Firefox 39 - Conexão segura com falha - chave Diffie-Hellman efêmera fraca na mensagem de handshake do Server Key Exchange

2

A partir do Firefox 39, a conexão com uma interface administrativa antiga de algum software de terceiros gerou a seguinte mensagem:

Secure Connection Failed

An error occurred during a connection to backup.trinetsolutions.com. SSL received a weak ephemeral Diffie-Hellman key in Server Key Exchange handshake message. (Error code: ssl_error_weak_server_ephemeral_dh_key)

  • The page you are trying to view cannot be shown because the authenticity of the received data could not be verified.
  • Please contact the website owners to inform them of this problem.
    
por sa289 19.07.2015 / 22:04

2 respostas

2

Dependendo do software, uma atualização pode não ser necessária.

Eu também tive esse problema. No meu caso, o aplicativo estava usando o Tomcat e eu consegui alterar as configurações no arquivo server.xml . Eu encontrei a solução aqui .

Para citar a parte relevante:

Tomcat has several weak ciphers enabled by default. SSL received a weak ephemeral Diffie-Hellman key in Server Key Exchange handshake message. If you have a Tomcat server (version 4.1.32 or later), you can disable SSL 2.0 and disable weak ciphers by following these instructions. Open your server.xml file add the following to your SSL connector

<connector port="443" maxhttpheadersize="8192" address="127.0.0.1" 
           enablelookups="false" disableuploadtimeout="true" acceptCount="100" 
           scheme="https" secure="true" clientAuth="false" SSLEnabled="true" 
           sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" 
           ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, 
           TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, 
           TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA, 
           TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,
           TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA" 
           keystoreFile="mydomain.key" keystorePass="changeit" 
           truststoreFile="mytruststore.truststore" truststorePass="changeit" />

Na minha situação, a única parte que eu tinha que modificar no arquivo server.xml era a parte ciphers="..." .

Depois de fazer isso, reinicie seu aplicativo.

    
por 29.07.2015 / 20:59
1

Eu queria que as pessoas soubessem uma solução alternativa para isso, pois a atualização de software antigo nem sempre é uma possibilidade. Você pode instalar o Fiddler e, nas opções, ativar a descriptografia do tráfego HTTPS. Em seguida, acesse o site com o Fiddler em execução. O Fiddler fará o proxy do tráfego para você e o Firefox achará que está tudo bem (além de avisar sobre o certificado SSL criado pelo Fiddler para fazer seu proxy SSL man-in-the-middle, mas permite ignorar esse aviso).

A desvantagem disso é que o Firefox está dando esse aviso por um motivo, portanto, use-o somente se os riscos de segurança forem compensados pelos benefícios. Você também pode usar um navegador diferente (embora no meu caso o site funcionasse melhor com o Firefox), ou você poderia instalar uma versão portátil / autônoma do Firefox que é uma versão mais antiga e usá-la apenas para acessar esse site (ou seja, não acessar outras sites, pois não haverá atualizações de segurança presentes na última versão do Firefox).

    
por 19.07.2015 / 22:04