代码之家  ›  专栏  ›  技术社区  ›  user1074593

内部站点的Chrome错误“服务器具有弱的临时Diffie-Hellman公钥”

diffie-hellman ssl-certificate ssl google-chrome
  •  3
  • user1074593  · 技术社区  · 9 年前

    Chrome似乎在过去一周发布了更新。这已经导致至少50个内部应用程序抛出如下所示的异常。我在互联网上研究过的解决方案是,用更强的密码更新应用服务器。然而,我们的应用程序分布在IIS、tomcat、jboss、weblogic和websphere上。期望所有这些应用程序服务器都更新是不切实际的。有没有办法让Chrome允许这些网站“例外”?由于这些网站都是内部网站,因此安全性并不是真正的问题。

    很显然,Firefox抛出了相同的异常,但有一个文档记录的修复方法(通过更改Firefox中的某些设置)。有人知道Chrome中有类似的修复程序吗。

    错误 

    Server has a weak ephemeral Diffie-Hellman public key

ERR_SSL_WEAK_SERVER_EPHEMERAL_DH_KEY
    4 回复  |  直到 9 年前
        1
  •  3
  •   Maximillian Laumeister    9 年前

    我找到了一个临时解决方法,该方法应禁用导致该错误的Chrome中的安全检查。不用说,你不想在浏览打开的网页时使用它。

    启动Chrome时,尝试将以下命令参数添加到Chrome中: 

    --cipher-suite-blacklist=0x0088,0x0087,0x0039,0x0038,0x0044,0x0045,0x0066,0x0032,0x0033,0x0016,0x0013

    我在 this google forum post 。希望这会有所帮助!

        2
  •  1
  •   Lucas Garron    9 年前

    虽然Maximilian的解决方法目前可能适用于您,但没有支持添加异常的方法。 唯一安全的解决方案是升级服务器,一个不那么脆弱的解决方案可能是在某些服务器前面放置更好的代理。

        3
  •  0
  •   Jérémie Bertrand Alex Kumbhani    9 年前

    我发现这个问题是因为应用服务器上运行的JDK版本。

    如果您的weblogic/apache服务器运行在java JRockit版本“1.6.0_33”&“1.6.0_45”或更低,您将面临此问题。

    解决方案是将java升级到更高版本,如“1.6.0_101”和更高版本并重新启动应用服务器。

        4
  •  0
  •   Danh    8 年前

    我已经解决了这个问题,但没有升级jrockit,而是像这样配置ssl部分 

    <ssl>
    <enabled>true</enabled>
    <hostname-verifier xsi:nil="true"></hostname-verifier>
    <hostname-verification-ignored>false</hostname-verification-ignored>
    <export-key-lifespan>500</export-key-lifespan>
    <client-certificate-enforced>false</client-certificate-enforced>
    <two-way-ssl-enabled>false</two-way-ssl-enabled>
    <ssl-rejection-logging-enabled>true</ssl-rejection-logging-enabled>
    <inbound-certificate-validation>BuiltinSSLValidationOnly</inbound-certificate-validation>
    <outbound-certificate-validation>BuiltinSSLValidationOnly</outbound-certificate-validation>
    <allow-unencrypted-null-cipher>false</allow-unencrypted-null-cipher>
    <use-server-certs>false</use-server-certs>
    <jsse-enabled>true</jsse-enabled>
</ssl>

    无法确切地告诉你有什么不同,但它用chrome解决了SSL上的许多不同问题

    推荐文章
    darwhite  ·  Dom未在web浏览器for web中显示所有内容。WhatsAppcom[关闭]
    2 年前
    gagan  ·  我想使用django服务器将我的android studio应用程序与paypal restapi集成
    2 年前
    Greta  ·  硒无法获取元素。使用python和web驱动程序时显示文本
    2 年前
    user2439278  ·  ChromeDriver未能在Docker无头机器人框架内启动
    2 年前
    Scobee  ·  Getting[Severy]:尝试捕获页面时,从呈现程序接收消息时超时:10.000
    2 年前
    Alfred Huang  ·  如何在Chrome浏览器按键事件中捕获'Ctrl+1'热键?
    2 年前
    Samy Mostakim  ·  chrome正常工作,但firefox给我这个erorr
    2 年前
    mk_  ·  Selenium-阅读在新选项卡中打开的pdf文件,但不包含url
    6 年前
    milan  ·  如果文本与所提供的对象匹配,请将其超链接
    6 年前
    user332951  ·  Google chrome api javascript检测浏览器中打开的文件
    6 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号