情况一,错误码: ssl_error_ssl_disabled
最近要连接Oracle 的em 控制台,要用到firefox 浏览器。
总是连不上:
https://124.13.23.23:1158/em
报错:由于SSL协议被禁用,无法安全的连接。(错误码: ssl_error_ssl_disabled)
在aix系统检查一下em服务是否已经启动:
hgsdfe01:[/oracle]$emctl status dbconsole
Oracle Enterprise Manager 11g Database Control Release 11.2.0.1.0
Copyright (c) 1996, 2009 Oracle Corporation. All rights reserved.
https://hgdss01:1158/em/console/aboutApplication
Oracle Enterprise Manager 11g is running.
——————————————————————
Logs are generated in directory /oracle/app/oracle/product/11g/db/hgdsfe01_sfedev/sysman/log
em已经启动。
解决方法:
1:下载最新的firefox 浏览器:3.6.12
2:工具—选项—高级—加密
3:勾选:使用 TLS1.0
4:点击确定
5:关掉 firefox 从起就可以了。
情况二,错误码:ssl_error_weak_server_ephemeral_dh_key
今天升级了Firefox,发现之前一个可以访问的网站被拦截,提示“连接10.0.0.5时发生错误。在服务器密钥交换握手信息中SSL收到了一个弱临时Diffie-Hellman密钥。(错误码:ssl_error_weak_server_ephemeral_dh_key),如下图:
有以下三种解决方法:
方法一:修改tomcat配置,禁用不安全的方式,修改server.xml中的Connector节点如下:
[plain]
- <Connector port=”8443″ protocol=”HTTP/1.1″ SSLEnabled=”true”
- maxThreads=”150″ scheme=”https” secure=”true”
- clientAuth=”false” sslProtocol=”TLS”
- ciphers=”TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA”
- keystoreFile=”/usr/local/apache-tomcat-7.0.62/tomcat.key”
- keystorePass=”aaa”/>
Apache和Nginx也有类似的配置,请自行查找。
方法二:安装Disable DHE插件
方法三:打开 about:config
新建或修改以下4个布尔值为 false 即可(搜索dhe能找到):
[plain]
- ssl3.dhe_dss_aes_128_sha
- ssl3.dhe_rsa_aes_128_sha
- ssl3.dhe_rsa_aes_256_sha
- ssl3.dhe_rsa_des_ede3_sha
此问题出现在Firefox 39及以上版本中。
SSL证书采用了技术含量比较高的加密技术。日后GDCA(数安时代)将会持续为大家推荐更多关于SSL证书的技术知识。让大家正确认识SSL证书,快速无误部署HTTPS安全协议。更多资讯,请关注GDCA。
