Разрешаване на SSL връзки към хостове използващи слаб шифър Diffie-Hellman (DH)

Проблем

При посещаване на адрес/сайт/хост се появява следното съобщение за грешка:

firefox-dh-ssl

Описание

В последните версии на популярните уеб браузъри има въведени ограничения при използването на слаби сертификати и шифри. Показаната по-горе слабост се отразява във възможността да се установи връзка между две страни който никога по-рано не са обменяли скрития си ключ от шифъра.

Поради тази причина при Mozilla Firefox от версия 39 бе въведено ограничение при установяване на криптирана връзка която ползва Diffie-Hellman шифър. Подобно ограничение бе направено и в Google Chrome от версия 45.

Решение

Описание има дадено от Google съпорта на следната връзка и подръжката на Mozilla тук. За да се реши е необходимо да се направи следното:

За Firefox:

  • Отваря се about:config
  • Намират се security.ssl3.dhe_rsa_aes_128_sha и security.ssl3.dhe_rsa_aes_256_sha променливите
  • И двете се превключват на false (по подразбиране са true)

За Chrome:

Тъй като настройките достъпни през chrome://settings/ и chrome://flags/ не дават възможност да се пипат тези настройки трябва да се направи или коригира shortcut-а сочещ към chrome.exe файла и да се поставят подходящи флагове:

"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" -cipher-suite-blacklist=0x0088,0x0087,0x0039,0x0038,0x0044,0x0045,0x0066,0x0032,0x0033,0x0016,0x0013"

(коригирайте пътя до chrome.exe да отговаря на вашия)

 

Допълнителна информация

SSL/TLS Capabilities of Your Browser
Weak Diffie-Hellman and the Logjam Attack
Securing your browsers: Firefox
Diffie–Hellman key exchange

Използване на PuTTY като безопастно прокси в Windows

Защо е необходимо?

1. Дава лесен начин за прикриване на IP адреса който браузъра докладва на сайтоветете

2. Осигурява използване на криптирана комуникация в необезопасена мрежа

Какво е нужно?

  • Хост с инсталиран Linux (възможно е използването на OpenSSH на Windows базирана система чрез Cygwin).
  • Инсталиран браузър (в случая примера е с Mozilla Firefox)
  • Локално копие на PuTTY

PuTTY е клиентска програма за боравене с SSH протокол. Не се нуждае от инсталация. Начина на конфигурацията е описан по-долу.

Как?

Настройката става на няколко стъпки – настройка на PuTTY и настройка на уеб браузър.

Настройка на PuTTY

Стартирайте putty.exe и на началния екран изберете

SSH и въведете името или адреса на вашия Linux хост.

sshprox1

Прехвърлете се на раздел Connection –> SSH –> Tunnels и въведете порт 8080.

sshprox2

Изберете ‘Dynamic’ и ‘Auto’ и потвърдете с ‘Add’.

sshprox3

Натиснете ‘Open’ и ще се появи прозореца за автентикация:

sshprox4

Въведете вашето име и парола за да получите достъп до конзолата.

Преди да продължите нататък е необходимо да сте сигурни, че хоста има достъп до Интернет.

Настройка на Mozilla Firefox

Необходимо е да се настрой мрежовата конфигурация от Options –> Advanced –> Network –> Settings, както е показано:

– Manual proxy configuration
– SOCKS Host: 127.0.0.1, Port: 8080
– SOCKS v5

sshprox5

Проверете работоспособността като посетите сайт който да ви покаже IP адреса.

Например: WhatIsMyIP

Някой препоръки за настройка на /etc/ssh/sshd_config файла

За по-голяма сигурност се препоръчва настройка на следните опции:

  • да се смени SSH порт-а по подразбиране на друг, различен (default: 22)
  • да се използва версия 2 на SSH протокола (Protocol 2)
  • да не използвате root акаунта (да го забраните да не може да се логва чрез PermitRootLogin)
  • да се ползва login без парола (authorized_keys)

sshprox6