Исправление: сервер имеет слабый эфемерный открытый ключ Диффи-Хеллмана

Пользователи видят сообщение об ошибке ‘У сервера слабый эфемерный открытый ключ Диффи-Хеллмана‘ при попытке зайти на веб-сайт со своего компьютера, но протоколы безопасности настроены неверно. Это сообщение об ошибке не означает, что что-то не так на стороне пользователя’. Эта проблема возникает на стороне сервера, где конфигурация безопасности не настроена должным образом. Существует еще несколько обходных путей для доступа к сайту, но проблема должна быть исправлена веб-мастером должным образом.

Обмен ключами Диффи-Хеллмана (DH) — это метод обмена криптографическими ключами по открытому каналу. DH является одним из самых простых практических примеров обмена открытыми ключами, реализованных в области криптографии. Сервер и клиентские машины время от времени обмениваются информацией, хранящейся в криптографических ключах. Если для передачи данных используется DH, а ключ DH слабый, браузер откажется устанавливать соединение, чтобы защитить вашу конфиденциальность.

Что вызывает ошибку ‘Server has a weak ephemeral Diffie-Hellman public key’?

Как уже говорилось, это сообщение об ошибке означает, что проблема возникла на стороне сервера, а не на вашей стороне. Конфигурация настроена неправильно, что приводит к сбою протокола безопасности SSL3 и, следовательно, к ограничению доступа к веб-сайту.

Самое большее, что вы можете сделать, это отключить SSL3 в своем браузере и получить доступ к сайту. Учтите, что вы сможете получить доступ к нему, но безопасность соединения не будет гарантирована. Для веб-мастеров, работающих на сервере, необходимо правильно настроить свой сайт, чтобы пользователи могли подключаться к нему должным образом.

Решение 1: Отключение SSL3 (на стороне клиента)

Прежде чем мы расскажем о том, как исправить ошибку на стороне сервера, мы расскажем о том, как клиент (вы, пользователь) может обойти это сообщение об ошибке и получить доступ к сайту. SSL3 (Secure Sockets Layer) — это стандарт безопасности для установления зашифрованного соединения между вашим браузером и сервером. Мы можем отключить SSL3 в вашем браузере и посмотреть, устранит ли это проблему.

Здесь мы показываем, как отключить SSL3 в Firefox. Вы можете повторить эти шаги в своем браузере.

1. Откройте Firefox и введите в адресной строке следующее «about:config«. Войдя в конфигурацию, найдите в строке поиска пункт безопасность.

2. Теперь все конфигурации, касающиеся безопасности, будут перечислены. Найдите следующие записи:

безопасность.ssl3.dhe_rsa_aes_128_sha

безопасность.ssl3.dhe_rsa_aes_256_sha

Щелкните правой кнопкой мыши на каждой из них и нажмите Переключите. Если значение true, то будет false.

3. После внесения изменений перезапустите Firefox и попробуйте снова зайти на сайт. Проверьте, решена ли проблема.

Для Google Chrome вы можете выполнить следующие команды в командной строке и обойти проблему.

1. Нажмите Windows + S, введите «командная строка» в диалоговом окне, щелкните правой кнопкой мыши на приложении и выберите Запустите от имени администратора.
2. Войдя в открытую командную строку, выполните следующие команды:

открыть /Applications/Google\ Chrome.app --args --cipher-suite-blacklist=0x0088,0x0087,0x0039,0x0038,0x0044,0x0045,0x0066,0x0032,0x0033,0x0016,0x0013

3. Теперь попробуйте зайти на сайт и проверьте, исчезло ли сообщение об ошибке.

Решение 2: Установка правильного открытого ключа DH (на стороне сервера)

Если вы являетесь веб-мастером, вы, очевидно, знаете, что используете обмен ключами Диффи-Хеллмана на своем сервере/веб-сайте. Предлагается установить ключ длиннее 1024 (бит). Чем длиннее ключ, тем более безопасным является соединение между сервером/веб-сайтом и браузером.

Если вы столкнулись с ошибкой при доступе к странице администратора какого-либо сетевого оборудования, убедитесь, что оно обновлено до последней сборки. Компания Netgear даже выпустила официальный релиз программного обеспечения, в котором оно было обновлено как раз для борьбы с этой ошибкой.