Firefox 39 - Сбой безопасного соединения - слабый эфемерный ключ Диффи-Хеллмана в сообщении рукопожатия обмена ключами сервера

Question

Начиная с Firefox 39, при подключении к старому административному интерфейсу для некоторых сторонних программ выдается следующее сообщение:

Сбой безопасного соединения

Произошла ошибка при подключении к backup.trinetsolutions.com. SSL получил слабый эфемерный ключ Диффи-Хеллмана в сообщении рукопожатия обмена ключами сервера. (Код ошибки: ssl_error_weak_server_ephemeral_dh_key)

• Невозможно отобразить страницу, которую вы пытаетесь просмотреть, потому что подлинность полученных данных не может быть проверена.
• Пожалуйста, свяжитесь с владельцами сайта, чтобы сообщить им об этой проблеме.

Answer 1

В зависимости от программного обеспечения обновление может не потребоваться.

У меня тоже была эта проблема. В моем случае приложение использовало Tomcat, и я смог изменить настройки конфигурации в файле server.xml . Я нашел решение здесь .

Чтобы процитировать соответствующую часть:

Tomcat имеет несколько слабых шифров, включенных по умолчанию. SSL получил слабый эфемерный ключ Диффи-Хеллмана в сообщении рукопожатия обмена ключами сервера. Если у вас есть сервер Tomcat (версия 4.1.32 или более поздняя), вы можете отключить SSL 2.0 и слабые шифры, следуя этим инструкциям. Откройте файл server.xml добавьте следующее в свой SSL-коннектор

<connector port="443" maxhttpheadersize="8192" address="127.0.0.1" 
           enablelookups="false" disableuploadtimeout="true" acceptCount="100" 
           scheme="https" secure="true" clientAuth="false" SSLEnabled="true" 
           sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" 
           ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, 
           TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, 
           TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA, 
           TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,
           TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA" 
           keystoreFile="mydomain.key" keystorePass="changeit" 
           truststoreFile="mytruststore.truststore" truststorePass="changeit" />

В моей ситуации единственной частью, которую мне пришлось изменить в файле server.xml была часть ciphers="..." .

После этого перезапустите приложение.

Answer 2

Я хотел, чтобы люди знали, как обойти это, поскольку обновление старого программного обеспечения не всегда возможно. Вы можете установить Fiddler и в настройках включить дешифрование HTTPS-трафика. Затем зайдите на сайт с запущенным Fiddler. Fiddler проксирует трафик для вас, и Firefox будет думать, что все в порядке (кроме предупреждения о SSL-сертификате, созданном Fiddler для выполнения прокси-сервера SSL посредником, но он позволяет обойти это предупреждение).

Недостатком этого является то, что Firefox дает это предупреждение по какой-то причине, поэтому используйте его только в том случае, если преимущества перевешивают преимущества безопасности. Вы также можете использовать другой браузер (хотя в моем случае сайт работал лучше всего с Firefox), или вы можете установить переносную / автономную версию Firefox, которая является более старой версией, и использовать ее исключительно для доступа к этому сайту (т.е. не иметь доступа к другим веб-сайты, поскольку в последней версии Firefox будут отсутствовать обновления безопасности).