處理服務器SSL收到了一個弱臨時Diffie-Hellman 密鑰
當我們用火狐瀏覽器打開某個HTTPS網站時可能會失敗,並且出現如下錯誤提示:
安全連接失敗連接某個URL網址時發生錯誤。 在服務器密鑰交換握手信息中 SSL 收到了一個弱臨時 Diffie-Hellman 密鑰。
錯誤碼: ssl_error_weak_server_ephemeral_dh_key)
如果換用谷歌Chrome打開這個相同的網頁也會發生錯誤,並提示:
服務器的瞬時 Diffie-Hellman 公共密鑰過弱
ERR_SSL_WEAK_SERVER_EPHEMERAL_DH_KEY ,打開詳細信息可看到“該錯誤會在連接到安全 (HTTPS)
服務器時發生。 這意味着服務器正在嘗試建立安全連接, 但由於嚴重的配置錯誤,連接會很不安全!在這種情況下, 服務器需要進行修復。
爲了保護您的隱私, “Google Chrome”不會使用不安全的連接。”
如果換用QQ或其他瀏覽器同樣打不開此網站並得到類似Diffie-Hellman 密鑰過弱的錯誤提示。這由於網站服務器上的SSL加密套件過弱造成的,比較早期版本的瀏覽器只支持40或56位加密,此類密鑰較短的加密算法幾前年已經被 證實可能被破解,像新版本火狐、谷歌這種對信息安全要求較爲嚴格的瀏覽器,會主動強制要求網站運營商更新加密套件,以提高網站訪問的安全性。如果您只是普 通的網上用戶需要打開此網站,建議您換用IE、獵豹、Opera瀏覽器打開網頁即可,雖然加密位不強,但總比HTTP網站信息裸奔好很多。
當然,如果您一直習慣用火狐瀏覽器,您也可以通過安裝一個安全插件來修復此強制提升弱臨時Diffie-Hellman 密鑰問題,插件下載地址:https://addons.mozilla.org/en-us/firefox/addon/disable-dhe/
如果您是該問題網站的運營者,您有兩種方法解決該問題,一種是選用Symantec Secure Site Pro SSL證書或者選用Symantec Secure Site Pro with EV SSL證書, 這兩款證書採用的SGC(服務器門控技術)可實現強制加密至Diffie-Hellman 密鑰升級到128位。另一種方法是在您的服務器配置,把早期的40、56位不安全加密套件全部刪除禁用,讓服務器與瀏覽器的SSL傳輸最低接收128位加 密信息,不過這種方法使得我們將放棄過早版本瀏覽器的用戶羣體,他們與服務器的數據交換不會加密,並可能無法打開網站。
如果您目前不是【易維信-EVTrust】的客戶,我們的在線顧問也可以爲您提供任何有關於服務器弱臨時Diffie-Hellman 密鑰相關問題的解決方法,如果您需要我們的技術工程師協助,僅支付少量的人工服務費即可。