web-dev-qa-db-fra.com

Firefox: échec de la connexion sécurisée (code d'erreur: ssl_error_weak_server_ephemeral_dh_key)

Une capture d'écran du problème: enter image description here Navigateur: Firefox 39.0

Est-ce un problème avec mon navigateur?
Comment puis-je resoudre ceci?

13
RogUE

Est-ce un problème avec mon navigateur?

Firefox 39 et les versions de Firefox 31 et 38 ESR mettent à niveau l'implémentation TLS NSS vers la version 3.19.1. Pour durcir le navigateur contre Logjam attaquez la longueur de clé minimum pour le paramètre DH dans la négociation TLS est maintenant 1023 bits . Mais le serveur sur acs.onlinesbi.com utilise uniquement une clé DH de 768 bits. Cette longueur de clé est considérée comme non sécurisée car elle pourrait déjà être rompue par la recherche universitaire et plus encore par un attaquant parrainé par l'État avec plus de puissance de calcul.

Comment puis-je resoudre ceci?

Le site doit améliorer sa sécurité. Il est prévu que d'autres navigateurs augmentent également la longueur minimale requise de la clé DH dans un proche avenir afin que le site ne soit pas accessible par de nombreux utilisateurs à moins qu'ils n'améliorent leur sécurité.

Pour utiliser le site avec la version actuelle de Firefox, suivez les instructions ci-dessous (de ce message sur le forum MozillaZine.org ) pour désactiver l'utilisation des chiffres DH dans Firefox:

  1. Dans un nouvel onglet, saisissez ou collez about:config dans la barre d'adresse et appuyez sur Enter. Cliquez sur le bouton promettant d'être prudent.

  2. Dans la zone de recherche au-dessus de la liste, saisissez ou collez ssl3 et faire une pause pendant le filtrage de la liste

  3. Double-cliquez sur security.ssl3.dhe_rsa_aes_128_sha préférence pour le faire passer de vrai à faux (ce serait généralement le premier élément de la liste)

  4. Double-cliquez sur security.ssl3.dhe_rsa_aes_256_sha préférence pour passer de vrai à faux (ce serait généralement le deuxième élément de la liste)

    Remarque: Un redémarrage du navigateur n'est pas nécessaire. Le changement prend effet immédiatement.

Cela entraînera le retour de FireFox vers des chiffrements non DH afin que la touche DH faible ne soit pas utilisée. Notez que cela désactive effectivement Forward Secrecy avec les sites qui ne prennent pas en charge ECDH mais uniquement DH.

15
Steffen Ullrich