Tomcat啟用SSL導致Firefox出現“安全連線失敗”錯誤的解決方法
阿新 • • 發佈:2019-01-27
今天升級了Firefox,發現之前一個可以訪問的網站被攔截,提示“連線10.0.0.5時發生錯誤。在伺服器金鑰交換握手資訊中SSL收到了一個弱臨時Diffie-Hellman金鑰。(錯誤碼:ssl_error_weak_server_ephemeral_dh_key),如下圖:
有以下三種解決方法:
方法一:修改tomcat配置,禁用不安全的方式,修改server.xml中的Connector節點如下:
Apache和Nginx也有類似的配置,請自行查詢。<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA" keystoreFile="/usr/local/apache-tomcat-7.0.62/tomcat.key" keystorePass="aaa"/>
方法二:安裝Disable DHE外掛
方法三:開啟 about:config
新建或修改以下4個布林值為 false 即可(搜尋dhe能找到):
security.ssl3.dhe_dss_aes_128_sha
security.ssl3.dhe_rsa_aes_128_sha
security.ssl3.dhe_rsa_aes_256_sha
security.ssl3.dhe_rsa_des_ede3_sha
此問題出現在Firefox 39及以上版本中。