Из-за жесткого подхода к безопасности Firefox, Chrome и Opera вызывают проблемы. Они блокируют доступ к маршрутизаторам с неадекватным SSL, сообщая загадочное сообщение: «Сервер имеет слабый эфемерный открытый ключ Диффи-Хеллмана».
Веб-браузеры становятся все более авторитарными в своем подходе к обеспечению безопасности. Последний шаг по защите невиновного пользователя доставляет множество проблем администраторам сети.
Chrome 45, Firefox 40 и Opera 30 начали блокировать HTTPS-соединения с серверами, используя 512-битный обмен ключами Диффи-Хеллмана. Причина в том, что еще в мае группа компьютерных ученых обнаружила атаку, в результате которой любое TLS-соединение понижается до 512 бит, которое затем может быть взломано в разумные сроки. LOGJAM — Может ли АНБ взломать 1024-битные ключи DHM?
Проще говоря, 512-битный ключ не защищен от серьезной атаки. На данный момент подсчитано, что 24-ядерной машине потребуется 90 секунд, чтобы взломать такой ключ. Переход до 1024 бит меняет проблему к тому, что требует 45 миллионов лет работы ядра, что должно быть в пределах досягаемости государственных агентств.
В ответ Google, Mozilla и Opera модифицировали свои браузеры, чтобы определять, когда возможны соединения TLS с 512-битным ключом с сервером. Однако именно здесь и начинаются проблемы, вместо того, чтобы просто предупреждать пользователя, все три браузера просто отказываются идти дальше, пока проблема не будет исправлена на сервере.
Есть способ временно заставить Firefox продолжить небезопасное соединение, но пока не найдено исправлений для Chrome и Opera. Я говорю «исправить», потому что многие пользователи считают такое поведение ошибкой. Причина в том, что конечный пользователь не всегда может внести исправления в сервер, и простая блокировка доступа — слишком драконовская мера.
Чтобы обойти проблему в Firefox, сначала перейдите в about: config, найдите security.ssl3.dhe и измените два появившихся параметра:
security.ssl3.dhe_rsa_aes_128_sha security.ssl3.dhe_rsa_aes_256_sha
к ложному.
Существуют ужасающие истории о том, как пользователи пытаются получить важные документы с неисправных серверов и не могут сделать это из-за блокировки и, как следствие, страдают от финансовых или даже юридических штрафов.
Однако наиболее проблемными случаями являются HTTPS-подключения к устройствам, в основном маршрутизаторам, которые находятся за брандмауэрами и совершенно безопасны, на усмотрение их опытных пользователей. В этих случаях браузер просто отказывается подключаться, что означает, что устройствами невозможно управлять, и без доступа к интерфейсу управления они также не могут быть обновлены. Обычно нет возможности вернуться к HTTP-соединению, а Telnet обычно по умолчанию отключен.
Единственный вариант — найти браузер, который будет подключаться — в настоящее время IE и Edge будут предупреждать пользователя, но при необходимости продолжат подключение. Даже в этом случае часто нет возможности изменить безопасность соединения. Эта проблема затрагивает маршрутизаторы широкого спектра производителей, включая Netgear и Cisco. Некоторые маршрутизаторы не имеют возможности управления для изменения безопасности управляющего соединения, и в этом случае у пользователей нет другого выбора, кроме как отказаться от Chrome, Firefox и Opera и работать с IE или Edge. Если Microsoft пойдет вместе со стадом и решит внедрить такую же «защиту», то в ближайшем будущем может появиться много непригодных для использования маршрутизаторов и других устройств. Точно так же, если Microsoft этого не сделает, следите за ростом популярности IE и Edge.
Последний удар заключается в том, что часто маршрутизаторы, vpn-боксы, точки доступа Wi-Fi и т. Д. Остаются одни, выполняя свою работу надолго, пока что-то не пойдет не так. Когда случается такой кризис, пользователь также сразу же сталкивается с другой проблемой, заключающейся в том, что он заблокирован в пользовательском интерфейсе управления, и это не могло произойти в худшее время.
Пора разработчикам браузеров понять, что они могут и должны защищать невиновных пользователей, но не должны делать это силой. Всегда должна быть возможность продолжить путь на опасную территорию, если пользователь уверен, что это безопасно, или готов рискнуть небольшой вероятностью того, что может быть продолжающаяся атака типа «злоумышленник посередине», которая поставит под угрозу их «безопасность». связь.
«Сервер имеет слабый эфемерный открытый ключ Диффи-Хеллмана» в настоящее время сигнализирует об ошибке в браузере, а не на сервере, и его необходимо исправить в срочном порядке. Есть много разгневанных людей, которым нужен работающий браузер, и на данный момент похоже, что только IE / Edge подходит под это описание.