web-dev-qa-db-ja.com

サーバーには、短命のDiffie-Hellman公開キーがあります。バイパスする方法は?

特定のWebサイト(その1つ: https://login.uj.edu.pl )にアクセスしようとしていますが、ERR_INVALID_ARGUMENTエラーが発生しています。問題は次のとおりです。「サーバーには弱い一時的なDiffie-Hellman公開鍵があります」。問題の詳細: https://productforums.google.com/forum/#!topic/chrome/o3vZD-Mg2Ic

私はそれがウェブマスターによって修正されるべきであることを知っていますが、それが起こるまで私はとにかく毎日ページにアクセスしなければなりません。このエラーを回避するためにFirefoxの拡張機能を見つけました: https://addons.mozilla.org/en-us/firefox/addon/disable-dhe/

ここで、Google Chrome(実際にはChromiumのエラー)を取り除きたいと思います。動作させる可能性はありますか?それは私の大学のページであり、サイト管理者がその安全な接続の問題を修正するのに何年もかかることがあります。

奇妙なことに、問題はLinuxでのみ発生し、すべてのブラウザーで発生します。 Windows、Chrome-OSまたはAndroidでは何も問題はありません。安全でない接続を使用するのは間違っていることは知っていますが、その場合は選択肢がありません。

編集:私がアクセスしようとしていたサイトが正しいものに暗号化を変更したため、私は解決策を受け入れることができません。問題はすでにサイト管理者によって解決されているため、ソリューションをテストできません。

26
koras

解決策は次のとおりです。

ブラウザに入力します(Iceweaselで試しました)

    about:config 

検索する

    security.ssl3.dhe_rsa_aes_128_sha 

    security.ssl3.dhe_rsa_aes_256_sha 

両方をfalseに設定します(ダブルクリックしてfalseまたはtrueに設定します)。

それでおしまい!

21
S4nD3r

このソリューションは私のために働いた:

C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --cipher-suite-blacklist=0x0088,0x0087,0x0039,0x0038,0x0044,0x0045,0x0066,0x0032,0x0033,0x0016,0x0013

Chrome 45​​の最近のリリース(9月1日)には、 https://weakdh.org で詳述されているLogjam攻撃の修正が含まれていますが、この種の問題が発生します。

これで見つけました post

11
Duccio Fabbri

この問題を回避するための簡単なハック(Mac OSX)

  • これをコマンドラインで実行して、Chromeの起動中に問題を回避します

Chrome:

  • open /Applications/Google\ Chrome.app --args --cipher-suite-blacklist=0x0088,0x0087,0x0039,0x0038,0x0044,0x0045,0x0066,0x0032,0x0033,0x0016,0x0013

カナリア:

  • open /Applications/Google\ Chrome\ Canary.app --args --cipher-suite-blacklist=0x0088,0x0087,0x0039,0x0038,0x0044,0x0045,0x0066,0x0032,0x0033,0x0016,0x0013

Firefoxの場合

  • About:configに移動します
  • security.ssl3.dhe_rsa_aes_128_shaおよびsecurity.ssl3.dhe_rsa_aes_256_shaを検索します
  • 両方をfalseに設定します。

注:永続的に修正するには、長さ> 1024でDHキーを更新します

4
vasa

そのサイトでnetsurf( netsurf aur )を使用します。私はあなたと同じ船に乗っています。 ArchとChromiumとFirefoxの両方を使用すると、特定のWebサイトへのアクセスが拒否されます。 Netsurfが私の仕事をしてくれます。

1
Burkay Genc

Chrome開発チャンネル 、またはベータチャンネルの可能性はありますか?現在、devチャネルにはSSLキーに関するより厳しいルールがあり、ベータ版も同様であることを知っています。 https://www.chromium.org/getting-involved/dev-channel から安定版リリースを取得して、エラーなしで実行されるかどうかを確認できます。

0
jonnybot

このエラーも発生していました。chrome設定をリセットして修正しました:Settings > show advanced settings > Reset setting

0
A-Sharabiani

私もこの問題に直面しており、@ Duccio Fabbriの回答で解決しました。

 --cipher-suite-blacklist=0x0088,0x0087,0x0039,0x0038,0x0044,0x0045,0x0066,0x0032,0x0033,0x0016,0x0013

これがなぜ機能するのかはわかりませんが、機能します。これを永続的に使用するには、以下の手順に従ってください。

  1. ブラウザのショートカットに移動
  2. 右クリックしてプロパティに移動
  3. ショートカットタブに移動
  4. [ターゲット]テキストボックスに移動すると、chromeのフルパスが表示されます。パスの最後に上記の文字列を追加します。そしてそれは次のようになります

    "C:\ Program Files(x86)\ Google\Chrome\Application\chrome.exe" --cipher-suite-blacklist = 0x0088,0x0087,0x0039,0x0038,0x0044,0x0045,0x0066,0x0032,0x0033,0x0016,0x0013

  5. 適用して閉じます。

これで機能します。次回開いたとき。

0
bharatpatel

このstackoverflowの質問 でApache Tomcatのソリューションを見つけました、ソリューションをコピーするだけです:

Httpsコネクターに「ciphers」属性を追加して「conf/server.xml」を編集するだけです。

 <Connector
        ...
        ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA"
        ...

実際には、許可された暗号のリストを明示的に定義していますが、Diffie-Hellmanのもの(名前に「DHE」が含まれているもの)は除きます。

0
pierpytom

Fireforxでも同じ問題に直面していましたが、次の変更を行いましたが、うまくいきました。

Firefox:

  1. ブラウザのタブからabout:configに移動します
  2. Security.ssl3.dhe_rsa_aes_128_shaおよびsecurity.ssl3.dhe_rsa_aes_256_shaパラメーターを検索します。

  3. 両方をfalseに設定します。

0