Correção: o servidor tem uma chave pública Diffie-Hellman efêmera fraca

Os usuários recebem a mensagem de erro 'O servidor tem uma chave pública Diffie-Hellman efêmera fraca ' quando tentam acessar um site do computador, mas os protocolos de segurança não estão configurados corretamente. Essa mensagem de erro não significa que algo está errado com o usuário final. Esse problema se origina no lado do servidor, onde as configurações de segurança não estão corretas. Ainda existem algumas soluções alternativas para acessar o site, mas o problema deve ser corrigido adequadamente pelo webmaster.

O servidor tem uma chave pública Diffie-Hellman efêmera fraca

A troca de chaves Diffie-Hellman (DH) é um método de troca de chaves criptográficas em um canal público. DH é um dos exemplos práticos mais fáceis de troca de chave pública implementado no campo da criptografia. Máquinas servidoras e clientes trocam informações de vez em quando com as informações seguras em chaves criptográficas. Se DH for usado para a transferência e a chave DH for fraca, o navegador se recusará a estabelecer uma conexão para proteger sua privacidade.

O que causa o erro 'O servidor tem uma chave pública Diffie-Hellman efêmera fraca'?

Como mencionado antes, essa mensagem de erro indica que há algum problema no lado do servidor; não no seu fim. A configuração não está definida corretamente, o que faz com que o protocolo de segurança SSL3 falhe e, portanto, restrinja seu acesso ao site.

O máximo que você pode fazer é desabilitar o SSL3 do seu navegador e acessar o site. Observe que você pode conseguir acessá-lo, mas a segurança da conexão não será garantida. Para webmasters do lado do servidor, você precisa configurar seu site corretamente para que os usuários possam se conectar a ele de maneira adequada.

Solução 1: Desativando SSL3 (lado do cliente)

Antes de darmos algumas dicas sobre como corrigir o erro no lado do servidor, abordaremos como o cliente (você, o usuário) pode ignorar essa mensagem de erro e ainda acessar o site. SSL3 (Secure Sockets Layer) é um padrão de segurança para estabelecer um link criptografado entre seu navegador e o servidor. Podemos desabilitar SSL3 em seu navegador e ver se isso corrige o problema.

Aqui estamos demonstrando como desabilitar SSL3 no Firefox. Você pode replicar as etapas em seu navegador.

  1. Abra o Firefox e digite o seguinte na barra de endereço “ about: config ”. Uma vez nas configurações, procure por segurança na barra de pesquisa.
sobre: ​​config no Firefox
  1. Agora todas as configurações relacionadas à segurança serão listadas. Pesquise as seguintes entradas:
security.ssl3.dhe_rsa_aes_128_sha security.ssl3.dhe_rsa_aes_256_sha

Clique com o botão direito em cada um deles e clique em Alternar . Se o valor for verdadeiro, será falso.

Desativando SSL3 no Firefox
  1. Após fazer as alterações, reinicie o Firefox e tente acessar o site novamente. Verifique se o problema foi resolvido.

Para o Google Chrome, você executa os seguintes comandos na linha de comando e resolve o problema.

  1. Pressione Windows + S, digite “ prompt de comando ” na caixa de diálogo, clique com o botão direito do mouse no aplicativo e selecione Executar como administrador .
  2. Uma vez no prompt de comando elevado, execute os seguintes comandos:
open / Applications / Google \ Chrome.app --args --cipher-suite-blacklist = 0x0088,0x0087,0x0039,0x0038,0x0044,0x0045,0x0066,0x0032,0x0033,0x0016,0x0013
Desativando SSL3 no Google Chrome
  1. Agora tente acessar o site e verifique se a mensagem de erro foi contornada.

Solução 2: definir uma chave pública DH adequada (lado do servidor)

Se você é o webmaster, obviamente sabe que está usando a troca de chaves Diffie-Hellman em seu servidor / site. É proposto que você defina a chave com mais de 1024 (bits) . Quanto mais longa for a chave, mais segura será a conexão entre o servidor / site e o navegador.

Se você for um usuário que está enfrentando o erro ao acessar a página de administração de algum hardware de rede, certifique-se de que esteja atualizado com a compilação mais recente. Houve até um lançamento oficial do software pela Netgear, onde ele foi atualizado apenas para conter o próprio bug.