Z aktualizacją Chrome do V45, to blokowanie dostępu do stron o słabych ephermeral kluczy publicznych DiffieHellman. Rozumiem, że to z powodu impasu. Rozumiem, że przejście od https do http to „rozwiązanie” w niektórych przypadkach.
Jednak nie mogę przełączyć z https do http, bo jestem automatycznie przekierowany do https przez oprogramowanie internetowej używamy w naszym Intranecie.
Oczywiście rozwiązaniem byłoby zmiana zabezpieczeń różnych serwerów intranetowych w celu zabezpieczenia przed logjamem, rozumiem to, ale nie jest to odpowiednia opcja w tej chwili i nie mogę wykonać żadnej pracy, dopóki nie zostanie naprawiona. Bo to intranet i po podłączeniu w ogóle wymaga, aby jeden być fizycznie tutaj, ryzyko jest nikła.
Czy jest jakiś sposób, że mogę kontynuować stron dostępu poprzez protokół https, ze słabymi efemerycznych kluczy publicznych DiffieHellman w Chrome w wersji 45?
źródło
Odpowiedzi:
Hacky fix obejść ten problem (Mac OS X)
Chrom:
Kanarek:
dla Firefoksa
security.ssl3.dhe_rsa_aes_128_sha
isecurity.ssl3.dhe_rsa_aes_256_sha
false
.UWAGA: Trwale fix byłoby zaktualizować klucz DH o długości> 1024
źródło
Rzeczywiście wydaje się, że przeglądarki poważnie potraktowały problem Diffie-Hellmana z kluczami o długości mniejszej niż 1024, co jest po części świetną wiadomością, ale z drugiej strony wygenerowało wielu złych użytkowników Chrome .
Poprawkę dotyczącą tego problemu (i wiele innych związanych z bezpieczeństwem) jest obowiązkiem administratorów, tak jak ja to rozumiem, decyzja blokowanie strony internetowej, która oferuje słaby 512 bit lub dolny przycisk DiffieHellman jest miarą ciśnienia skierowany do tych, którzy zarządzają bezpieczeństwem w zdalnych witrynach, co ma negatywny wpływ na użytkowników.
Jest to obecnie możliwe do listy zablokowanych jakąś szyfrów podczas uruchamiania przeglądarki Google Chrome, uruchamiając go z
--cipher-suite-blacklist= 0x0088,0x0087,0x0039,0x0038,0x0044,0x0045,0x0066,0x0032,0x0033,0x0016,0x0013
parametrem, który wydaje się wyłączyć te związane z luki impasu i pozwala użytkownikom dołączyć do witryn, ale twierdzą, że powinno to być odpowiedzialność administratorów aby rozwiązać problem z ich klucze Diffie-Hellmann za.źródło
Jedną z rzeczy, które zadawane było czy nie było żadnych wadą wykorzystaniem obejścia wymienionych (lub za pomocą innych, nie wymienionych) w konfiguracji sieci intranet. Krótka odpowiedź jest taka, że tak długo, jak serwery zaangażowane są przy użyciu słabych kluczy, serwery zaangażowane będą podatne na każdym systemie używając ataku impasu, w zależności od rodzaju serwera serwer może następnie być zagrożona serwer, który może propagować wystawia innych klientów uzyskujących dostęp do serwera.
Dwa nie mało prawdopodobne scenariusze to laptop, który został zainfekowany off intranetu dostępu do serwera wewnętrznego, kiedy podłączyć do intranetu ponownie lub przeglądarka skonfigurowany ignorować problemu (jak zasugerowano powyżej i gdzie indziej), który jest aktualnie używany do uzyskania dostępu do Internetu, a które zdarza się połączyć z zaatakowanym serwerem będącym punktem wyjścia do atakowania serwerów intranetowych.
Ponieważ nie jestem osobiście zaznajomiony ze wszystkimi problemami występującymi wady logjamu, nie mogę powiedzieć, czy któraś z tych dwóch sytuacji jest szczególnie prawdopodobna. Z własnego doświadczenia wynika, że administratorzy systemów z serwerami internetowymi mają tendencję do wyprzedzania takich problemów, jak tylko mogą. To powiedziawszy, z mojego doświadczenia wynika, że administratorzy serwerów intranetowych zwykle robią takie rzeczy, jak tworzenie witryn ładnych, zanim rozwiążą problemy bezpieczeństwa serwera.
źródło
W obliczu tego samego problemu. Jeśli jesteś facetem po stronie serwera, po prostu dodaj następujące wiersze do złącza 443 w pliku server.xml tomcat
sslProtocols = "TLSv1, TLSv1.1, TLSv1.2 szyfr" = "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, SSL_RSA_WITH_RC4_128_SHA"
To pomoże Ci rozwiązać ten problem kluczy SSL.
źródło