Firefox 39: error de conexión segura: clave Diffie-Hellman débil y efímera en el mensaje de intercambio de claves del servidor

Firefox 39: error de conexión segura: clave Diffie-Hellman débil y efímera en el mensaje de intercambio de claves del servidor

A partir de Firefox 39, al conectarse a una interfaz administrativa antigua para algún software de terceros, aparecía el siguiente mensaje:

Conexión Segura Fallida

Se produjo un error durante una conexión a backup.trinetsolutions.com. SSL recibió una clave Diffie-Hellman débil y efímera en el mensaje de protocolo de enlace de Server Key Exchange. (Código de error: ssl_error_weak_server_ephemeral_dh_key)

  • La página que está intentando ver no se puede mostrar porque no se pudo verificar la autenticidad de los datos recibidos.
  • Comuníquese con los propietarios del sitio web para informarles sobre este problema.

Respuesta1

Dependiendo del software, es posible que no sea necesaria una actualización.

Yo también tuve este problema. En mi caso, la aplicación usaba Tomcat y pude cambiar la configuración en el server.xmlarchivo. encontré la soluciónaquí.

Para citar la parte relevante:

Tomcat tiene varios cifrados débiles habilitados de forma predeterminada. SSL recibió una clave Diffie-Hellman débil y efímera en el mensaje de protocolo de enlace de Server Key Exchange. Si tiene un servidor Tomcat (versión 4.1.32 o posterior), puede deshabilitar SSL 2.0 y deshabilitar cifrados débiles siguiendo estas instrucciones. Abra su server.xml archivo y agregue lo siguiente a su conector SSL

<connector port="443" maxhttpheadersize="8192" address="127.0.0.1" 
           enablelookups="false" disableuploadtimeout="true" acceptCount="100" 
           scheme="https" secure="true" clientAuth="false" SSLEnabled="true" 
           sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" 
           ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, 
           TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, 
           TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA, 
           TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,
           TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA" 
           keystoreFile="mydomain.key" keystorePass="changeit" 
           truststoreFile="mytruststore.truststore" truststorePass="changeit" />

En mi situación, la única parte que tuve que modificar en el server.xmlarchivo fue la ciphers="..."porción.

Después de hacer esto, reinicie su aplicación.

Respuesta2

Quería que la gente conociera una solución alternativa a esto, ya que actualizar el software antiguo no siempre es posible. Puede instalar Fiddler y en las opciones habilitar el descifrado del tráfico HTTPS. Luego acceda al sitio con Fiddler ejecutándose. Fiddler representará el tráfico por usted y Firefox pensará que todo está bien (aparte de advertir sobre el certificado SSL creado por Fiddler para realizar su proxy SSL de intermediario, pero le permite omitir esa advertencia).

El inconveniente de esto es que Firefox da esta advertencia por una razón, así que úsela sólo si los riesgos de seguridad son superados por los beneficios. También podrías usar un navegador diferente (aunque en mi caso el sitio funcionó mejor con Firefox), o podrías instalar una versión portátil/independiente de Firefox que sea una versión anterior y usarla únicamente para acceder a ese sitio (es decir, no acceder a otros). sitios web ya que carecerá de actualizaciones de seguridad presentes en la última versión de Firefox).

información relacionada