web-dev-qa-db-fra.com

Le serveur a une clé publique éphémère Diffie-Hellman faible. Comment le contourner?

Pendant que j'essaie de visiter un site Web spécifique (celui-là: https://login.uj.edu.pl ), l'erreur ERR_INVALID_ARGUMENT s'annonce. Voici le problème: "Le serveur a une clé publique éphémère Diffie-Hellman faible". Pour en savoir plus sur le problème: https://productforums.google.com/forum/#!topic/chrome/o3vZD-Mg2Ic

Je sais que cela devrait être corrigé par un webmaster, mais en attendant, je dois quand même accéder à la page tous les jours. J'ai trouvé une extension à Firefox pour éviter cette erreur: https://addons.mozilla.org/en-us/firefox/addon/disable-dhe/

Maintenant, je veux me débarrasser de l'erreur dans Google Chrome (enfin, Chromium en fait). Y a-t-il une possibilité de le faire fonctionner? C'est la page de mon université et l'administrateur du site peut prendre des années pour résoudre ce problème de connexion sécurisée.

Ce qui est étrange, le problème ne se produit que sous Linux, dans tous les navigateurs. Sous Windows, Chrome-OS ou Android, rien n’est faux. Je sais que l'utilisation d'une connexion non sécurisée est fausse, mais dans ce cas, je n'ai pas le choix.

EDIT: Je ne peux accepter aucune solution car le site auquel je tentais d’accéder a modifié son cryptage. Maintenant, je ne peux pas tester vos solutions car le problème est déjà résolu par les administrateurs du site.

google-chromefirefoxchromium
26
koras

La solution est:

Tapez dans votre navigateur (j'ai essayé dans Iceweasel)

    about:config

Rechercher 

    security.ssl3.dhe_rsa_aes_128_sha 

    security.ssl3.dhe_rsa_aes_256_sha

Définissez les deux sur false (double-cliquez simplement dessus pour les définir sur false ou true).

C'est tout!

21
S4nD3r

Cette solution a fonctionné pour moi: 

C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --cipher-suite-blacklist=0x0088,0x0087,0x0039,0x0038,0x0044,0x0045,0x0066,0x0032,0x0033,0x0016,0x0013

La version récente (1 er septembre) de Chrome 45 contient le correctif de l’attaque Logjam comme indiqué dans https://weakdh.org mais elle introduit ce genre de problème.

Je l'ai trouvé dans ce post

11
Duccio Fabbri

Rapide bidouillage pour résoudre ce problème (Mac OSX)

  • Exécutez-le en ligne de commande pour résoudre le problème lors du lancement de Chrome.

Chrome:

  • open /Applications/Google\ Chrome.app --args --cipher-suite-blacklist=0x0088,0x0087,0x0039,0x0038,0x0044,0x0045,0x0066,0x0032,0x0033,0x0016,0x0013

Canaries:  

  • open /Applications/Google\ Chrome\ Canary.app --args --cipher-suite-blacklist=0x0088,0x0087,0x0039,0x0038,0x0044,0x0045,0x0066,0x0032,0x0033,0x0016,0x0013

Pour Firefox

  • Allez à propos de: config
  • Recherchez security.ssl3.dhe_rsa_aes_128_sha et security.ssl3.dhe_rsa_aes_256_sha
  • Définissez les deux sur false.

NOTE: Une solution permanente serait de mettre à jour la clé DH avec une longueur> 1024

4
vasa

Utilisez netsurf ( netsurf aur ) sur ce site. Je suis sur le même bateau avec vous. À l’aide d’Arch, de Chrome et de Firefox, ils refusent tous deux d’entrer sur certains sites Web. Netsurf peut faire le travail pour moi. 

1
Burkay Genc

Êtes-vous un hasard sur le canal de développement Chrome , ou éventuellement le canal bêta? Je sais que le canal dev a actuellement des règles plus strictes sur les clés SSL, tout comme la bêta. Vous pouvez essayer d'obtenir la version stable à partir de https://www.chromium.org/getting-involved/dev-channel et voir si elle s'exécute sans l'erreur.

0
jonnybot

J'avais aussi cette erreur, j'ai réinitialisé les paramètres de chrome pour y remédier: Settings > show advanced settings > Reset setting

0
A-Sharabiani

J'ai également fait face à ce problème et résolu par @Duccio Fabbri répondre, 

 --cipher-suite-blacklist=0x0088,0x0087,0x0039,0x0038,0x0044,0x0045,0x0066,0x0032,0x0033,0x0016,0x0013

Je ne sais pas pourquoi cela fonctionne, mais cela fonctionne. Pour une utilisation permanente, vous pouvez suivre l'étape ci-dessous.

  1. Aller au navigateur raccourci
  2. Clic droit et aller aux propriétés
  3. Aller à l'onglet raccourci

  4. Allez dans la zone de texte cible, vous y trouverez votre chemin complet chromé, ajoutez la chaîne ci-dessus à la fin du chemin ..__ et il ressemblera à 

    "C:\Programmes (x86)\Google\Chrome\Application\chrome.exe" --cipher-suite-blacklist = 0x0088,0x0087,0x0039,0x0038,0x0044,0x0045,0x0066,0x0032,0x0033,0x0016,0x0013

  5. Appliquez et fermez-le.

Maintenant, ça va marcher. Quand vous l'ouvrez la prochaine fois.

0
bharatpatel

J'ai trouvé la solution pour Apache Tomcat dans cette question de stackoverflow , je viens de copier la solution:

Editez simplement 'conf/server.xml' en ajoutant l'attribut 'Chiffrements' à votre connecteur https:

 <Connector
        ...
        ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA"
        ...

Dans la pratique, vous définissez explicitement la liste des chiffrements autorisés, à l’exclusion de ceux de Diffie-Hellman (celui avec le nom 'DHE').

0
pierpytom

À Fireforx, je faisais face au même problème. J'ai apporté les modifications suivantes et cela a fonctionné pour moi.

Firefox:

  1. Allez à propos de: config depuis l'onglet du navigateur

  2. Recherchez le paramètre security.ssl3.dhe_rsa_aes_128_sha et security.ssl3.dhe_rsa_aes_256_sha.

  3. Définissez les deux sur false.

0
Indranil Acharya