Ich habe beheben und vor kurzem Chrom Autor diesen Fehler zurückgegeben, wenn es um Zugang versuchen:Wie man eine Website ERR_SSL_WEAK_SERVER_EPHEMERAL_DH_KEY
ERR_SSL_WEAK_SERVER_EPHEMERAL_DH_KEY
Es ist eine Java + jsp Website und es läuft auf Apache tomacat. Es verwendet auch die Verisign-Zertifizierung, aber ich habe gelesen, dass der Fehler nicht mit diesem Zertifikat zusammenhängt.
Danke für jede Hilfe.
ich es behoben dies folgendes: http://support.filecatalyst.com/index.php?/Knowledgebase/Article/View/277/0/workaround-for-tomcat-ssl-tls-logjam-vulnerability
Um es zusammenzufassen, ich server.xml bearbeitet.
Auf dem Verbindungsprotokoll, änderte ich die Eigenschaft
Protocol="TLS"
für
sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"
und hinzugefügt, um die Eigenschaft
ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,
TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,
TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA"
Ihr Server verwendet schwache Diffie-Hellman-Schlüssel und könnte daher von der Logjam-Attacke betroffen sein. Aufgrund dieses Angriffs erhöhen immer mehr Browser- und TLS-Stacks ihre Mindestlänge des DH-Schlüssels auf 768 oder 1024 Bit. Wahrscheinlich verwendet die OpenSSL-Version, die Sie auf Ihrem Server verwenden, standardmäßig einen 512-Bit-DH-Schlüssel, der zu klein ist. Sie müssen dies beheben, indem Sie in Ihrer Serverkonfiguration explizit einen größeren DH-Schlüssel festlegen. Wie das gemacht wird, hängt vom Server ab, siehe Guide to Deploying Diffie-Hellman for TLS für Details.
Danke, ich folge der Anleitung, die Sie verlinkt haben.Ich habe die Unlimited Strength-Dateien für Apache Tomcat bereits korrekt installiert. Aber ich stecke an diesem Punkt fest: Erzeuge eine einzigartige DH-Gruppe. Ich weiß nicht, wie ich das machen soll, muss ich etwas dafür herunterladen? – Kal
@Kai: Der genaue Befehl wird im Abschnitt "Generieren einer eindeutigen DH-Gruppe" deutlich angezeigt: 'openssl dhparam -out dhparams.pem 2048' –
@Exactly, aber .... entschuldige meine Ignoranz, was mache ich mit dieser Satz. Versucht auf cmd und es tut nichts, – Kal
Wenn Sie einen Supportvertrag mit Oracle haben, können Sie die neueste Version von Java 6/7 herunterladen, die die DHE-Verschlüsselung auf 1024-Bit in JSSE erhöht.
... oder Java 8, für die Sie derzeit keinen erweiterten Supportvertrag benötigen. – Bruno
Es gibt eine Problemumgehung (Warnung: das schafft eine Sicherheitslücke!)
Mit diesem Parameter starten chrome:
--cipher-suite-blacklist=0x0088,0x0087,0x0039,0x0038,0x0044,0x0045,0x0066,0x0032,0x0033,0x0016,0x0013
Erklärung Parameter:
0x0088 TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA
0x0087 TLS_DHE_DSS_WITH_CAMELLIA_256_CBC_SHA
0x0039 TLS_DHE_RSA_WITH_AES_256_CBC_SHA
0x0038 TLS_DHE_DSS_WITH_AES_256_CBC_SHA
0x0044 TLS_DHE_DSS_WITH_CAMELLIA_128_CBC_SHA
0x0045 TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA
0x0066 TLS_DHE_DSS_WITH_RC4_128_SHA
0x0032 TLS_DHE_DSS_WITH_AES_128_CBC_SHA
0x0033 TLS_DHE_RSA_WITH_AES_128_CBC_SHA
0x0016 TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA
0x0013 SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
Quellen :
Danke .. dieser Arbeiter für mich! –
konnte ich dieses Problem beheben, indem Sie die Systemeigenschaft jdk.tls.ephemeralDHKeySize bis 1024 (oder 2048) zu setzen.
Hallo, wie hast du die Systemeigenschaft eingestellt? –
Sie können dies beim Start als Argument an die JVM übergeben: -Djdk.tls.ephemeralDHKeySize = 2048 Siehe auch http://stackoverflow.com/a/24508841/6839 –
Es gibt eine [neue Option für diese in Java 8] (http://StackOverflow.com/a/24508841/372643) (und bessere Standardwerte). – Bruno