Desde a última atualização do openssl no meu servidor Debian, meus clientes mysql não conseguem se conectar e fornecem a seguinte mensagem
SSL connection error: error:14082174:SSL routines:SSL3_CHECK_CERT_AND_ALGORITHM:dh key too small
Acho que isso é para evitarImpasseataques.
Graças ahttps://weakdh.org/sysadmin.htmlEu sei como posso gerar parâmetros Diffie-Hellman mais fortes. No entanto, não encontro nenhuma opção de configuração do MySQL para realmente usá-las.
Alguém sabe?
Responder1
As notas de lançamento do MySQL 5.7.6 contêm o seguinte:
Correção de segurança:Devido ao problema do LogJam (https://weakdh.org/), o OpenSSL alterou os parâmetros de comprimento da chave Diffie-Hellman para openssl-1.0.1n e superior. OpenSSL forneceu uma explicação detalhada emhttp://openssl.org/news/secadv_20150611.txt. Para adotar esta mudança no MySQL, o comprimento da chave usada em vio/viosslfactories.c para criar chaves Diffie-Hellman foi aumentado de 512 para 2.048 bits. (Erro nº 77275, Erro nº 21221862, Erro nº 18367167, Erro nº 21307471)
Parece que o tamanho do DH foi codificado para 512 bits no MySQL antes de 5.7.6 (bloqueio permanente?). Como versões posteriores do OpenSSL rejeitam essas chaves fracas, atualizar o OpenSSL sem atualizar o MySQL parece quebrar as coisas.
Responder2
Conseguimos resolver nossos problemas de conexão forçando o uso de uma cifra SSL não Diffie-Hellman.
Com nosso cliente Linux mysql 5.5.42 tivemos sucesso ao especificar a
--ssl-cipher=AES256-SHAopção de linha de comando, conforme especificado emesserelatório de erro.Nosso cliente jdbc (Java7) MySQL 5.1.35, entretanto, não gostou dessa cifra, mas funcionou quando especificamos
enabledSSLCipherSuites=TLS_RSA_WITH_AES_128_CBC_SHAem nossa string de conexão, conforme recomendadoaqui.
YMMV