服务器有一个弱的临时 Diffie-Hellman 公钥。如何绕过它？

Question

当我尝试访问特定网站（那个：https://login.uj.edu.pl）时，我收到了 ERR_INVALID_ARGUMENT 错误。问题是：“服务器有一个弱的临时 Diffie-Hellman 公钥”。 有关该问题的更多信息：https://productforums.google.com/forum/#!topic/chrome/o3vZD-Mg2Ic

我知道它应该由网站管理员修复，但在它发生之前，无论如何我都必须每天访问该页面。我找到了一个 Firefox 的扩展来避免这个错误：https://addons.mozilla.org/en-us/firefox/addon/disable-dhe/

现在我想摆脱 Google Chrome 中的错误（实际上是 Chromium）。有没有可能让它发挥作用？这是我大学的页面，站点管理员可能需要数年时间才能解决该安全连接问题。

奇怪的是，这个问题只发生在 Linux 中，在所有浏览器中。在 Windows、Chrome-OS 或 Android 中没有任何问题。我知道使用不安全的连接是错误的，但在这种情况下我别无选择。

编辑： 我无法接受任何解决方案，因为我尝试访问的站点将其加密更改为正确的。现在我无法测试您的解决方案，因为该问题已由站点管理员解决。

Answer 1

我在this stackoverflow question找到了apache tomcat的解决方案，我只是复制解决方案：

只需编辑“conf/server.xml”，将“ciphers”属性添加到您的 https 连接器：

 <Connector
        ...
        ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA"
        ...

实际上，您明确定义了允许的密码列表，不包括 Diffie-Hellman 密码（名称中带有“DHE”的密码）。

Answer 2

我也遇到了这个错误，我重置了 chrome 设置来修复它：Settings > show advanced settings > Reset setting

Answer 3

解决办法是：

在浏览器中输入（我在 Iceweasel 中试过）

    about:config 

搜索

    security.ssl3.dhe_rsa_aes_128_sha 

    security.ssl3.dhe_rsa_aes_256_sha 

将它们都设置为false（只需双击将它们设置为false 或true）。

就是这样！

Answer 4

在你的 tomcat 中打开 Server.xml 文件并设置属性“ciphers”

<Connector port="8007" protocol="AJP/1.3" redirectPort="8443" ciphers="SSL_RSA_WITH_RC4_128_SHA" />

Answer 5

在 Fireforx 我遇到了同样的问题，我做了以下更改，它对我有用，

火狐：

1. 从浏览器选项卡转到 about:config

2. 搜索 security.ssl3.dhe_rsa_aes_128_sha 和 security.ssl3.dhe_rsa_aes_256_sha 参数。

3. 将它们都设置为 false。

Answer 6

快速解决此问题 (Mac OSX)

• 在命令行中运行此命令以解决启动 Chrome 时出现的问题

铬：

• open /Applications/Google\ Chrome.app --args --cipher-suite-blacklist=0x0088,0x0087,0x0039,0x0038,0x0044,0x0045,0x0066,0x0032,0x0033,0x0016,0x0013

金丝雀：

• open /Applications/Google\ Chrome\ Canary.app --args --cipher-suite-blacklist=0x0088,0x0087,0x0039,0x0038,0x0044,0x0045,0x0066,0x0032,0x0033,0x0016,0x0013

对于 Firefox

• 转到 about:config
• 搜索security.ssl3.dhe_rsa_aes_128_sha 和security.ssl3.dhe_rsa_aes_256_sha
• 将它们都设置为 false。

注意：永久修复是更新长度 > 1024 的 DH 密钥

Answer 7

我也遇到过这个问题，@Duccio Fabbri 回答解决了，

 --cipher-suite-blacklist=0x0088,0x0087,0x0039,0x0038,0x0044,0x0045,0x0066,0x0032,0x0033,0x0016,0x0013

我不知道它为什么有效，但它有效，要永久使用它，您可以按照以下步骤操作。

1. 转到浏览器快捷方式
2. 右键单击并转到属性
3. 转到快捷方式选项卡

4. 转到目标文本框，在此您将找到您的 chrome 完整路径，在路径末尾添加上述字符串。 它看起来像

   "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --cipher-suite-blacklist=0x0088,0x0087,0x0039,0x0038,0x0044,0x0045,0x0066,0x0032,0x0033,0x0016 ,0x0013

5. 应用并关闭它。

现在可以了。下次打开的时候。

Answer 8

这个解决方案对我有用：

C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --cipher-suite-blacklist=0x0088,0x0087,0x0039,0x0038,0x0044,0x0045,0x0066,0x0032,0x0033,0x0016,0x0013

Chrome 45 的最新版本（9 月 1 日）包含针对 Logjam 攻击的修复程序，如 https://weakdh.org 中所述，但它引入了此类问题。

我在这个post找到它

Answer 9

在该站点上使用 netsurf (netsurf aur)。我和你在同一条船上。使用 Arch 和 Chromium 和 Firefox 都拒绝进入某些网站。 Netsurf 可以为我完成这项工作。

Answer 10

您是否有机会使用Chrome development channel，或者可能是 Beta 频道？我知道开发通道目前对 SSL 密钥有一些更严格的规则，Beta 也可能如此。您可以尝试从https://www.chromium.org/getting-involved/dev-channel 获取稳定版本，看看它是否运行没有错误。