Firefox 39 — Ошибка безопасного соединения — слабый эфемерный ключ Диффи-Хеллмана в сообщении о рукопожатии Server Key Exchange

Question 1

В зависимости от программного обеспечения обновление может не потребоваться.

У меня тоже была эта проблема. В моем случае приложение использовало Tomcat, и я смог изменить настройки конфигурации в файле server.xml. Я нашел решениездесь.

Процитируем соответствующую часть:

Tomcat имеет несколько слабых шифров, включенных по умолчанию. SSL получил слабый эфемерный ключ Диффи-Хеллмана в сообщении о рукопожатии Server Key Exchange. Если у вас есть сервер Tomcat (версии 4.1.32 или более поздней), вы можете отключить SSL 2.0 и отключить слабые шифры, следуя этим инструкциям. Откройте свой server.xml файл и добавьте следующее в свой соединитель SSL
<connector port="443" maxhttpheadersize="8192" address="127.0.0.1" 
           enablelookups="false" disableuploadtimeout="true" acceptCount="100" 
           scheme="https" secure="true" clientAuth="false" SSLEnabled="true" 
           sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" 
           ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, 
           TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, 
           TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA, 
           TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,
           TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA" 
           keystoreFile="mydomain.key" keystorePass="changeit" 
           truststoreFile="mytruststore.truststore" truststorePass="changeit" />

В моей ситуации единственной частью, которую мне пришлось изменить в server.xmlфайле, была ciphers="..."часть.

После этого перезапустите приложение.

Answer

В зависимости от программного обеспечения обновление может не потребоваться.

У меня тоже была эта проблема. В моем случае приложение использовало Tomcat, и я смог изменить настройки конфигурации в файле server.xml. Я нашел решениездесь.

Процитируем соответствующую часть:

Tomcat имеет несколько слабых шифров, включенных по умолчанию. SSL получил слабый эфемерный ключ Диффи-Хеллмана в сообщении о рукопожатии Server Key Exchange. Если у вас есть сервер Tomcat (версии 4.1.32 или более поздней), вы можете отключить SSL 2.0 и отключить слабые шифры, следуя этим инструкциям. Откройте свой server.xml файл и добавьте следующее в свой соединитель SSL
<connector port="443" maxhttpheadersize="8192" address="127.0.0.1" 
           enablelookups="false" disableuploadtimeout="true" acceptCount="100" 
           scheme="https" secure="true" clientAuth="false" SSLEnabled="true" 
           sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" 
           ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, 
           TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, 
           TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA, 
           TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,
           TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA" 
           keystoreFile="mydomain.key" keystorePass="changeit" 
           truststoreFile="mytruststore.truststore" truststorePass="changeit" />

В моей ситуации единственной частью, которую мне пришлось изменить в server.xmlфайле, была ciphers="..."часть.

После этого перезапустите приложение.

Question 2

Я хотел бы, чтобы люди знали, как обойти это, так как обновление старого ПО не всегда возможно. Вы можете установить Fiddler и в параметрах включить расшифровку HTTPS-трафика. Затем зайдите на сайт с запущенным Fiddler. Fiddler будет проксировать трафик для вас, а Firefox будет думать, что все в порядке (кроме предупреждения о сертификате SSL, созданном Fiddler для выполнения проксирования SSL по схеме man-in-the-middle, но это позволяет обойти это предупреждение).

Недостаток этого в том, что Firefox выдает это предупреждение не просто так, поэтому используйте его только в том случае, если риски безопасности перевешивают преимущества. Вы также можете использовать другой браузер (хотя в моем случае сайт работал лучше всего с Firefox), или вы можете установить портативную / автономную версию Firefox, которая является более старой версией, и использовать ее только для доступа к этому сайту (т. е. не заходить на другие сайты, поскольку в ней не будет обновлений безопасности, имеющихся в последней версии Firefox).

Answer

Я хотел бы, чтобы люди знали, как обойти это, так как обновление старого ПО не всегда возможно. Вы можете установить Fiddler и в параметрах включить расшифровку HTTPS-трафика. Затем зайдите на сайт с запущенным Fiddler. Fiddler будет проксировать трафик для вас, а Firefox будет думать, что все в порядке (кроме предупреждения о сертификате SSL, созданном Fiddler для выполнения проксирования SSL по схеме man-in-the-middle, но это позволяет обойти это предупреждение).

Недостаток этого в том, что Firefox выдает это предупреждение не просто так, поэтому используйте его только в том случае, если риски безопасности перевешивают преимущества. Вы также можете использовать другой браузер (хотя в моем случае сайт работал лучше всего с Firefox), или вы можете установить портативную / автономную версию Firefox, которая является более старой версией, и использовать ее только для доступа к этому сайту (т. е. не заходить на другие сайты, поскольку в ней не будет обновлений безопасности, имеющихся в последней версии Firefox).

Firefox 39 — Ошибка безопасного соединения — слабый эфемерный ключ Диффи-Хеллмана в сообщении о рукопожатии Server Key Exchange

решение1

решение2

Связанный контент