强制 Chrome 忽略“弱临时 Diffie-Hellman 公钥”

强制 Chrome 忽略“弱临时 Diffie-Hellman 公钥”

随着 Chrome 更新至 v45,它会阻止访问具有弱临时 Diffie-Hellman 公钥的页面。我知道这是由于 Logjam 造成的。我知道在某些情况下从 https 切换到 http 是一种“解决方案”。

但是,我无法从 https 切换到 http,因为我们在内部网中使用的基于 Web 的软件会自动重定向到 https。

显然,解决方案是让安全人员更改各种内部网服务器,以防止出现拥堵,我明白这一点,但目前这不是一个选择,而且在问题解决之前我无法再做任何工作。因为这是一个内部网,简单地连接就需要有人亲自到场,所以风险微乎其微。

有没有什么办法可以让我继续通过 https 协议访问页面,尽管 Chrome 版本 45 中的临时 Diffie-Hellman 公钥很弱?

答案1

解决此问题的 Hacky 修复(Mac OSX)

  • 在启动 Chrome 时,在命令行中运行此命令来解决该问题

铬合金:

open /Applications/Google\ Chrome.app --args --cipher-suite-blacklist=0x0088,0x0087,0x0039,0x0038,0x0044,0x0045,0x0066,0x0032,0x0033,0x0016,0x0013

金丝雀:

open /Applications/Google\ Chrome\ Canary.app --args --cipher-suite-blacklist=0x0088,0x0087,0x0039,0x0038,0x0044,0x0045,0x0066,0x0032,0x0033,0x0016,0x0013

对于 Firefox

  • 转到 about:config
  • 搜索security.ssl3.dhe_rsa_aes_128_shasecurity.ssl3.dhe_rsa_aes_256_sha
  • 将它们都设置为false

注意:永久修复方法是将 DH 密钥更新为长度 > 1024

答案2

确实,浏览器似乎已经认真对待长度小于 1024 的密钥的 Diffie-Hellman 问题,这在某种程度上伟大的新闻,但另一方面,它也引发了很多愤怒的 Chrome 用户

修复此问题(以及许多其他与安全相关的问题)是系统管理员的责任,因此据我了解,封锁任何提供弱 512 位或更低 Diffie-Hellman 密钥的网站的决定是对管理远程站点安全的人员施加压力的一种措施,“缺点”受到影响的用户。

目前,可以在启动 Google Chrome 浏览器时通过使用参数运行将一些密码套件列入黑名单--cipher-suite-blacklist= 0x0088,0x0087,0x0039,0x0038,0x0044,0x0045,0x0066,0x0032,0x0033,0x0016,0x0013,这似乎可以禁用与 LogJam 漏洞相关的密码套件并允许用户加入网站,但我坚持认为系统管理员有责任修复他们的 Diffie-Hellmann 密钥问题。

答案3

您问到的问题之一是,在内部网设置中使用列出的解决方法(或使用未列出的其他解决方法)是否有任何缺点。简短​​的回答是,只要所涉及的服务器使用弱密钥,所涉及的服务器就容易受到任何使用堵塞攻击的系统的影响,并且根据服务器的性质,服务器随后可能会成为受感染的服务器,并可能将问题传播给访问该服务器的其他客户端。

两种不太可能发生的情况是,一台在内联网上被感染的笔记本电脑在再次连接到内联网时访问内部服务器,或者一个配置为忽略该问题(如上所述和其他地方建议)的浏览器当前用于访问互联网,并且恰好连接到受感染的服务器,成为攻击内联网服务器的起点。

由于我个人并不熟悉 logjam 漏洞所带来的所有问题,因此我无法判断这两种情况是否特别可能发生。我自己的经验是,拥有面向互联网的服务器的系统管理员往往会尽可能地提前解决这些问题。话虽如此,我的经验还表明,内联网服务器管理员往往会在解决服务器安全问题之前做一些事情,比如让网站看起来更漂亮。

答案4

遇到同样的问题。如果你是服务器端人员,只需在 server.xml tomcat 中的 443 连接器中添加以下几行

sslProtocols="TLSv1,TLSv1.1,TLSv1.2" 密码="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA”

这将帮助您解决此 SSL 密钥问题。

相关内容