如何修复ERR_SSL_WEAK_SERVER_EPHEMERAL_DH_KEY

Question

我有一个网站，最近chrome试图访问它时开始返回此错误：

ERR_SSL_WEAK_SERVER_EPHEMERAL_DH_KEY

这是一个java+jsp网站，运行在apache上。它还使用，但我读到错误与此证书无关。

谢谢你的帮助。

Answer 1

我修复了以下内容：http://support.filecatalyst.com/index.php?/Knowledgebase/Article/View/277/0/workaround-for-tomcat-ssl-tls-logjam-vulnerability

总之，我编辑了server.xml。

在连接器协议上，我更改了属性

Protocol="TLS"

为

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2" 

并添加了该属性

ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, 
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA, 
TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256, 
TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA"

Answer 2

您的服务器正在使用弱Diffie-Hellman密钥，因此可能会受到灌木丛攻击的影响。由于这种攻击，越来越多的浏览器和TLS堆栈将DH键的最小长度增加到768或1024位。您在服务器中使用的OpenSSL版本可能默认使用512位DH密钥，这太小了。您需要通过显式地在服务器配置中设置一个更大的DH键来解决这个问题。这取决于服务器，有关详细信息，请参阅TLS部署Diffie-Hellman指南。

Answer 3

如果您与Oracle有一个支持合同，您可以下载最新版本的Java 6/7，它将JSSE中的DHE加密提高到1024位。