Firefox: falla la conexión segura (Código de error: ssl_error_weak_server_ephemeral_dh_key)

13

Una captura de pantalla del problema: Navegador: Firefox 39.0

¿Esto es un problema con mi navegador?
¿Cómo puedo resolver esto?

    
pregunta RogUE 05.07.2015 - 06:05
fuente

1 respuesta

15
  

¿Se trata de un problema con mi navegador?

Las versiones de Firefox 39 y Firefox 31 y 38 ESR actualizan la implementación NSS de TLS a la versión 3.19.1. Para reforzar el navegador contra el Logjam ataque la longitud de clave mínima para el parámetro DH dentro del protocolo de enlace TLS ahora tiene 1023 bits . Pero el servidor en acs.onlinesbi.com solo usa una clave DH de 768 bits. Esta longitud de la clave se considera insegura porque puede que ya haya sido interrumpida por la investigación académica y, más aún, por un atacante patrocinado por el estado con más poder de cómputo.

  

¿Cómo puedo resolver esto?

El sitio necesita actualizar su seguridad. Se espera que otros navegadores también aumenten la longitud mínima requerida de la clave DH en un futuro próximo para que muchos usuarios no puedan acceder al sitio a menos que mejoren su seguridad.

Para usar el sitio con la versión actual de Firefox, siga las instrucciones a continuación (de ) para deshabilitar el uso de cifrados DH en Firefox:

  1. En una nueva pestaña, escriba o pegue about:config en la barra de direcciones y presione Ingresar . Haga clic en el botón que promete tener cuidado.

  2. En el cuadro de búsqueda sobre la lista, escriba o pegue ssl3 y haga una pausa mientras la lista se filtra

  3. Haga doble clic en la preferencia security.ssl3.dhe_rsa_aes_128_sha para cambiarla de verdadero a falso (este suele ser el primer elemento de la lista)

  4. Haz doble clic en la preferencia security.ssl3.dhe_rsa_aes_256_sha para cambiarla de verdadero a falso (este suele ser el segundo elemento de la lista)

    Nota: no es necesario reiniciar el navegador. El cambio surte efecto inmediatamente.

Esto hará que FireFox caiga de nuevo a cifrados que no sean DH, de modo que la clave débil de DH no esté en uso. Tenga en cuenta que esto efectivamente deshabilita Secreto de Reenvío con sitios que no son compatibles con ECDH pero solo DH.

    
respondido por el Steffen Ullrich 05.07.2015 - 06:50
fuente

Lea otras preguntas en las etiquetas