Erro “Não foi possível gerar o par de chaves DH no URL de destino”

1

O que poderia causar um erro Could not generate DH key pair on the destination URL ?

Uma empresa parceira do EDI tenta se conectar ao nosso servidor HTTPS e encontra a mensagem acima.

Ou o sistema usa um firewall comercial e um proxy reverso (baseado no Apache) com uma classificação de alta segurança ('A' no qualsys ssltest). Eu suspeito que o nosso nível de segurança é maior do que os recursos da nossa empresa parceira EDI, no entanto eles afirmam ter conexões de trabalho com outros parceiros HTTPS, e eles dizem que eles suportam '2048 bits'.

Infelizmente, não podemos reduzir o nível de segurança em nosso sistema para fins de teste. Existem ferramentas de diagnóstico padrão que podem recomendar nosso parceiro de EDI para que possam analisar a falha de conexão?

Atualização: usei a ferramenta de diagnóstico Qualsys para SSL e descobri que, para clientes do Java (Sun JRE) 6, nenhuma conexão é possível porque

Java 6u45 - Client does not support DH parameters > 1024 bits .

Para outros servidores com classificação A, no entanto, os clientes Java 6 podem se conectar e parece que eles não usam DH:

Java 6u45 - TLS 1.0 - TLS_RSA_WITH_AES_128_CBC_SHA (0x2f)

Portanto, se eu juntar essas peças, presumo que nosso servidor insista na troca de chaves DH (que não é suportada por clientes Java 6), enquanto outros servidores podem negociar uma codificação diferente para que os clientes Java 6 possam se conectar. No entanto, eu não sou um especialista nesta área, por favor, deixe-me saber se eu estou perseguindo um arenque vermelho:)

    
por mjn 10.08.2015 / 11:02

1 resposta

0

A remoção de todas as cifras DHE do nosso servidor finalmente resolveu o problema de conexão.

    
por 09.04.2016 / 08:10