บังคับให้ Chrome ละเว้น "รหัสสาธารณะที่อ่อนแอแบบชั่วคราว Diffie-Hellman"

เมื่อมีการอัปเดต Chrome เป็น v45 จะเป็นการปิดกั้นการเข้าถึงหน้าเว็บด้วยกุญแจสาธารณะแบบ Diffie-Hellman ที่อ่อนแอมาก ฉันเข้าใจว่านี่เป็นเพราะ Logjam ฉันเข้าใจว่าการเปลี่ยนจาก https เป็น http เป็นวิธีแก้ปัญหาในบางกรณี

อย่างไรก็ตามฉันไม่สามารถเปลี่ยนจาก https เป็น http เนื่องจากฉันถูกเปลี่ยนเส้นทางอัตโนมัติไปยัง https โดยซอฟต์แวร์บนเว็บที่เราใช้ในอินทราเน็ตของเรา

เห็นได้ชัดว่าวิธีแก้ปัญหาคือให้ความปลอดภัยเปลี่ยนอินทราเน็ตเซิร์ฟเวอร์ต่าง ๆ ให้ปลอดภัยจาก logjam ฉันเข้าใจว่า แต่นั่นไม่ใช่ตัวเลือกในนาทีนี้และฉันไม่สามารถทำงานได้อีกจนกว่าจะได้รับการแก้ไข เพราะมันเป็นอินทราเน็ตและเชื่อมต่อกันเลยต้องการให้อยู่ที่นี่ทางกายภาพความเสี่ยงคือจิ๋ว

มีวิธีใดบ้างที่ฉันจะสามารถเข้าถึงหน้าต่างๆผ่านทางโปรโตคอล https ได้ด้วยรหัสสาธารณะที่อ่อนแอแบบชั่วคราว Diffie-Hellman ใน Chrome รุ่น 45

แก้ไขการแฮ็กเพื่อแก้ไขปัญหานี้ (Mac OSX)

• เรียกใช้สิ่งนี้ใน commandline เพื่อแก้ไขปัญหาขณะเปิดใช้งาน Chrome

โครเมียม:

open /Applications/Google\ Chrome.app --args --cipher-suite-blacklist=0x0088,0x0087,0x0039,0x0038,0x0044,0x0045,0x0066,0x0032,0x0033,0x0016,0x0013

Canary:

open /Applications/Google\ Chrome\ Canary.app --args --cipher-suite-blacklist=0x0088,0x0087,0x0039,0x0038,0x0044,0x0045,0x0066,0x0032,0x0033,0x0016,0x0013

สำหรับ Firefox

• ไปที่ about: config
• ค้นหาsecurity.ssl3.dhe_rsa_aes_128_shaและsecurity.ssl3.dhe_rsa_aes_256_sha
• falseตั้งพวกเขาทั้งสองไป

หมายเหตุ: การแก้ไขอย่างถาวรจะเป็นการอัพเดตคีย์ DH ที่มีความยาว> 1024

อันที่จริงดูเหมือนว่าเบราว์เซอร์ได้ดำเนินการอย่างจริงจังปัญหา Diffie-Hellman กับคีย์ต่ำกว่า 1024 ความยาวซึ่งในส่วนนี้เป็นที่ยอดเยี่ยมข่าว แต่ในทางกลับกันก็ได้สร้างจำนวนมากของผู้ใช้ Chrome โกรธ

การแก้ไขสำหรับปัญหานี้ (และอื่น ๆ อีกมากมายที่เกี่ยวข้องกับความปลอดภัย) เป็นความรับผิดชอบของ sysadmins ดังนั้นเมื่อฉันเข้าใจแล้วการตัดสินใจบล็อกเว็บไซต์ใด ๆ ที่มีคีย์ Diffie-Hellman ที่ต่ำกว่า 512 บิตหรือต่ำกว่านั้นเป็นตัวชี้วัดความกดดัน ผู้ที่จัดการด้านความปลอดภัยบนไซต์ระยะไกลด้วย"ข้อเสีย"ของผู้ใช้ที่ได้รับผลกระทบ

ปัจจุบันเป็นไปได้ที่จะขึ้นบัญชีดำ Cipher Suites เมื่อเปิดเบราว์เซอร์ Google Chrome ด้วยการเรียกใช้--cipher-suite-blacklist= 0x0088,0x0087,0x0039,0x0038,0x0044,0x0045,0x0066,0x0032,0x0033,0x0016,0x0013พารามิเตอร์ซึ่งดูเหมือนจะปิดการใช้งานที่เกี่ยวข้องกับช่องโหว่ LogJam และอนุญาตให้ผู้ใช้เข้าร่วมเว็บไซต์ แต่ฉันยืนยันว่ามันควรจะเป็นความรับผิดชอบของ sysadmins เพื่อแก้ไขปัญหาด้วยปุ่มของ Diffie-Hellmann

หนึ่งในสิ่งที่คุณถามคือหากมีข้อเสียเปรียบใด ๆ ในการใช้วิธีแก้ไขปัญหาที่ระบุไว้ (หรือใช้รายการอื่นที่ไม่อยู่ในรายการ) ในการตั้งค่าอินทราเน็ต คำตอบสั้น ๆ ก็คือตราบใดที่เซิร์ฟเวอร์ที่เกี่ยวข้องกำลังใช้คีย์ที่ไม่ดีเซิร์ฟเวอร์ที่เกี่ยวข้องจะไวต่อระบบใด ๆ ที่ใช้การโจมตี logjam และขึ้นอยู่กับลักษณะของเซิร์ฟเวอร์ที่เซิร์ฟเวอร์นั้นอาจเป็นเซิร์ฟเวอร์ที่ถูกบุกรุกซึ่งอาจแพร่กระจาย ปัญหาให้กับลูกค้ารายอื่นที่เข้าถึงเซิร์ฟเวอร์

สถานการณ์ที่ไม่น่าเป็นไปได้สองอย่างคือแล็ปท็อปที่ติดเชื้อจากอินทราเน็ตที่เข้าถึงเซิร์ฟเวอร์ภายในเมื่อพวกเขาเชื่อมต่อกับอินทราเน็ตอีกครั้งหรือเบราว์เซอร์ที่กำหนดค่าให้ละเว้นปัญหา (ตามที่แนะนำข้างต้นและที่อื่น ๆ ) เกิดขึ้นกับการเชื่อมต่อกับเซิร์ฟเวอร์ที่ถูกบุกรุกซึ่งเป็นจุดกระโดดสำหรับโจมตีเซิร์ฟเวอร์อินทราเน็ตของคุณ

เนื่องจากฉันไม่คุ้นเคยกับปัญหาทั้งหมดที่เกิดจากข้อบกพร่องของ logjam ฉันไม่สามารถพูดได้ว่าทั้งสองสถานการณ์มีแนวโน้มที่จะเกิดขึ้นโดยเฉพาะหรือไม่ ประสบการณ์ของฉันเองคือการดูแลระบบด้วยเซิร์ฟเวอร์ที่หันหน้าเข้าหาอินเทอร์เน็ตมักจะเป็นปัญหาที่ไกลเกินกว่าที่พวกเขาจะทำได้ ที่กล่าวว่าประสบการณ์ของฉันยังเป็นที่ผู้ดูแลระบบเซิร์ฟเวอร์อินทราเน็ตมีแนวโน้มที่จะทำสิ่งต่าง ๆ เช่นทำให้เว็บไซต์สวยก่อนที่จะแก้ไขปัญหาความปลอดภัยของเซิร์ฟเวอร์

ประสบปัญหาเดียวกัน ถ้าคุณเป็นฝั่งเซิร์ฟเวอร์ให้เพิ่มบรรทัดต่อไปนี้ในตัวเชื่อมต่อ 443 ใน server.xml tomcat

sslProtocols = "TLSv1, TLSv1.1, TLSv1.2" ยันต์ = "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, SSL_RSA_WITH_RC4_128_SHA"

สิ่งนี้จะช่วยคุณแก้ไขปัญหาคีย์ SSL นี้