我雇主的客户正尝试通过 SSL 从我们的网上银行应用程序下载文件。使用 Internet Explorer 下载时,有时会显示错误
“无法从 URL 下载 -1。无法打开互联网上的此服务器。请求的服务器不可用”
使用 Chrome 下载时,一切似乎都正常。我猜是客户端电脑的问题,因为在服务器上的应用程序登录中,一切似乎都正常。客户端尝试删除临时 Internet 文件和 Cookie,但没有成功。
有谁能指出原因是什么吗?
答案1
这在很大程度上是一种猜测,当您回答我提出的一些问题时,我会对其进行完善。
有一种针对 TLS 的攻击叫做僵局,其中使用非常弱的临时 DH 密钥来传输对称密钥。如果对称密码很强,而 DH 密钥是出口级(小于 1,024 位),IE 不易受到攻击,并且会关闭连接。
某些应用程序即使使用非导出对称密码,也只提供 512 位临时 DH 密钥,从而导致这种情况。这提供的安全性很低,IE 理所当然地会拒绝它。其他浏览器可能很快也会这样做。
您需要查看应用程序的 TLS 层如何生成临时 DH 密钥。如果它只有 512 位参数,您应该立即添加对 1024 位参数的支持,并仅将 512 位参数与导出密码一起使用(或者,如果您不支持导出密码,则将其删除)。
如果你使用 OpenSSL,请查看你的调用控制临时 DH 密钥选择的函数。将 OpenSSL 升级到不易受 logjam 影响的当前版本并修改应用程序以不调用任何这些函数可能就足够了。但是,您可能应该让有能力的安全专家审查您选择临时 DH 密钥的机制,并确保它不易受 logjam 影响或完全损坏(例如始终使用 512 位密钥)。