Warning: file_get_contents(/data/phpspider/zhask/data//catemap/9/ssl/3.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Internet explorer weblogic的短暂Diffie-Hellman公钥错误_Internet Explorer_Ssl - Fatal编程技术网
Fatal编程技术网

Internet explorer weblogic的短暂Diffie-Hellman公钥错误

internet-explorer ssl

Internet explorer weblogic的短暂Diffie-Hellman公钥错误,internet-explorer,ssl,Internet Explorer,Ssl,我使用的是weblogic 10.3.6,配置了一个管理服务器和4个托管服务器。在一台侦听SSL端口7299的托管服务器上,已使用密钥大小为2048的证书启用单向SSL。 当我试图使用Internet explorer 9访问部署在启用SSL的托管服务器上的应用程序时,我能够在SSL端口上打开应用程序的主页,但只要我按下应用程序GUI上的任何按钮,它就会将我注销 If I access same application on SSL port using Firefox 38.3.0, It s

我使用的是weblogic 10.3.6,配置了一个管理服务器和4个托管服务器。在一台侦听SSL端口7299的托管服务器上,已使用密钥大小为2048的证书启用单向SSL。 当我试图使用Internet explorer 9访问部署在启用SSL的托管服务器上的应用程序时,我能够在SSL端口上打开应用程序的主页,但只要我按下应用程序GUI上的任何按钮,它就会将我注销

If I access same application on SSL port using Firefox 38.3.0, It shows the following error on browser

Server has a weak ephemeral Diffie-Hellman public key" or ERR_SSL_WEAK_EPHEMERAL_DH_KEY
If you see this error, it means that a secure connection can't be established because of outdated security code on the website. Chrome protects your privacy by preventing you from connecting to these sites. You won't be able to visit this page using Chrome.
If you're a website administrator, we recommend you update your server to support ECDHE and disable DHE. If ECDHE is unavailable, you can instead disable all DHE cipher suites and rely on plain RSA.


Later I got some options that weakens the mozilla firefox security as below.

security.ssl3.dhe_rsa_aes_128_sha
security.ssl3.dhe_rsa_aes_256_sha 

But after setting these variables false in firefox, my applications navigations are fine and works well.


I would add that when the https logs were captured using fiddler, I got to know the below

Client side ciphers available
Ciphers: 
    [C02B]  TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    [C02F]  TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    [C00A]  TLS1_CK_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
    [C009]  TLS1_CK_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
    [C013]  TLS1_CK_ECDHE_RSA_WITH_AES_128_CBC_SHA
    [C014]  TLS1_CK_ECDHE_RSA_WITH_AES_256_CBC_SHA
    [C007]  TLS_ECDHE_ECDSA_WITH_RC4_128_SHA
    [C011]  TLS_ECDHE_RSA_WITH_RC4_128_SHA
    [002F]  TLS_RSA_AES_128_SHA
    [0035]  TLS_RSA_AES_256_SHA
    [000A]  SSL_RSA_WITH_3DES_EDE_SHA
    [0005]  SSL_RSA_WITH_RC4_128_SHA
    [0004]  SSL_RSA_WITH_RC4_128_MD5



and the below are the server side ciphers

server side ciphers available



 <DynamicJSSEListenThread[DefaultSecure] 28 cipher suites enabled:>
SSL_RSA_WITH_RC4_128_MD5
TLS_RSA_WITH_RC4_128_MD5>
SSL_RSA_WITH_RC4_128_SHA>
TLS_RSA_WITH_RC4_128_SHA>
TLS_RSA_WITH_AES_128_CBC_SHA>
TLS_DHE_RSA_WITH_AES_128_CBC_SHA>
TLS_DHE_DSS_WITH_AES_128_CBC_SHA>
SSL_RSA_WITH_3DES_EDE_CBC_SHA>
TLS_RSA_WITH_3DES_EDE_CBC_SHA>
<SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA>
TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA>
SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA>
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA>
SSL_RSA_WITH_DES_CBC_SHA>
TLS_RSA_WITH_DES_CBC_SHA>
SSL_DHE_RSA_WITH_DES_CBC_SHA>
TLS_DHE_RSA_WITH_DES_CBC_SHA>
SSL_DHE_DSS_WITH_DES_CBC_SHA>
TLS_DHE_DSS_WITH_DES_CBC_SHA>
SSL_RSA_EXPORT_WITH_RC4_40_MD5>
TLS_RSA_EXPORT_WITH_RC4_40_MD5>
SSL_RSA_EXPORT_WITH_DES40_CBC_SHA>
TLS_RSA_EXPORT_WITH_DES40_CBC_SHA>
SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA>
TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA>
SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA>
TLS_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA>
TLS_EMPTY_RENEGOTIATION_INFO_SCSV>


There was one solution available on google, to replace the localPolicy.jar and US_export_Policy.jar in JDK with the unlimited encryption version. Although I tried the same, but still the same error persist.

Could you please suggest any fix on weblogic10.3.6 server for the same issue or any setting in IE 9.  

I got the following solutions in the above post.
•Deploy ECDHE Cipher Suites
 •Disable Export Cipher Suites

I am not sure how to do this in weblogic, can you please suggest.

Early response is highly appreciated.

如果我使用Firefox 38.3.0在SSL端口上访问相同的应用程序,它会在浏览器上显示以下错误
服务器具有弱暂时性Diffie-Hellman公钥或错误SSL弱暂时性DH密钥
如果您看到此错误,则表示无法建立安全连接,因为网站上的安全代码已过时。Chrome通过阻止您连接到这些网站来保护您的隐私。您将无法使用Chrome访问此页面。
如果您是网站管理员,我们建议您更新服务器以支持ECDHE并禁用DHE。如果ECDHE不可用,您可以禁用所有DHE密码套件并依赖普通RSA。
后来我得到了一些削弱mozilla firefox安全性的选项,如下所示。
security.ssl3.dhe_rsa_aes_128_sha
security.ssl3.dhe_rsa_aes_256_sha
但是在firefox中将这些变量设置为false之后,我的应用程序导航就可以了,并且运行良好。
我要补充的是,当使用fiddler捕获https日志时,我了解了以下内容
客户端密码可用
密码:
[C02B]TLS_ECDHE_ECDSA_与_AES_128_GCM_SHA256
[C02F]TLS_ECDHE_RSA_与_AES_128_GCM_SHA256
[C00A]TLS1_CK_ECDHE_ECDSA_与_AES_256_CBC_SHA
[C009]TLS1_CK_ECDHE_ECDSA_与_AES_128_CBC_SHA
[C013]TLS1_CK_ECDHE_RSA_与_AES_128_CBC_SHA
[C014]TLS1_CK_ECDHE_RSA_与_AES_256_CBC_SHA
[C007]TLS_ECDHE_ECDSA_与_RC4_128_SHA
[C011]TLS_ECDHE_RSA_与_RC4_128_SHA
[002F]TLS_RSA_AES_128_SHA
[0035]TLS_RSA_AES_256_SHA
[000A]SSL\u RSA\u与\u 3DES\u EDE\u SHA
[0005]SSL\u RSA\u与\u RC4\u 128\u SHA
[0004]SSL\u RSA\u与\u RC4\u 128\u MD5
下面是服务器端密码
服务器端密码可用
SSL_RSA_与_RC4_128_MD5
TLS_RSA_与_RC4_128_MD5>
SSL_RSA_与_RC4_128_SHA>
TLS_RSA_与_RC4_128_SHA>
TLS_RSA_与_AES_128_CBC_SHA>
TLS_DHE_RSA_与_AES_128_CBC_SHA>
TLS_DHE_DSS_与_AES_128_CBC_SHA>
SSL_RSA_与_3DES_EDE_CBC_SHA>
TLS_RSA_与_3DES_EDE_CBC_SHA>
TLS_DHE_RSA_与_3DES_EDE_CBC_SHA>
SSL_DHE_DSS_与_3DES_EDE_CBC_SHA>
TLS_DHE_DSS_与_3DES_EDE_CBC_SHA>
SSL_RSA_与_DES_CBC_SHA>
TLS_RSA_与_DES_CBC_SHA>
SSL_DHE_RSA_与_DES_CBC_SHA>
TLS_DHE_RSA_与_DES_CBC_SHA>
SSL_DHE_DSS_与_DES_CBC_SHA>
TLS_DHE_DSS_与_DES_CBC_SHA>
SSL\u RSA\u导出\u与\u RC4\u 40\u MD5>
TLS_RSA_导出_RC4_40_MD5>
SSL_RSA_导出_与_DES40_CBC_SHA>
TLS_RSA_导出_与_DES40_CBC_SHA>
SSL\u DHE\u RSA\u导出\u与\u DES40\u CBC\u SHA>
TLS_DHE_RSA_导出_与_DES40_CBC_SHA>
SSL_DHE_DSS_导出_与_DES40_CBC_SHA>
TLS_DHE_DSS_导出_与_DES40_CBC_SHA>
TLS\u空\u重新协商\u信息\u SCSV>
google上有一个可用的解决方案,用无限加密版本替换JDK中的localPolicy.jar和US_export_Policy.jar。
您能否建议对weblogic10.3.6服务器上的相同问题或IE 9中的任何设置进行修复。
在上面的帖子中,我得到了以下解决方案。
•部署ECDHE密码套件
•禁用导出密码套件
我不知道如何在weblogic中做到这一点,请您提出建议。
我们非常感谢您的早期响应。
如果您有MOS,请查看此文档…文档ID 1936300.1

您必须使用至少一个最低java版本或更高版本

如果使用jRockit,请将jRockit版本至少更新为1.6.0_101 如果使用Oracle Java 6,请将Java 6更新为最低1.6.0_101 如果使用Oracle Java 7,请将Java 7更新至最低1.7.0_85

您必须至少使用此最低Weblogic服务器版本

WLS 10.3.6.0.12

Weblogic必须利用jsse ssl实现来使用最新的tsl版本并禁用旧的ssl版本(sslv2和sslv3版本)

一旦更新了这两个版本(如果需要),您需要配置JAVA_OPTIONS环境变量。这将禁用旧的ssl版本,并且只允许TLS1和更高版本

导出JAVA_OPTIONS=-Dweblogic.security.SSL.protocolVersion=TLS1

这将解决更新后的firefox和chrome浏览器显示错误“服务器具有弱的临时Diffie-Hellman公钥”的问题“当您导航到该站点时。我对IE没有任何问题,但我们已经升级到比IE9更高的IE版本。这将通过贵宾犬/迪菲·赫尔曼漏洞检查。我仍在试图找出如何使用weblogic实现更强大的2048bit而不是1028bit diffie hellman group,但上述修复至少可以消除错误并允许访问该站点。

Hi Ameeks,在使用weblogic10.3.6升级到jdk 8之后,Google Chrome和Firefox也解决了短暂的Diffie-Hellman公钥错误问题。谢谢你。但在以下版本的IE 8.0.7601.17514 9.0.8112 9.0.8112 11.0.9600中,此修复程序不起作用,应用程序仍在注销。我尝试在Internet explorer设置-->高级-->安全部分中将SSL版本更改为TLS1.0、TLS1.1和TLS1.2。你能建议一下IE中我可能错过的任何修复或设置吗?嗨,Ameeks,在用weblogic10.3.6升级到jdk 8之后,Google Chrome和Firefox中短暂的Diffie-Hellman公钥错误问题也得到了解决。谢谢你。但在以下版本的IE 8.0.7601.17514 9.0.8112 9.0.8112 11.0.9600中,此修复程序不起作用,应用程序仍在注销。我尝试在Internet explorer设置-->高级-->安全部分中将SSL版本更改为TLS1.0、TLS1.1和TLS1.2。可以吗