Firefox 39 – Sichere Verbindung fehlgeschlagen – schwacher flüchtiger Diffie-Hellman-Schlüssel in der Server Key Exchange-Handshake-Nachricht

Question 1

Abhängig von der Software ist ein Upgrade möglicherweise nicht erforderlich.

Ich hatte dieses Problem auch. In meinem Fall verwendete die Anwendung Tomcat und ich konnte die Konfigurationseinstellungen in der server.xmlDatei ändern. Ich habe die Lösung gefundenHier.

Um den relevanten Teil zu zitieren:

Tomcat hat standardmäßig mehrere schwache Chiffren aktiviert. SSL hat einen schwachen temporären Diffie-Hellman-Schlüssel in der Server Key Exchange-Handshake-Nachricht erhalten. Wenn Sie einen Tomcat-Server (Version 4.1.32 oder höher) haben, können Sie SSL 2.0 und schwache Chiffren deaktivieren, indem Sie diese Anweisungen befolgen. Öffnen Sie Ihre server.xml Datei und fügen Sie Folgendes zu Ihrem SSL-Connector hinzu

<connector port="443" maxhttpheadersize="8192" address="127.0.0.1" 
           enablelookups="false" disableuploadtimeout="true" acceptCount="100" 
           scheme="https" secure="true" clientAuth="false" SSLEnabled="true" 
           sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" 
           ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, 
           TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, 
           TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA, 
           TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,
           TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA" 
           keystoreFile="mydomain.key" keystorePass="changeit" 
           truststoreFile="mytruststore.truststore" truststorePass="changeit" />

In meinem Fall musste ich in der server.xmlDatei nur den Abschnitt ändern ciphers="...".

Starten Sie Ihre Anwendung anschließend neu.

Answer

Abhängig von der Software ist ein Upgrade möglicherweise nicht erforderlich.

Ich hatte dieses Problem auch. In meinem Fall verwendete die Anwendung Tomcat und ich konnte die Konfigurationseinstellungen in der server.xmlDatei ändern. Ich habe die Lösung gefundenHier.

Um den relevanten Teil zu zitieren:

Tomcat hat standardmäßig mehrere schwache Chiffren aktiviert. SSL hat einen schwachen temporären Diffie-Hellman-Schlüssel in der Server Key Exchange-Handshake-Nachricht erhalten. Wenn Sie einen Tomcat-Server (Version 4.1.32 oder höher) haben, können Sie SSL 2.0 und schwache Chiffren deaktivieren, indem Sie diese Anweisungen befolgen. Öffnen Sie Ihre server.xml Datei und fügen Sie Folgendes zu Ihrem SSL-Connector hinzu

<connector port="443" maxhttpheadersize="8192" address="127.0.0.1" 
           enablelookups="false" disableuploadtimeout="true" acceptCount="100" 
           scheme="https" secure="true" clientAuth="false" SSLEnabled="true" 
           sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" 
           ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, 
           TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, 
           TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA, 
           TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,
           TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA" 
           keystoreFile="mydomain.key" keystorePass="changeit" 
           truststoreFile="mytruststore.truststore" truststorePass="changeit" />

In meinem Fall musste ich in der server.xmlDatei nur den Abschnitt ändern ciphers="...".

Starten Sie Ihre Anwendung anschließend neu.

Question 2

Ich wollte die Leute über eine Problemumgehung informieren, da das Aktualisieren alter Software nicht immer möglich ist. Sie können Fiddler installieren und in den Optionen die Entschlüsselung des HTTPS-Verkehrs aktivieren. Greifen Sie dann auf die Site zu, während Fiddler ausgeführt wird. Fiddler leitet den Verkehr für Sie als Proxy weiter und Firefox denkt, alles sei in Ordnung (abgesehen von der Warnung bezüglich des SSL-Zertifikats, das Fiddler für sein Man-in-the-Middle-SSL-Proxying erstellt hat, aber Sie können diese Warnung umgehen).

Der Nachteil dabei ist, dass Firefox diese Warnung aus einem bestimmten Grund ausgibt. Verwenden Sie sie daher nur, wenn die Sicherheitsrisiken durch die Vorteile aufgewogen werden. Sie könnten auch einen anderen Browser verwenden (in meinem Fall funktionierte die Site jedoch am besten mit Firefox) oder Sie könnten eine portable/eigenständige Version von Firefox installieren, die eine ältere Version ist, und diese ausschließlich für den Zugriff auf diese Site verwenden (d. h. greifen Sie nicht auf andere Websites zu, da die Sicherheitsupdates der neuesten Firefox-Version fehlen).

Answer

Ich wollte die Leute über eine Problemumgehung informieren, da das Aktualisieren alter Software nicht immer möglich ist. Sie können Fiddler installieren und in den Optionen die Entschlüsselung des HTTPS-Verkehrs aktivieren. Greifen Sie dann auf die Site zu, während Fiddler ausgeführt wird. Fiddler leitet den Verkehr für Sie als Proxy weiter und Firefox denkt, alles sei in Ordnung (abgesehen von der Warnung bezüglich des SSL-Zertifikats, das Fiddler für sein Man-in-the-Middle-SSL-Proxying erstellt hat, aber Sie können diese Warnung umgehen).

Der Nachteil dabei ist, dass Firefox diese Warnung aus einem bestimmten Grund ausgibt. Verwenden Sie sie daher nur, wenn die Sicherheitsrisiken durch die Vorteile aufgewogen werden. Sie könnten auch einen anderen Browser verwenden (in meinem Fall funktionierte die Site jedoch am besten mit Firefox) oder Sie könnten eine portable/eigenständige Version von Firefox installieren, die eine ältere Version ist, und diese ausschließlich für den Zugriff auf diese Site verwenden (d. h. greifen Sie nicht auf andere Websites zu, da die Sicherheitsupdates der neuesten Firefox-Version fehlen).

Firefox 39 – Sichere Verbindung fehlgeschlagen – schwacher flüchtiger Diffie-Hellman-Schlüssel in der Server Key Exchange-Handshake-Nachricht

Antwort1

Antwort2

verwandte Informationen