今天升級了Firefox,發現之前一個可以訪問的網站被攔截,提示“連接10.0.0.5時發生錯誤。在服務器密鑰交換握手信息中SSL收到了一個弱臨時Diffie-Hellman密鑰。(錯誤碼:ssl_error_weak_server_ephemeral_dh_key),如下圖:
有以下三種解決方法:
方法一:修改tomcat配置,禁用不安全的方式,修改server.xml中的Connector節點如下:
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA"
keystoreFile="/usr/local/apache-tomcat-7.0.62/tomcat.key"
keystorePass="aaa"/>方法二:安裝Disable DHE插件
方法三:打開 about:config
新建或修改以下4個布爾值爲 false 即可(搜索dhe能找到):
security.ssl3.dhe_dss_aes_128_sha
security.ssl3.dhe_rsa_aes_128_sha
security.ssl3.dhe_rsa_aes_256_sha
security.ssl3.dhe_rsa_des_ede3_sha此問題出現在Firefox 39及以上版本中。