0 und schwache Chiffren deaktivieren, indem Sie diese Anweisungen befolgen. Öffnen Sie Ihre
server.xml
Datei und fügen Sie Folgendes zu Ihrem SSL-Connector hinzu<connector port="443" maxhttpheadersize="8192" address="127.0.0.1" enablelookups="false" disableuploadtimeout="true" acceptCount="100" scheme="https" secure="true" clientAuth="false" SSLEnabled="true" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA" keystoreFile="mydomain.key" keystorePass="changeit" truststoreFile="mytruststore.truststore" truststorePass="changeit" />
In meinem Fall musste ich in der server.xml
Datei nur den Abschnitt ändern ciphers="..."
.
Starten Sie Ihre Anwendung anschließend neu.
Antwort2
Ich wollte die Leute über eine Problemumgehung informieren, da das Aktualisieren alter Software nicht immer möglich ist. Sie können Fiddler installieren und in den Optionen die Entschlüsselung des HTTPS-Verkehrs aktivieren. Greifen Sie dann auf die Site zu, während Fiddler ausgeführt wird. Fiddler leitet den Verkehr für Sie als Proxy weiter und Firefox denkt, alles sei in Ordnung (abgesehen von der Warnung bezüglich des SSL-Zertifikats, das Fiddler für sein Man-in-the-Middle-SSL-Proxying erstellt hat, aber Sie können diese Warnung umgehen).
Der Nachteil dabei ist, dass Firefox diese Warnung aus einem bestimmten Grund ausgibt. Verwenden Sie sie daher nur, wenn die Sicherheitsrisiken durch die Vorteile aufgewogen werden. Sie könnten auch einen anderen Browser verwenden (in meinem Fall funktionierte die Site jedoch am besten mit Firefox) oder Sie könnten eine portable/eigenständige Version von Firefox installieren, die eine ältere Version ist, und diese ausschließlich für den Zugriff auf diese Site verwenden (d. h. greifen Sie nicht auf andere Websites zu, da die Sicherheitsupdates der neuesten Firefox-Version fehlen).