У сервера есть слабый эфемерный открытый ключ Диффи-Хеллмана. Как обходить его?

Пока я пытаюсь посетить конкретный веб-сайт (этот: https://login.uj.edu.pl), я получаю ошибку ERR_INVALID_ARGUMENT. Вот проблема: "Сервер имеет слабый эфемерный открытый ключ Диффи-Хеллмана". Подробнее о проблеме: https://productforums.google.com/forum/#!topic/chrome/o3vZD-Mg2Ic

Я знаю, что это должно быть исправлено веб-мастером, но до тех пор, пока это не произойдет, я все равно должен получить доступ к странице каждый день. Я нашел расширение для Firefox, чтобы избежать этой ошибки: https://addons.mozilla.org/en-us/firefox/addon/disable-dhe/

Теперь я хочу избавиться от ошибки в Google Chrome (ну, на самом деле, Chromium). Есть ли возможность заставить его работать? Это моя страница в университете, и администратору сайта могут потребоваться годы, чтобы исправить эту проблему с безопасным подключением.

Какая странная проблема возникает в Linux только во всех браузерах. В Windows, Chrome OS или Android нет ничего плохого. Я знаю, что использование небезопасного соединения неверно, но в этом случае у меня нет выбора.

EDIT: Я не могу принять какое-либо решение, потому что сайт, который я пытался получить, изменил его шифрование на правильное. Теперь я не могу проверить ваши решения, потому что проблема уже решена администраторами сайта.

Ответы

Ответ 1

Решение:

Введите ваш браузер (я пробовал в Iceweasel)

    about:config

Поиск

    security.ssl3.dhe_rsa_aes_128_sha 

    security.ssl3.dhe_rsa_aes_256_sha

Установите их как false (просто дважды щелкните, чтобы установить их в false или true).

Что это!

Ответ 2

Это решение сработало для меня: 

C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --cipher-suite-blacklist=0x0088,0x0087,0x0039,0x0038,0x0044,0x0045,0x0066,0x0032,0x0033,0x0016,0x0013

В недавнем выпуске (1 сентября) на Chrome 45 содержится исправление для атаки Logjam, подробно описанное в https://weakdh.org, но оно представляет такую ​​проблему.

Я нашел его в этом сообщении

Ответ 3

Быстрый хак, чтобы обойти эту проблему (Mac OSX)

  • Запустите это в командной строке, чтобы обойти проблему при запуске Chrome

Chrome:

  • open /Applications/Google\ Chrome.app --args --cipher-suite-blacklist=0x0088,0x0087,0x0039,0x0038,0x0044,0x0045,0x0066,0x0032,0x0033,0x0016,0x0013

Канарейка:

  • open /Applications/Google\ Chrome\ Canary.app --args --cipher-suite-blacklist=0x0088,0x0087,0x0039,0x0038,0x0044,0x0045,0x0066,0x0032,0x0033,0x0016,0x0013

Для Firefox

  • Перейти к описанию: config
  • Найдите security.ssl3.dhe_rsa_aes_128_sha и security.ssl3.dhe_rsa_aes_256_sha
  • Установите оба значения в false.

ПРИМЕЧАНИЕ. Постоянное исправление будет состоять в том, чтобы обновить ключ DH длиной > 1024

Ответ 4

Используйте netsurf (netsurf aur) на этом сайте. Я нахожусь на одной лодке с тобой. Используя Arch и Chromium и Firefox, они отказываются вводить определенные веб-сайты. Netsurf может выполнить эту работу для меня.

Ответ 5

Вы случайно на канале развития Chrome или, возможно, на бета-канале? Я знаю, что канал dev в настоящее время имеет более строгие правила для SSL-ключей, и Beta также может. Вы можете попробовать получить стабильный выпуск https://www.chromium.org/getting-involved/dev-channel и посмотреть, не работает ли это ошибка.

Ответ 6

Я также столкнулся с этой проблемой и решил ответить @Duccio Fabbri,

 --cipher-suite-blacklist=0x0088,0x0087,0x0039,0x0038,0x0044,0x0045,0x0066,0x0032,0x0033,0x0016,0x0013

Я не знаю, почему это работает, но оно работает, для постоянного использования этого вы можете следовать ниже.

  • Перейти к сокращению браузера
  • Щелкните правой кнопкой мыши и перейдите к свойствам
  • Перейдите на вкладку "Сокращенные".

  • Перейдите в текстовое поле Target, в котором вы найдете свой полный путь chrome, добавьте строку выше в конце пути. и он будет выглядеть как

    "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --cipher-suite-blacklist = 0x0088,0x0087,0x0039,0x0038,0x0044,0x0045,0x0066,0x0032,0x0033,0x0016, 0x0013

  • Применить и закрыть его.

Теперь он будет работать. Когда вы откроете его в следующий раз.

Ответ 7

В Fireforx я столкнулся с той же проблемой, я сделал следующие изменения, и это сработало для меня,

Firefox:

  • Перейдите к: config из вкладки браузера.

  • Найдите параметр security.ssl3.dhe_rsa_aes_128_sha и security.ssl3.dhe_rsa_aes_256_sha.

  • Установите оба значения в false.

Ответ 8

Я также получил эту ошибку, я reset настройки хрома, чтобы исправить ее: Settings > show advanced settings > Reset setting

Ответ 9

Я нашел решение для apache tomcat в fooobar.com/questions/203029/..., я просто скопировал решение:

Просто отредактируйте 'conf/server.xml', добавив атрибут 'ciphers' в ваш https-коннектор:

 <Connector
        ...
        ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA"
        ...

Фактически вы явно определяете список разрешенных шифров, исключая Diffie-Hellman (тот, у которого есть "DHE" в имени).

Ответ 10

Откройте файл Server.xml в вашем tomcat и установите атрибут "ciphers" 

<Connector port="8007" protocol="AJP/1.3" redirectPort="8443" ciphers="SSL_RSA_WITH_RC4_128_SHA" />