Firefox 39: ssl_error_weak_server_ephemeral_dh_key

Von | 4. Juli 2015

ssl_error_weak_server_ephemeral_dh_keyGestern hat Firefox mit der Version 39 die alten unsicheren SSL3 Protokolle gesperrt. Diese nutzen ein schwachen kurzlebigen Diffie-Hellman-Schlüssel im Handshake. Damit sind Man-In-The-Middle-Attacken möglich. Die Verbindung ist daher nicht mehr sicher!
Endlich bewegt ich mal etwas in dieser Richtung. Leider verwendet auch ein interner Server noch solch ein altes Protokoll.
Wie ich jetzt gerade sehe sind auch einige SoHo-Router wie z.B. die Speedport-Serie der Telekom von dem Problem betroffen.

Fehler: Gesicherte Verbindung fehlgeschlagen

Ein Fehler ist während einer Verbindung mit aufgetreten.
SSL hat einen schwachen kurzlebigen Diffie-Hellman-Schlüssel in der Handshake-Nachricht „Server-Schlüsselaustausch“ empfangen.
(Fehlercode: ssl_error_weak_server_ephemeral_dh_key)

Natürlich ist ein Zertifikatswechsel und Nutzung eines sicheren Protokolls die beste Wahl, hier habe ich jedoch kein direkten Einfluss… Nutzen muss ich diesen Server trotzdem. Also musste eine Lösung her. Entweder auf die vorherige Firefox-Version zurück oder das Verhalten abschalten. Ich habe mich für das deaktivieren entschieden

ssl_error_weak_server_ephemeral_dh_key Meldung deaktivieren:

 
Dazu in der Adresszeile about:config eingeben und Enter drücken. Den nachfolgenden Sicherheitshinweis bestätigen wir. Nun können wir im Suchfeld security.ssl3.dhe_rsa_aes eingeben. Es werden uns zwei Einträge angezeigt. Die Einstellung wird mit einem Doppelklick auf die Zeile geändert. Ein Neustart von Firefox ist nicht notwendig, die Änderung gilt sofort.

about:config
security.ssl3.dhe_rsa_aes_256_sha;false
security.ssl3.dhe_rsa_aes_128_sha;false

Ich kann jedoch nur ausdrücklich davor warnen! Auch wenn der Server jetzt wieder nutzbar ist, ist das Problem immer noch existent! Eure Verbindung kann mitgelesen werden!

6 Gedanken zu „Firefox 39: ssl_error_weak_server_ephemeral_dh_key

  1. conni

    Danke für den Tipp!

    Fernwartung über Fritzbox ist wieder möglich!

  2. Marsilius

    Diese Scheiße haben wir wohl nur der Telekom zu verdanken.
    „Ich soll meinen Firewall deaktivieren oder ähnliches.“
    Nur weil die zu frech und zu doof sind, ihren veralteten Kram (Zertifikat) zu verbessern. „Ich könnte ja von denen Unterstützung bekommen. Das würde wohl etwas kosten.“ Dann verzichte ich in Zukunft auf die Telekom.
    Jetzt wollen die sich am Montag nochmal melden, um mir klar zu machen, daß das Problem nicht an der Telekom liegt, sondern an meinem Rechner.
    Wieso ist das aber nur bei dem Speedport der Telekom? Alles andere funktioniert doch!

    1. sysmek Beitragsautor

      gibt es denn für deinen Speedport kein Firmwareupdate?
      Das die Router kein richtiges Zertifikat haben ist richtig, aber der ssl_error_weak_server_ephemeral_dh_key sollte sich mit einem Update hoffentlich beheben lassen. Leider habe ich gerade kein Speedport zum testen zur Hand. Interessant wäre noch was Du genau für ein Router hast.

      1. Marsilius

        Der Router ist Speedport W921V.
        Ãœbrigens bietet Telekom keinen Update an.

        1. sysmek Beitragsautor

          Hallo Marsilius,
          Ich konnte den Fehler mit der aktuellen Firmware 1.38 auch nachstellen. Eine alte Firmware-Version (V1.24) wies dieses Problem noch nicht auf. Auch ist das Zertifikat seit dem 20.12.2014 abgelaufen. Das Problem ist bei der Telekom auch schon bekannt. Ob und wann es jedoch ein Update gibt, konnte ich leider nicht in Erfahrung bringen.
          Du kannst also mein Workaround nutzen oder für den Zugriff auf den Speedport einen anderen Webbrowser nutzen.
          Gruß Dirk

Kommentare sind geschlossen.