服务器显示公共密钥,服务器的瞬时 Diffie-Hellman 公共密钥过弱

最新推荐文章于 2025-06-11 10:46:56 发布
最新推荐文章于 2025-06-11 10:46:56 发布
阅读量1.3k 收藏 2
点赞数
文章标签: 服务器显示公共密钥
当使用Chrome浏览器访问网站时遇到'服务器的瞬时Diffie-Hellman公共密钥过弱'的错误,可以通过升级JDK到8.0以上或者调整服务器加密套件配置来解决。对于Java1.6,可在Server.xml中增加特定的ciphers配置;对于Java7,配置会有所不同;而在Weblogic中,需要在config.xml中修改加密参数。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

问题

当我们用Chrome浏览器访问网站,出现“服务器的瞬时 Diffie-Hellman 公共密钥过弱”,如下图时:

b84ca8e7360c75751e57e738f2a72536.png

请首先检查使用的JDK版本,是否已经是最新的8.0以上了,如果是JDK1.6 1.7就有可能出现该问题,JDK1.7以下只支持DH784位加密。

解决办法

1、升级到最新的JDK版本(8.0以上),就可以立刻解决该问题。

2、如果没有办法升级JDK,可以采用调整服务器加密套件的配置来解决。

Tomcat

基于Java 1.6,请在Server.xml中增加以下ciphers配置:

……

ciphers="TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_3DES_EDE_CBC_SHA">

基于Java 7,请在Server.xml中增加以下ciphers配置:

……

ciphers="TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,SSL_RSA_WITH_3DES_EDE_CBC_SHA">

Weblogic

找到config.xml文件,修改编辑其中参数,增加:TLS_RSA_WITH_3DES_EDE_CBC_SHA

TLS_RSA_WITH_AES_128_CBC_SHA

SSLTLS 服务器瞬时 Diffie-Hellman 公共密钥【原理扫描】解决说明
weixin_33946605的博客
11-17 7378
.  修改SSL密码套件 1.1  加固方法: 1.1.1  操作步骤: 第一步:按下' Win + R',进入"运行",键入" gpedit.msc",打开"本地组策略编辑器"。 第二步:打开计算机配置->管理模板->网络->SSL配置设置。 第三步:在"SSL密码套件顺序"选项上,右键"编辑"->在"SSL密码套件顺序"选在
SSLTLS 服务器瞬时 Diffie-Hellman 公共密钥【原理扫描】 .txt
08-07
解决漏洞-亲测好用】SSLTLS 服务器瞬时 Diffie-Hellman 公共密钥
【安全漏洞】SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥漏洞
最新发布
06-11 651
【摘要】SSL/TLS服务器存在瞬时Diffie-Hellman公共密钥漏洞(中风险),当密钥≤1024位时可能导致信息泄露。修复方案需禁用DH密码组:1) 修改SSL配置文件(Apache/Nginx);2) 删除含DH/EDH的密码组配置;3) 重启服务;4) 使用openssl命令验证是否禁用成功。该操作需专业人员执行,通过删除密钥配置来消除信息泄露风险。修复后需重启服务并验证配置生效。
[问题]服务器瞬时 Diffie-Hellman 公共密钥
热门推荐
求索
11-09 2万+
Chrome访问不安全的https链接时,Chrome为保护用户隐私会禁止用户访问这类不安全链接。 提服务器瞬时 Diffie-Hellman 公共密钥 一是通过修改服务器配置,增加加密的安全级别。比如,tomcat配置: ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_12
SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥【原理扫描】
看着博客敲代码
01-18 2万+
SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥【原理扫描】 安全套接层(Secure Sockets Layer,SSL),一种安全协议,是网景公司(Netscape)在推出Web浏览器首版的同时提出的,目的是为网络通信提供安全及数据完整性。SSL在传输层对网络连接进行加密。传输层安全TLS(Transport Layer Security),IETF对SSL协议标准化(RFC 2246)后的产物,与SSL 3.0差异很小。 当服务器SSL/TLS的瞬时Diffie-Hellman
服务器瞬时 Diffie-Hellman 公共密钥 问题解决
代码诗人的专栏
11-16 2万+
最近由于开发了一个电子商城项目,其中涉及银行的支付接口开发,所以把项目进行了https的部署,证书和秘钥都是用keytool生成的,但是当我用最近版本的Google浏览器进行访问的时候报错:“服务器瞬时 Diffie-Hellman 公共密钥”,上网找了一篇比较好的帖子于是乎转载了下来,以作备用。 最新版本的chrome(45.0.2454.85 m)在访问证书时,会报“服务器的瞬
解决jetty环境ssl瞬时 Diffie-Hellman 公共密钥
11-29
解决jetty8jdk1.6环境下的ssl问题服务器瞬时 Diffie-Hellman 公共密钥,可以通过设置如下参数解决
SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥
hongweibing1的专栏
11-21 1万+
详细描述 安全套接层(Secure Sockets Layer,SSL),一种安全协议,是网景公司(Netscape)在推出Web浏览器首版的同时提出的,目的是为网络通信提供安全及数据完整性。SSL在传输层对网络连接进行加密。传输层安全TLS(Transport Layer Security),IETF对SSL协议标准化(RFC 2246)后的产物,与SSL 3.0差异很小。  当服务
等保测评系列 SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥【原理扫描】
eson的博客
07-07 5869
等保测评系列 SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥【原理扫描】 nginx修复方式:需编辑 nginx.conf 解决 1、生成 dhparams.pem文件 cd /usr/local/nginx/conf openssl dhparam -out dhparams.pem 2048 chmod -R 755 dhparams.pem 2、编辑 nging.conf 文件,server下添加 ssl_dhparam {path to dhparams
服务器瞬时 diffiehellman 公共秘钥过
u013030980的专栏
11-08 3508
最近由于开发了一个电子商城项目,其中涉及银行的支付接口开发,所以把项目进行了https的部署,证书和秘钥都是用keytool生成的,但是当我用最近版本的Google浏览器进行访问的时候报错:“服务器瞬时 Diffie-Hellman 公共密钥”,上网找了一篇比较好的帖子于是乎转载了下来,以作备用。 最新版本的chrome(45.0.2454.85 m)在访问证书时,会报“服
SpringBoot项目:SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥
weixin_42376402的博客
05-26 8471
SpringBoot项目:SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥
SSL/TLS协议中的Diffie-Hellman公共密钥问题解决方案
weixin_41888295的博客
05-22 5313
3、使用Diffie-Hellman签名:为了保证通信双方交换的密钥是安全的,可以使用Diffie-Hellman签名来验证密钥交换过程中是否存在误差。Diffie-Hellman协议用于生成公共密钥对,以确保通信双方交换的密钥是安全的。其原理是:在两个节点之间交换一些随机数,然后使用这些随机数计算出一个固定的椭圆曲线参数(ECC),接着生成两个大质数p和q,它们将成为Diffie-Hellman密钥交换的基础。在实际使用中,由于计算ECC的过程中可能存在误差,导致生成的密钥可能存在一定程度的点。
如何处理服务器SSL收到了一个临时Diffie-Hellman 密钥?
u010287624的专栏
02-02 1万+
处理服务器SSL收到了一个临时Diffie-Hellman 密钥 当我们用火狐浏览器打开某个HTTPS网站时可能会失败,并且出现如下错误提:         安全连接失败连接某个URL网址时发生错误。 在服务器密钥交换握手信息中 SSL 收到了一个临时 Diffie-Hellman 密钥。         错误码: ssl_error_weak_server_ephemeral_d
Tongweb7049M4有关SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥的处理方案(by lqw)
weixin_39938069的博客
12-10 1415
勾选TLSv1,TLSv1.3,TLSv1.2,TLSv1.1这几个协议,然后在下方的。有关SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥。配置成功,可重启Tongweb,再进行漏洞扫描。
SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥【原理扫描】问题解决(Nginx)
vectorJ的博客
04-29 5457
第一步:先使用openssl生成dbparam.pem文件 1)进入openssl的安装目录,执行下面2)命令 2)openssl dhparam -out dhparams.pem -text 512 会在当前目录生成一个dhparams.pem文件。 第二步:配置nginx.conf文件 1)将dhparam.pem文件放到nginx的conf目录下 2)配置ngxin.conf ssl的server配置 3)重启nginx。 上述问题解决参考:https://www.dazhuanlan.com/
谷歌chrome浏览器访问网站时出现服务器瞬时 Diffie-Hellman 公共密钥解决方法
dircls001的博客
12-08 497
服务器瞬时 Diffie-Hellman 公共密钥
服务器SSL/TLS的瞬时Diffie-Hellman公共密钥验证
03-11
### 解决方案概述 为了增强服务器 SSL/TLS 中的瞬时 Diffie-Hellman 公共密钥强度,确保其不低于 2048 位是必要的措施之一。这可以通过调整服务器配置来实现,具体方法取决于所使用的服务器软件。 对于 Spring Boot 项目中的 Tomcat 或其他应用服务器,可以在 `application.yml` 文件中指定更强的安全参数[^5]。而对于 Nginx 和 Apache 这样的 Web 服务器,则需修改相应的配置文件并更新 OpenSSL 版本以支持更强大的加密算法[^4]。 ### 配置实例 #### 修改 Spring Boot 的 application.yml 文件 在 Spring Boot 应用程序中,通过编辑 `application.yml` 来设置启用的协议版本以及密码套件列表: ```yaml server: port: 8443 ssl: key-store: classpath:keystore.p12 key-store-password: secret keyStoreType: PKCS12 keyAlias: tomcat enabled-protocols: TLSv1.2,TLSv1.3 ciphers: | TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_DHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_DHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256 ``` 上述配置不仅限定了更高的 DH 参数长度,还选择了更为现代且安全的密码组合方式。 #### 更新 Nginx 配置 如果使用的是 Nginx 作为反向代理或者负载均衡器,在 nginx.conf 中加入如下指令可提高安全性: ```nginx ssl_protocols TLSv1.2 TLSv1.3; ssl_prefer_server_ciphers on; ssl_dhparam /etc/nginx/dhparams.pem; # 自定义生成的大于等于2048 bit的DH参数文件路径 ssl_ecdh_curve secp384r1; ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m; # 加强型密码策略 ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-DSS-AES256-GCM-SHA384'; ssl_prefer_server_ciphers on; ``` 这里特别指出了要加载自定义生成的一个大于等于 2048-bit 的 DH 参数文件 (`/etc/nginx/dhparams.pem`),从而有效防止因默认较低级别的 DH 密钥带来的安全隐患。 #### 使用命令行工具生成大尺寸 DH 参数 可以利用 OpenSSL 工具创建一个新的、足够强壮的 DH 参数集用于部署到生产环境之前测试用途: ```bash openssl dhparam -out dhparams.pem 2048 ``` 此操作会花费一些时间完成计算过程,但最终产生的 `.pem` 文件即为所需的高强度 DH 参数集合。 ### 结论 通过对服务器端进行适当配置更改,并采用最新的加密技术和实践标准,能够显著提升 SSL/TLS 握手过程中临时 Diffie-Hellman 密钥交换环节的安全水平,进而满足严格的信息安全保障需求[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值