Firefox bloquea claves débiles Diffie-Hellman

Mozilla Anunciado el 30 de septiembre de 2016 que tomó la decisión de aplicar claves Diffie-Hellman más fuertes en el navegador web Firefox.

Los usuarios de Firefox que visiten sitios web que usan débiles (ahora menos de 1023 bits) verán un mensaje de error de conexión en el navegador web en lugar del sitio real.



El mensaje dice 'conexión segura fallida' y el motivo dado es el siguiente:

SSL recibió una clave Diffie-Hellman efímera débil en el mensaje de intercambio de claves del servidor. Código de error: SSL_ERROR_WEAK_SERVER_EPHEMERAL_DH_KEY

La página enumera un aprende más enlace que conduce a la página de soporte de Firefox '¿Qué significa su conexión no es segura?' en el Soporte de Mozilla.

firefox secure connectio nfailed

La página de error en sí muestra un botón 'intentar de nuevo', pero no hay opción para anular la política y abrir el sitio web real.



En caso de que se lo pregunte, así es como otros navegadores están manejando los sitios con claves Diffie-Hellman débiles:

  1. Google Chrome, Opera y Vivaldi arrojar un error de 'este sitio no puede proporcionar una conexión segura' sin opción de anulación. Es probable que otros navegadores Chrome o basados ​​en Chromium arrojen el mismo mensaje de error.
  2. Luna pálida arroja un error de 'conexión segura fallida'.
  3. Microsoft Edge muestra el error 'mmm, no podemos llegar a esta página'.
  4. explorador de Internet arroja el error 'esta página no se puede mostrar.

Según Mozilla, una pequeña cantidad de servidores todavía están configurados para usar claves débiles que son vulnerables a ataques.

En respuesta a los desarrollos recientes que atacan el intercambio de claves Diffie-Hellman (https://weakdh.org/) y para proteger la privacidad de los usuarios de Firefox, hemos aumentado el tamaño mínimo de clave para los apretones de manos TLS utilizando el intercambio de claves Diffie-Hellman a 1023 bits. Una pequeña cantidad de servidores no están configurados para usar claves lo suficientemente fuertes. Si un usuario intenta conectarse a dicho servidor, se encontrará con el error 'ssl_error_weak_server_ephemeral_dh_key'.

La organización menciona el ataque Logjam en particular que ataca el protocolo TLS.

Todos los principales navegadores bloquean los sitios que usan claves Diffie-Hellman débiles ahora sin opción de anulación. En caso de que se lo pregunte, la preferencia de Firefox por anular certificados de seguridad débiles tampoco funciona.