Zmuś Chrome, aby zignorował „słaby efemeryczny klucz publiczny Diffie-Hellmana”

17

Z aktualizacją Chrome do V45, to blokowanie dostępu do stron o słabych ephermeral kluczy publicznych DiffieHellman. Rozumiem, że to z powodu impasu. Rozumiem, że przejście od https do http to „rozwiązanie” w niektórych przypadkach.

Jednak nie mogę przełączyć z https do http, bo jestem automatycznie przekierowany do https przez oprogramowanie internetowej używamy w naszym Intranecie.

Oczywiście rozwiązaniem byłoby zmiana zabezpieczeń różnych serwerów intranetowych w celu zabezpieczenia przed logjamem, rozumiem to, ale nie jest to odpowiednia opcja w tej chwili i nie mogę wykonać żadnej pracy, dopóki nie zostanie naprawiona. Bo to intranet i po podłączeniu w ogóle wymaga, aby jeden być fizycznie tutaj, ryzyko jest nikła.

Czy jest jakiś sposób, że mogę kontynuować stron dostępu poprzez protokół https, ze słabymi efemerycznych kluczy publicznych DiffieHellman w Chrome w wersji 45?

google-chrome  security  https 
Raine Dragon
źródło
Za: productforums.google.com/forum/#!topic/chrome/xAMNtyxfoYM wydaje się możliwe, aby wyłączyć poszczególne garnitury szyfr, aby obejść ten problem. Poza oczywistym (zmniejszając bezpieczeństwo zwiększa ryzyko w sieciach zewnętrznych), czy są jakieś wady do korzystania ten w intranecie? I więcej informacji na: fehlis.blogspot.com/2013/12/... code.google.com/p/chromium/issues/detail?id=58833
Raine Smok

Odpowiedzi:

8

Hacky fix obejść ten problem (Mac OS X)

  • Uruchomić to w linii poleceń, aby obejść ten problem podczas uruchamiania Chrome

Chrom:

open /Applications/Google\ Chrome.app --args --cipher-suite-blacklist=0x0088,0x0087,0x0039,0x0038,0x0044,0x0045,0x0066,0x0032,0x0033,0x0016,0x0013

Kanarek: 

open /Applications/Google\ Chrome\ Canary.app --args --cipher-suite-blacklist=0x0088,0x0087,0x0039,0x0038,0x0044,0x0045,0x0066,0x0032,0x0033,0x0016,0x0013

dla Firefoksa

  • Idź do about: config
  • Szukaj security.ssl3.dhe_rsa_aes_128_shaisecurity.ssl3.dhe_rsa_aes_256_sha
  • Ustaw je zarówno do false.

UWAGA: Trwale fix byłoby zaktualizować klucz DH o długości> 1024

user38814
źródło
5

Rzeczywiście wydaje się, że przeglądarki poważnie potraktowały problem Diffie-Hellmana z kluczami o długości mniejszej niż 1024, co jest po części świetną wiadomością, ale z drugiej strony wygenerowało wielu złych użytkowników Chrome .

Poprawkę dotyczącą tego problemu (i wiele innych związanych z bezpieczeństwem) jest obowiązkiem administratorów, tak jak ja to rozumiem, decyzja blokowanie strony internetowej, która oferuje słaby 512 bit lub dolny przycisk DiffieHellman jest miarą ciśnienia skierowany do tych, którzy zarządzają bezpieczeństwem w zdalnych witrynach, co ma negatywny wpływ na użytkowników.

Jest to obecnie możliwe do listy zablokowanych jakąś szyfrów podczas uruchamiania przeglądarki Google Chrome, uruchamiając go z --cipher-suite-blacklist= 0x0088,0x0087,0x0039,0x0038,0x0044,0x0045,0x0066,0x0032,0x0033,0x0016,0x0013parametrem, który wydaje się wyłączyć te związane z luki impasu i pozwala użytkownikom dołączyć do witryn, ale twierdzą, że powinno to być odpowiedzialność administratorów aby rozwiązać problem z ich klucze Diffie-Hellmann za.

nKn
źródło
Dziękuję nKn, działałem jak urok z Cisco Finesse, ponieważ Chrome zaktualizował się do wersji 45 ... i nie mogłem uzyskać dostępu do programu, teraz jestem.
Christopher Chipps,
0

Jedną z rzeczy, które zadawane było czy nie było żadnych wadą wykorzystaniem obejścia wymienionych (lub za pomocą innych, nie wymienionych) w konfiguracji sieci intranet. Krótka odpowiedź jest taka, że ​​tak długo, jak serwery zaangażowane są przy użyciu słabych kluczy, serwery zaangażowane będą podatne na każdym systemie używając ataku impasu, w zależności od rodzaju serwera serwer może następnie być zagrożona serwer, który może propagować wystawia innych klientów uzyskujących dostęp do serwera.

Dwa nie mało prawdopodobne scenariusze to laptop, który został zainfekowany off intranetu dostępu do serwera wewnętrznego, kiedy podłączyć do intranetu ponownie lub przeglądarka skonfigurowany ignorować problemu (jak zasugerowano powyżej i gdzie indziej), który jest aktualnie używany do uzyskania dostępu do Internetu, a które zdarza się połączyć z zaatakowanym serwerem będącym punktem wyjścia do atakowania serwerów intranetowych.

Ponieważ nie jestem osobiście zaznajomiony ze wszystkimi problemami występującymi wady logjamu, nie mogę powiedzieć, czy któraś z tych dwóch sytuacji jest szczególnie prawdopodobna. Z własnego doświadczenia wynika, że ​​administratorzy systemów z serwerami internetowymi mają tendencję do wyprzedzania takich problemów, jak tylko mogą. To powiedziawszy, z mojego doświadczenia wynika, że ​​administratorzy serwerów intranetowych zwykle robią takie rzeczy, jak tworzenie witryn ładnych, zanim rozwiążą problemy bezpieczeństwa serwera.

Rusty YouDon'tNeedHisLastName
źródło
0

W obliczu tego samego problemu. Jeśli jesteś facetem po stronie serwera, po prostu dodaj następujące wiersze do złącza 443 w pliku server.xml tomcat

sslProtocols = "TLSv1, TLSv1.1, TLSv1.2 szyfr" = "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, SSL_RSA_WITH_RC4_128_SHA"

To pomoże Ci rozwiązać ten problem kluczy SSL.

Kiran
źródło
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.