web-dev-qa-db-ja.com

Firefox39-安全な接続に失敗しました-サーバーキー交換ハンドシェイクメッセージの弱い一時的なDiffie-Hellmanキー

Firefox 39の時点で、一部のサードパーティソフトウェアの古い管理インターフェイスに接続すると、次のメッセージが表示されました。

安全な接続に失敗しました

Backup.trinetsolutions.comへの接続中にエラーが発生しました。 SSLは、サーバーキー交換ハンドシェイクメッセージで弱い一時的なDiffie-Hellmanキーを受信しました。 (エラーコード:ssl_error_weak_server_ephemeral_dh_key)

  • 受信したデータの信頼性を確認できなかったため、表示しようとしているページを表示できません。
  • この問題については、Webサイトの所有者に連絡してください。
2
sa289

ソフトウェアによっては、アップグレードが不要な場合があります。

私もこの問題を抱えていました。私の場合、アプリケーションはTomcatを使用しており、server.xmlファイルの構成設定を変更することができました。私は解決策を見つけました ここ

関連部分を引用するには:

Tomcatでは、デフォルトでいくつかの弱い暗号が有効になっています。 SSLは、サーバーキー交換ハンドシェイクメッセージで弱い一時的なDiffie-Hellmanキーを受信しました。 Tomcatサーバー(バージョン4.1.32以降)を使用している場合は、次の手順に従って、SSL 2.0を無効にし、弱い暗号を無効にすることができます。 server.xmlファイルを開き、SSLコネクタに以下を追加します

<connector port="443" maxhttpheadersize="8192" address="127.0.0.1" 
           enablelookups="false" disableuploadtimeout="true" acceptCount="100" 
           scheme="https" secure="true" clientAuth="false" SSLEnabled="true" 
           sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" 
           ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, 
           TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, 
           TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA, 
           TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,
           TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA" 
           keystoreFile="mydomain.key" keystorePass="changeit" 
           truststoreFile="mytruststore.truststore" truststorePass="changeit" />

私の状況では、server.xmlファイルで変更しなければならなかったのはciphers="..."部分だけでした。

これを行った後、アプリケーションを再起動します。

2
Doug R.

古いソフトウェアをアップグレードすることが常に可能であるとは限らないので、これに対する回避策を人々に知らせたかったのです。 Fiddlerをインストールし、オプションでHTTPSトラフィックの復号化を有効にすることができます。次に、Fiddlerを実行してサイトにアクセスします。 Fiddlerはトラフィックをプロキシし、Firefoxはすべてが正常であると見なします(Fiddlerがman-in-the-middle SSLプロキシを実行するために作成したSSL証明書に関する警告を除きますが、その警告をバイパスできます)。

これの欠点は、Firefoxが理由でこの警告を出していることです。したがって、セキュリティリスクが利点よりも重要である場合にのみこれを使用してください。別のブラウザを使用することもできます(私の場合、サイトはFirefoxで最適に機能しました)。または、古いバージョンのFirefoxのポータブル/スタンドアロンバージョンをインストールして、そのサイトにアクセスするためだけに使用することもできます(つまり、他のサイトにアクセスしないでください)。 Firefoxの最新バージョンに存在するセキュリティアップデートが不足しているため、Webサイト)。

1
sa289