Problem
Firefox ab Version 39 zeigt viele SSL-gesicherte Seiten nicht mehr an und gängelt den erfahrenen Admin stattdessen mit dieser Meldung:
Fehler: Gesicherte Verbindung fehlgeschlagen
Ein Fehler ist während einer Verbindung mit foo.bar aufgetreten. SSL hat einen schwachen
kurzlebigen Diffie-Hellman-Schlüssel in der Handshake-Nachricht "Server-Schlüsselaustausch"
empfangen. (Fehlercode: ssl_error_weak_server_ephemeral_dh_key)
Das bedeutet, das die anzuzeigende Seite gegen die Logjam-Attacke auf SSL verwundbar ist. Im Prinzip soll der DH-Schlüsseltausch PFS liefern, in einigen Implementierungen ist das Protokoll allerdings angreifbar. Die notwendige Sicherheit auf dem initialen Schlüsselaustausch liefern nur Schlüssellängen von 512bits und mehr, die anzuzeigende Seite möchte aber weniger. Das betriff viele Fritz! Boxen („fritz.box“), Speedport-Router der Telekom („speedport.ip“) und ähnliche Geräte.
Blöderweise liefert viel Hardware und viele Infrastrukturkomponenten die jeweiligen Web-GUIs mit so einer SSL-Konfiguration aus. Dazu zählen EMC, Nimble, HP, IBM, NetAPP, Cisco und fast jeder andere. Da Firmware-Updates an solchen kritischen Punkten oft etwas länger brauchen, benötigen Admins hier eine Lösung (abgesehen von der Wwahl, Chrome oder Edge zu nutzen).
Lösung
Firefox hat SSLv3 zum Glück noch nicht verlernt, sondern nur dekativiert:
- „about:config“ in der Adresszeile öffnen (und Warnung wegklicken)
- Suche nach „security.ssl3.„
- Die beiden Einträge „security.ssl3.dhe_rsa_aes“ zu 128 und 265bit mittels Doppelklick auf „false“ stellen.
klasse Tipp – vielen Dank
Hilfreich… Danke
Sehr hilfreich… Dank auch von mir
Super, Vielen Dank!
Ohne diesen Tipp keine Verbindung.
Danke
geht nicht
Hat auf Anhieb funktioniert (Fernzugriff AVM-Fritzbox). Super
Habe lange gesucht da ich nicht mehr auf meinen Speedport kam (funzt nur bei standart IP). Jedoch über diese „ssl_error_weak_server_ephemeral_dh_key“ Fehlermeldung bin ich hier gelandet.Danke und ein Gesundes Neues Jahr
Wenn man erst mal weiss worum es geht findet man plötzlich alles.
„https://avm.de/service/fritzbox/fritzbox-7170/wissensdatenbank/publication/show/1650_Kein-HTTPS-Internetzugriff-auf-FRITZ-Box-moeglich/“
Allesschrauber
Der einzige wirklich hilfreiche Tip, seid stundenlangem Suche, hat sofort geklappt. Wollte speedport.ip erreichen, soll man das nachher wieder ändern?
Geht bei mir nachwievor nicht.“Begrenzter Zugriff“. Telefonanschluss ebenso von Vodafon geht auch nicht. Hat jemand einen Tip?Vielen Dank!
„Begrenzter Zugriff“ hat nichts mit SSL zu tun, sondern damit das keine Internetverbindung besteht. Such zuerst den Fehler deiner Netzverbindung.
Super! Danke für den Tip.
Erster Treffer bei Google und funktioniert.
Firefox 55.0.3 wollte nicht mit einem Speedport „reden“.
Dieser Tipp war Gold wert, bis zum nächsten Update der Browser…..