Firefox 39: error de conexión segura: clave Diffie-Hellman débil y efímera en el mensaje de intercambio de claves del servidor

Question 1

Dependiendo del software, es posible que no sea necesaria una actualización.

Yo también tuve este problema. En mi caso, la aplicación usaba Tomcat y pude cambiar la configuración en el server.xmlarchivo. encontré la soluciónaquí.

Para citar la parte relevante:

Tomcat tiene varios cifrados débiles habilitados de forma predeterminada. SSL recibió una clave Diffie-Hellman débil y efímera en el mensaje de protocolo de enlace de Server Key Exchange. Si tiene un servidor Tomcat (versión 4.1.32 o posterior), puede deshabilitar SSL 2.0 y deshabilitar cifrados débiles siguiendo estas instrucciones. Abra su server.xml archivo y agregue lo siguiente a su conector SSL

<connector port="443" maxhttpheadersize="8192" address="127.0.0.1" 
           enablelookups="false" disableuploadtimeout="true" acceptCount="100" 
           scheme="https" secure="true" clientAuth="false" SSLEnabled="true" 
           sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" 
           ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, 
           TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, 
           TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA, 
           TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,
           TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA" 
           keystoreFile="mydomain.key" keystorePass="changeit" 
           truststoreFile="mytruststore.truststore" truststorePass="changeit" />

En mi situación, la única parte que tuve que modificar en el server.xmlarchivo fue la ciphers="..."porción.

Después de hacer esto, reinicie su aplicación.

Answer

Dependiendo del software, es posible que no sea necesaria una actualización.

Yo también tuve este problema. En mi caso, la aplicación usaba Tomcat y pude cambiar la configuración en el server.xmlarchivo. encontré la soluciónaquí.

Para citar la parte relevante:

Tomcat tiene varios cifrados débiles habilitados de forma predeterminada. SSL recibió una clave Diffie-Hellman débil y efímera en el mensaje de protocolo de enlace de Server Key Exchange. Si tiene un servidor Tomcat (versión 4.1.32 o posterior), puede deshabilitar SSL 2.0 y deshabilitar cifrados débiles siguiendo estas instrucciones. Abra su server.xml archivo y agregue lo siguiente a su conector SSL

<connector port="443" maxhttpheadersize="8192" address="127.0.0.1" 
           enablelookups="false" disableuploadtimeout="true" acceptCount="100" 
           scheme="https" secure="true" clientAuth="false" SSLEnabled="true" 
           sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" 
           ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, 
           TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, 
           TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA, 
           TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,
           TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA" 
           keystoreFile="mydomain.key" keystorePass="changeit" 
           truststoreFile="mytruststore.truststore" truststorePass="changeit" />

En mi situación, la única parte que tuve que modificar en el server.xmlarchivo fue la ciphers="..."porción.

Después de hacer esto, reinicie su aplicación.

Question 2

Quería que la gente conociera una solución alternativa a esto, ya que actualizar el software antiguo no siempre es posible. Puede instalar Fiddler y en las opciones habilitar el descifrado del tráfico HTTPS. Luego acceda al sitio con Fiddler ejecutándose. Fiddler representará el tráfico por usted y Firefox pensará que todo está bien (aparte de advertir sobre el certificado SSL creado por Fiddler para realizar su proxy SSL de intermediario, pero le permite omitir esa advertencia).

El inconveniente de esto es que Firefox da esta advertencia por una razón, así que úsela sólo si los riesgos de seguridad son superados por los beneficios. También podrías usar un navegador diferente (aunque en mi caso el sitio funcionó mejor con Firefox), o podrías instalar una versión portátil/independiente de Firefox que sea una versión anterior y usarla únicamente para acceder a ese sitio (es decir, no acceder a otros). sitios web ya que carecerá de actualizaciones de seguridad presentes en la última versión de Firefox).

Answer

Quería que la gente conociera una solución alternativa a esto, ya que actualizar el software antiguo no siempre es posible. Puede instalar Fiddler y en las opciones habilitar el descifrado del tráfico HTTPS. Luego acceda al sitio con Fiddler ejecutándose. Fiddler representará el tráfico por usted y Firefox pensará que todo está bien (aparte de advertir sobre el certificado SSL creado por Fiddler para realizar su proxy SSL de intermediario, pero le permite omitir esa advertencia).

El inconveniente de esto es que Firefox da esta advertencia por una razón, así que úsela sólo si los riesgos de seguridad son superados por los beneficios. También podrías usar un navegador diferente (aunque en mi caso el sitio funcionó mejor con Firefox), o podrías instalar una versión portátil/independiente de Firefox que sea una versión anterior y usarla únicamente para acceder a ese sitio (es decir, no acceder a otros). sitios web ya que carecerá de actualizaciones de seguridad presentes en la última versión de Firefox).

Firefox 39: error de conexión segura: clave Diffie-Hellman débil y efímera en el mensaje de intercambio de claves del servidor

Respuesta1

Respuesta2

información relacionada