强制 Chrome 忽略“弱临时 Diffie-Hellman 公钥”

解决此问题的 Hacky 修复（Mac OSX）

• 在启动 Chrome 时，在命令行中运行此命令来解决该问题

铬合金：

open /Applications/Google\ Chrome.app --args --cipher-suite-blacklist=0x0088,0x0087,0x0039,0x0038,0x0044,0x0045,0x0066,0x0032,0x0033,0x0016,0x0013

金丝雀：

open /Applications/Google\ Chrome\ Canary.app --args --cipher-suite-blacklist=0x0088,0x0087,0x0039,0x0038,0x0044,0x0045,0x0066,0x0032,0x0033,0x0016,0x0013

对于 Firefox

• 转到 about:config
• 搜索security.ssl3.dhe_rsa_aes_128_sha和security.ssl3.dhe_rsa_aes_256_sha
• 将它们都设置为false。

注意：永久修复方法是将 DH 密钥更新为长度 > 1024

确实，浏览器似乎已经认真对待长度小于 1024 的密钥的 Diffie-Hellman 问题，这在某种程度上伟大的新闻，但另一方面，它也引发了很多愤怒的 Chrome 用户。

修复此问题（以及许多其他与安全相关的问题）是系统管理员的责任，因此据我了解，封锁任何提供弱 512 位或更低 Diffie-Hellman 密钥的网站的决定是对管理远程站点安全的人员施加压力的一种措施，“缺点”受到影响的用户。

目前，可以在启动 Google Chrome 浏览器时通过使用参数运行将一些密码套件列入黑名单--cipher-suite-blacklist= 0x0088,0x0087,0x0039,0x0038,0x0044,0x0045,0x0066,0x0032,0x0033,0x0016,0x0013，这似乎可以禁用与 LogJam 漏洞相关的密码套件并允许用户加入网站，但我坚持认为系统管理员有责任修复他们的 Diffie-Hellmann 密钥问题。

您问到的问题之一是，在内部网设置中使用列出的解决方法（或使用未列出的其他解决方法）是否有任何缺点。简短​​的回答是，只要所涉及的服务器使用弱密钥，所涉及的服务器就容易受到任何使用堵塞攻击的系统的影响，并且根据服务器的性质，服务器随后可能会成为受感染的服务器，并可能将问题传播给访问该服务器的其他客户端。

两种不太可能发生的情况是，一台在内联网上被感染的笔记本电脑在再次连接到内联网时访问内部服务器，或者一个配置为忽略该问题（如上所述和其他地方建议）的浏览器当前用于访问互联网，并且恰好连接到受感染的服务器，成为攻击内联网服务器的起点。

由于我个人并不熟悉 logjam 漏洞所带来的所有问题，因此我无法判断这两种情况是否特别可能发生。我自己的经验是，拥有面向互联网的服务器的系统管理员往往会尽可能地提前解决这些问题。话虽如此，我的经验还表明，内联网服务器管理员往往会在解决服务器安全问题之前做一些事情，比如让网站看起来更漂亮。

遇到同样的问题。如果你是服务器端人员，只需在 server.xml tomcat 中的 443 连接器中添加以下几行

sslProtocols="TLSv1，TLSv1.1，TLSv1.2" 密码="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256，TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA，TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384，TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA，TLS_ECDHE_RSA_WITH_RC4_128_SHA，TLS_RSA_WITH_AES_128_CBC_SHA256，TLS_RSA_WITH_AES_128_CBC_SHA，TLS_RSA_WITH_AES_256_CBC_SHA256， TLS_RSA_WITH_AES_256_CBC_SHA，SSL_RSA_WITH_RC4_128_SHA”

这将帮助您解决此 SSL 密钥问题。