Chrome को "कमजोर अल्पकालिक डिफी-हेलमैन सार्वजनिक कुंजी" को अनदेखा करना

17

Chrome से v45 के अपडेट के साथ, यह कमजोर एफेफर्मल डिफी-हेलमैन सार्वजनिक कुंजी वाले पृष्ठों तक पहुंच को रोक रहा है। मैं समझता हूं कि यह लोगजाम के कारण है। मैं समझता हूं कि कुछ मामलों में https से http पर स्विच करना "समाधान" है।

हालाँकि, मैं https से http पर स्विच नहीं कर सकता क्योंकि मैं वेब-आधारित सॉफ़्टवेयर द्वारा हमारे द्वारा इंट्रानेट पर उपयोग किए जाने वाले ऑटो पर पुनर्निर्देशित हूं।

जाहिर है, समाधान यह होगा कि सुरक्षा को बदलने के लिए विभिन्न इंट्रानेट सर्वरों को लॉगजम से सुरक्षित किया जाए, मैं समझता हूं कि, लेकिन यह इस मिनट के लिए सही विकल्प नहीं है, और जब तक यह तय नहीं हो जाता, तब तक मैं कोई और काम नहीं कर सकता। क्योंकि यह एक इंट्रानेट है और बस सभी को जोड़ने के लिए आवश्यक है कि कोई शारीरिक रूप से यहां हो, जोखिम कम हो।

क्या कोई ऐसा तरीका है जो मैं क्रोम प्रोटोकॉल 45 में कमजोर एपेरल डिफी-हेलमैन सार्वजनिक कुंजी के साथ https प्रोटोकॉल के माध्यम से पृष्ठों तक पहुंच जारी रख सकता हूं?

google-chrome  security  https 
राइन ड्रैगन
स्रोत
प्रति: productforums.google.com/forum/# ​​.topic / chrome / xAMNtyxfoYM इस मुद्दे के आसपास काम करने के लिए व्यक्तिगत सिफर सूट को निष्क्रिय करना संभव प्रतीत होता है। स्पष्ट के बाहर (आपकी सुरक्षा को कम करने से बाहरी नेटवर्क पर आपके जोखिम बढ़ जाते हैं), क्या इंट्रानेट पर इसका उपयोग करने के लिए कोई डाउनसाइड है? और अधिक जानकारी के लिए: fehlis.blogspot.com/2013/12/… code.google.com/p/chromium/issues/detail?id=58833
Raine Dragon

जवाबों:

8

Hacky इस मुद्दे (मैक OSX) के आसपास पाने के लिए तय

  • Chrome लॉन्च करते समय समस्या को हल करने के लिए इसे कमांडलाइन में चलाएँ

क्रोम:

open /Applications/Google\ Chrome.app --args --cipher-suite-blacklist=0x0088,0x0087,0x0039,0x0038,0x0044,0x0045,0x0066,0x0032,0x0033,0x0016,0x0013

कैनरी: 

open /Applications/Google\ Chrome\ Canary.app --args --cipher-suite-blacklist=0x0088,0x0087,0x0039,0x0038,0x0044,0x0045,0x0066,0x0032,0x0033,0x0016,0x0013

फ़ायरफ़ॉक्स के लिए

  • के बारे में जाने: config
  • security.ssl3.dhe_rsa_aes_128_shaऔर खोजेंsecurity.ssl3.dhe_rsa_aes_256_sha
  • उन दोनों को सेट करें false

नोट: स्थायी रूप से DH कुंजी को लंबाई> 1024 के साथ अद्यतन करने के लिए स्थायी रूप से ठीक किया जाएगा

user38814
स्रोत
5

दरअसल, ऐसा लगता है कि ब्राउज़रों ने 1024 की तुलना में कम लंबाई में डिफी-हेलमैन मुद्दे को गंभीरता से लिया है, जो कि एक हिस्से में बहुत अच्छी खबर है, लेकिन दूसरी ओर, इसने बहुत सारे क्रोधित क्रोम उपयोगकर्ताओं को उत्पन्न किया है ।

इस मुद्दे (और सुरक्षा से संबंधित कई अन्य) के लिए फिक्स sysadmins की जिम्मेदारी है, इसलिए जैसा कि मैंने इसे समझा, कमजोर 512 बिट या कम डिफिए-हेलमैन कुंजी प्रदान करने वाली किसी भी वेबसाइट को अवरुद्ध करने का निर्णय दबाव का एक उपाय है। जो दूरस्थ साइटों पर सुरक्षा का प्रबंधन करते हैं, उन उपयोगकर्ताओं के "डाउनसाइड" प्रभावों को पीड़ित करते हैं।

Google Chrome ब्राउज़र को --cipher-suite-blacklist= 0x0088,0x0087,0x0039,0x0038,0x0044,0x0045,0x0066,0x0032,0x0033,0x0016,0x0013पैरामीटर के साथ चालू करते समय कुछ सिफर सूट को ब्लैकलिस्ट करना वर्तमान में संभव है , जो लॉगजैम भेद्यता से संबंधित लोगों को अक्षम करने के लिए लगता है और उपयोगकर्ताओं को साइटों से जुड़ने की अनुमति देता है, लेकिन मैं जोर देता हूं कि यह sadadmins जिम्मेदारी होनी चाहिए उनके डिफिए-हेलमैन की कुंजी के साथ समस्या को ठीक करने के लिए।

NKN
स्रोत
धन्यवाद, nKn, सिस्को चालाकी के साथ एक आकर्षण की तरह काम किया क्योंकि क्रोम ने संस्करण ४५ में अपडेट किया ... और मैं अब प्रोग्राम का उपयोग करने में असमर्थ था।
क्रिस्टोफर चीप्स
0

आपके द्वारा पूछी गई चीजों में से एक यह थी कि क्या इंट्रानेट सेटअप में सूचीबद्ध वर्कअराउंड (या सूचीबद्ध नहीं अन्य का उपयोग करके) का उपयोग करने के लिए कोई नुकसान था। संक्षिप्त उत्तर यह है कि जब तक इसमें शामिल सर्वर कमजोर कुंजियों का उपयोग कर रहे हैं, तब तक शामिल सर्वर लॉगजम हमले का उपयोग करते हुए किसी भी प्रणाली के लिए अतिसंवेदनशील होंगे, और सर्वर की प्रकृति के आधार पर सर्वर बाद में एक समझौता सर्वर हो सकता है जो प्रचारित कर सकता है। सर्वर तक पहुँचने वाले अन्य ग्राहकों के लिए समस्या।

दो नहीं होने की संभावना नहीं परिदृश्य एक लैपटॉप है जो आंतरिक सर्वर तक पहुंचने वाले इंट्रानेट से संक्रमित हो जाता है जब वे फिर से इंट्रानेट से कनेक्ट होते हैं, या किसी ब्राउज़र को समस्या को अनदेखा करने के लिए कॉन्फ़िगर किया जाता है (जैसा कि ऊपर और अन्य जगहों पर सुझाव दिया गया है) जो वर्तमान में इंटरनेट का उपयोग करने के लिए उपयोग किया जाता है और जो अपने इंट्रानेट सर्वर पर हमला करने के लिए एक कूदने वाले बिंदु से समझौता किए जाने वाले सर्वर से जुड़ने के लिए होता है।

जैसा कि मैं व्यक्तिगत रूप से उन सभी मुद्दों से परिचित नहीं हूं जो लॉगजम दोष प्रस्तुत करता है, मैं यह नहीं कह सकता कि क्या उन दोनों स्थितियों में विशेष रूप से संभावना है। मेरा अपना अनुभव यह है कि इंटरनेट का सामना करने वाले सर्वरों के साथ sysadmins ऐसे मुद्दों से बहुत आगे निकल जाते हैं जितना वे कर सकते हैं। उन्होंने कहा कि मेरा अनुभव यह भी है कि इंट्रानेट सर्वर व्यवस्थापक सर्वर सुरक्षा मुद्दों को संबोधित करने से पहले साइटों को सुंदर बनाने जैसे काम करते हैं।

जंग खाए
स्रोत
0

उसी समस्या का सामना किया। यदि आप सर्वर साइड लड़के हैं, तो server.xml tomcat में केवल 443 कनेक्टर में निम्न पंक्तियाँ जोड़ें

sslProtocols = "TLSv1, TLSv1.1, TLSv1.2" सिफर = "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, SSL_RSA_WITH_RC4_128_SHA"

यह एसएसएल कुंजी समस्या को हल करने में आपकी सहायता करेगा।

किरण
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.