Firefox: connessione protetta fallita (codice di errore: ssl_error_weak_server_ephemeral_dh_key)

13

Un'immagine del problema: Browser: Firefox 39.0

Si tratta di un problema con il mio browser?
Come posso risolvere questo?

    
posta RogUE 05.07.2015 - 06:05
fonte

1 risposta

15

Is this a problem with my browser?

Firefox 39 e le versioni di ESR per Firefox 31 e 38 aggiornano l'implementazione NSS TLS alla versione 3.19.1. Per indurire il browser contro Logjam attacca la lunghezza minima della chiave per il parametro DH all'interno dell'handshake TLS ora è 1023 bit . Ma il server di acs.onlinesbi.com utilizza solo un tasto DH di 768 bit. Questa lunghezza chiave è considerata insicura perché potrebbe già essere interrotta dalla ricerca accademica e ancor più da un aggressore sponsorizzato dallo stato con maggiore potenza di calcolo.

How can I solve this?

Il sito deve migliorare la sicurezza. Ci si aspetta che altri browser aumentino la lunghezza minima richiesta della chiave DH nel prossimo futuro, in modo che il sito non sia raggiungibile da molti utenti a meno che non migliorino la loro sicurezza.

Per utilizzare il sito con la versione attuale di Firefox segui le istruzioni di seguito (da questo MozillaZine .org post del forum ) per disabilitare l'uso di crittografie DH in Firefox:

  1. In una nuova scheda, digita o incolla about:config nella barra degli indirizzi e premi Invio . Fai clic sul pulsante promettendo di fare attenzione.

  2. Nella casella di ricerca sopra l'elenco, digita o incolla ssl3 e metti in pausa mentre l'elenco viene filtrato

  3. Fai doppio clic sulla preferenza security.ssl3.dhe_rsa_aes_128_sha per passare da true a false (questo di solito sarebbe il primo elemento dell'elenco)

  4. Fai doppio clic sulla preferenza security.ssl3.dhe_rsa_aes_256_sha per passare da true a false (questo di solito sarebbe il secondo elemento dell'elenco)

    Nota: non è richiesto un riavvio del browser. La modifica ha effetto immediato.

Questo farà sì che FireFox ricada ai codici non DH in modo che il debole tasto DH non sia in uso. Tieni presente che in questo modo disattiva efficacemente Segretezza diretta con siti che non supportano l'ECDH ma solo il DH.

    
risposta data 05.07.2015 - 06:50
fonte

Leggi altre domande sui tag