Firefox 39 - Falha na conexão segura - chave Diffie-Hellman efêmera fraca na mensagem de handshake do Server Key Exchange

Question 1

Dependendo do software, pode não ser necessária uma atualização.

Eu também tive esse problema. No meu caso, o aplicativo estava usando Tomcat e consegui alterar as configurações no server.xmlarquivo. Eu encontrei a soluçãoaqui.

Para citar a parte relevante:

O Tomcat possui várias cifras fracas habilitadas por padrão. O SSL recebeu uma chave Diffie-Hellman fraca e efêmera na mensagem de handshake do Server Key Exchange. Se você tiver um servidor Tomcat (versão 4.1.32 ou posterior), poderá desabilitar o SSL 2.0 e desabilitar cifras fracas seguindo estas instruções. Abra seu server.xml arquivo e adicione o seguinte ao seu conector SSL

<connector port="443" maxhttpheadersize="8192" address="127.0.0.1" 
           enablelookups="false" disableuploadtimeout="true" acceptCount="100" 
           scheme="https" secure="true" clientAuth="false" SSLEnabled="true" 
           sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" 
           ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, 
           TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, 
           TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA, 
           TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,
           TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA" 
           keystoreFile="mydomain.key" keystorePass="changeit" 
           truststoreFile="mytruststore.truststore" truststorePass="changeit" />

Na minha situação, a única parte que tive que modificar no server.xmlarquivo foi a ciphers="..."parte.

Depois de fazer isso, reinicie seu aplicativo.

Answer

Dependendo do software, pode não ser necessária uma atualização.

Eu também tive esse problema. No meu caso, o aplicativo estava usando Tomcat e consegui alterar as configurações no server.xmlarquivo. Eu encontrei a soluçãoaqui.

Para citar a parte relevante:

O Tomcat possui várias cifras fracas habilitadas por padrão. O SSL recebeu uma chave Diffie-Hellman fraca e efêmera na mensagem de handshake do Server Key Exchange. Se você tiver um servidor Tomcat (versão 4.1.32 ou posterior), poderá desabilitar o SSL 2.0 e desabilitar cifras fracas seguindo estas instruções. Abra seu server.xml arquivo e adicione o seguinte ao seu conector SSL

<connector port="443" maxhttpheadersize="8192" address="127.0.0.1" 
           enablelookups="false" disableuploadtimeout="true" acceptCount="100" 
           scheme="https" secure="true" clientAuth="false" SSLEnabled="true" 
           sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" 
           ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, 
           TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, 
           TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA, 
           TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,
           TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA" 
           keystoreFile="mydomain.key" keystorePass="changeit" 
           truststoreFile="mytruststore.truststore" truststorePass="changeit" />

Na minha situação, a única parte que tive que modificar no server.xmlarquivo foi a ciphers="..."parte.

Depois de fazer isso, reinicie seu aplicativo.

Question 2

Eu queria que as pessoas conhecessem uma solução alternativa para isso, já que atualizar software antigo nem sempre é uma possibilidade. Você pode instalar o Fiddler e nas opções ativar a descriptografia do tráfego HTTPS. Em seguida, acesse o site com o Fiddler em execução. O Fiddler fará proxy do tráfego para você e o Firefox pensará que está tudo bem (além de avisar sobre o certificado SSL criado pelo Fiddler para fazer seu proxy SSL man-in-the-middle, mas permite ignorar esse aviso).

A desvantagem disso é que o Firefox dá esse aviso por um motivo; portanto, use-o apenas se os riscos de segurança forem superados pelos benefícios. Você também pode usar um navegador diferente (embora no meu caso o site funcione melhor com o Firefox) ou instalar uma versão portátil/autônoma do Firefox que seja uma versão mais antiga e usá-la apenas para acessar esse site (ou seja, não acessar outros sites, pois faltarão atualizações de segurança presentes na versão mais recente do Firefox).

Answer

Eu queria que as pessoas conhecessem uma solução alternativa para isso, já que atualizar software antigo nem sempre é uma possibilidade. Você pode instalar o Fiddler e nas opções ativar a descriptografia do tráfego HTTPS. Em seguida, acesse o site com o Fiddler em execução. O Fiddler fará proxy do tráfego para você e o Firefox pensará que está tudo bem (além de avisar sobre o certificado SSL criado pelo Fiddler para fazer seu proxy SSL man-in-the-middle, mas permite ignorar esse aviso).

A desvantagem disso é que o Firefox dá esse aviso por um motivo; portanto, use-o apenas se os riscos de segurança forem superados pelos benefícios. Você também pode usar um navegador diferente (embora no meu caso o site funcione melhor com o Firefox) ou instalar uma versão portátil/autônoma do Firefox que seja uma versão mais antiga e usá-la apenas para acessar esse site (ou seja, não acessar outros sites, pois faltarão atualizações de segurança presentes na versão mais recente do Firefox).

Firefox 39 - Falha na conexão segura - chave Diffie-Hellman efêmera fraca na mensagem de handshake do Server Key Exchange

Responder1

Responder2

informação relacionada