Google Chrome - Foro de ayuda

"El servidor dispone de una clave pública Diffie-Hellman efímera débil"

Alejandra Mena
4/09/15 8:18
la versión de chrome 45.0.2454.85 m (64-bit) , al tratar de navegar con proxy, genera este mensaje, que debo hacer para que no aparezca este erro? o como lo soluciono?

Respuestas (50)

Crazy Julius
4/09/15 9:59
Yo tengo el mismo problema , por favor una ayuda
Exo Development
4/09/15 22:41
Hola Alejandra, a mi me sale lo mismo, pero No estoy utilizando Proxy. Eso sale cuando voy a determinada página con https:// , y antes del día 3 (hace un dia) todo funcionaba bien. La misma pagina entra bien desde Internet Explorer 8. Saludos.
Maru Victoria
5/09/15 5:48
Estoy teniendo el mismo incidente.. y hace 2 días podía trabajar correctamente, ahora sale ese mensaje Diffie-Hellman efimera débil, ya hasta instalé la última versión de chrome y aún así sigue apareciendo. Instale otro navegador y si me permite abrir la pagina correctamente, pero me gusta usar chrome.
Frajgoar
5/09/15 11:05
Igual, primero con mozilla y ahora con chrome, si funciona con explore. que debemos hacer porque en esto también bloquea a explore.
Logan Berni
5/09/15 13:55
a mi también me sale el mensaje, ayuda por favorrrr
Jr. Marín
5/09/15 18:05
¿Nadie sabe nada de esto?
Exo Development
5/09/15 20:31
Yo encontre esto: probando, cuando tenia instalado Chrome version 44, MiPagina entraba bien, al parecer sin problema. Pero cuando actualice a la versión 45, todo se frego y aparecia el mensaje Diffie-Hellman. En Internet Explorer version 8 (en windows XP) tambien entra bien.


Averiguando saqué esta conclusión: MiPagina usa un metodo de seguridad ANTICUADO e inseguro (los SSL o TLS, sin entrar a detalles), y la cosa es que la ultima version de Chrome rechaza de plano a las paginas que usan ese metodo anticuado y NO las muestra. Sin embargo, las versiones anteriores no tenian esa rigidez y aun aceptaban esas paginas inseguras. Es igual el caso de Internet Explorer 8, que es antiguo y sigue tolerando esas paginas con seguridad Anticuada. El Firefox reciente tambien bloquea MiPagina.

Entonces, se supone que es MiPagina la que debería actualizar sus métodos de seguridad, para que así no la bloqueen. Y por el momento, usar un navegador NO reciente.

Use esta pagina/servicio para saber el grado de seguridad que usa mi pagina: https://www.ssllabs.com/ssltest/index.html  y puede probarse con cualquier pagina. Ademas, para saber la calidad de seguridad que usa mi navegador, entre a esta página: https://www.ssllabs.com/ssltest/viewMyClient.html  

Notar que todo esto es aun una suposición. Si alguien sabe algo, por favor comparta.

Saludos!

avm99963
7/09/15 5:30
¡Hola a todos!

Es tal como dices, @Exo Development. Se descubrió una vulnerabilidad en sistema de intercambio de claves de Diffie-Hellman:
Traduzco un trozo de información sobre el error que está disponible en el artículo de ayuda sobre errores SSL en inglés[1] (todavía no está en el artículo en español):

"El servidor dispone de una clave pública Diffie-Hellman efímera débil" o ERR_SSL_WEAK_EPHEMERAL_DH_KEY

Si ves este error, significa que no se ha podido establecer una conexión segura debido a código de seguridad desactualizado en la página web. Chrome protege tu privacidad previniendo que puedas conectarte a estos sitios web. No vas a poder visitar esta página usando Chrome.

Si eres un administrador de la página, aprende cómo solucionar este problema:

Tienes unas pocas opciones para arreglar este problema en Chrome:

  • Habilitar ECDHE e inhabilitar DHE (preferible)
  • Usar un grupo Diffie-Hellman de 1024-bit (o más) para las suites de cifrado SSL DHE_RSA
  • Inhabilitar todas las suits de cifrado SSL DHE

Espero que fuera de ayuda ;-)

Saludos :-)

David Torres Ulloa
8/09/15 8:24
Hola, tengo el mismo problema hace un par de dias, con las nuevas versiones de Chrome y Mozilla, por ahora IE11 ingresa a mi app sin problemas y muestra que el certificado esta firmado correctamente, estoy actualizando todos los protocolos de mi servidor, ojala pueda resolverlo, sino creo que deberé migrar de servidor.
David Torres Ulloa
8/09/15 9:05
Hola yo de nuevo, acabo de resolver el problema en mi servidor tomcat, realicé unas modificaciones al archivo server.xml tanto protocolos y cifrados, ahora ya puedo visualizar mi app desde chrome Versión 45.0.2454.85 m y desde Firefox 40.0.3, 

La solucion para quien administre el servidor donde esta la web es realizar un update o parchar con un fix si es Windows Server y en caso de ser Apache2 o Tomcat deben modificar el Server.conf o el Server.xml la seccion del conector ssl y actualizar los algoritmos de encriptacion SHA1 por SHA2 (SHA256withRSA), con esto el certificado será ampliamente aceptado y no levantará advertencias de seguridad.

Saludos
Nacho Pelaez
8/09/15 15:46
Hola David Torres,

Puedes indicarnos las modificaciones del archivo server.xml que hiciste para no levantar las advertencias de seguridad.
Qué valor hay que poner exactamente a los algoritmos de encriptacion??
Gracias

Saludos,
David Torres Ulloa
9/09/15 4:41
Nacho, en el server.xml debes editar la configuración del conector ssl de la siguiente manera:

Cambiar  protocol="org.apache.coyote.http11.Http11NioProtocol" por protocol="HTTP/1.1" 

Agregar antes del keystore sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"useServerCipherSuitesOrder="true"

Y por ultimo agregar los cifrados después del keystore ciphers="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA"

Con esto ya logramos que nuestro certificado, válidamente emitido por una empresa certificadora no tenga problemas de cifrado de datos en los navegadores nuevos, independiente que protocolo TLS utilicemos y así obligamos que la negociación segura entre el server y el navegador sea transparente.

Saludos.





avm99963
9/09/15 6:51
¡Hola de nuevo!

Gracias @David por compartir con todos cómo lo has solucionado en tu servidor :D

Saludos :-)

Daniel Santos
9/09/15 7:02
he tenido el mismo problema con una pagina de mi trabajo, la forma en la que lo es solucionado es con una extensión que emula tener internet explorer. Se llama IE Tab, funciona bastante bien con paginas que solo se pueden abrir ahí.
No se que tanta seguridad tiene este tipo de complemento pero me deja trabajar en Chrome.
avm99963
9/09/15 7:15
¡Hola Daniel!

Eso es porque Internet Explorer no ha sido actualizado impidiendo que se use ese protocolo/método para cargar páginas mediante HTTPS.

Usando IE Tab únicamente estás esquivando el mensaje de advertencia, y estás navegando de una manera NO segura con las páginas que usan una clave pública Diffie-Hellman, ya que como se reveló la vulnerabilidad, cualquiera que la conozca podrá revelar tus datos de esa conexión "segura" (entre comillas, ya que no lo es).

Saludos :-)
Daniel Santos
9/09/15 7:22
avm99963, Si entiendo que esta saltando la advertencia, pero en casos en lo que necesiten entrar si o si a dichas paginas es una solución, esto no quieta que sea inseguro. En mi trabajo siguen usando paginas sin haber modificado la seguridad con lo cual no me queda otra que entrar de esa manera, solo es una solución temporaria para aquellos que imperiosamente necesiten entra a dichas paginas.
Gracias por tu comentario.
Saludos
David Torres Ulloa
9/09/15 7:28
Daniel, si trabajas con este complemento, de que le vale a tu empresa tener una pagina cifrada si los datos estan siendo revelados?, Indicale al administrador de sistemas que corrija el problema.

salu2
David Torres Ulloa
9/09/15 7:30
Gracias, ojala les sirva a muchos administradores, que como yo estuvimos un par días en pugna con clientes que no podían accesar a la app.

salu2
avm99963
9/09/15 7:56
Pienso lo mismo que David, haciendo esto estás usando un método de cifrado no seguro. No tengo nada más que añadir a lo que él ha dicho :-P

Saludos :-)
Nacho Pelaez
9/09/15 14:20
Hola David Torres,

Muchas gracias por compartir la solución.
Lo he probado y ha funcionado perfectamente a la primera.

De nuevo muchas gracias por la ayuda y el ahorro de tiempo que nos has proporcionado con esta información.

Saludos,
David Torres Ulloa
10/09/15 5:28
Excelente, que bueno que te haya servido, salu2
Javier Ocaranza
10/09/15 10:01
David para Windows Server que parche se debe aplicar para IIS, tengo 2 servidores con el mismo problema y sólo los puedo acceder por IE.

Gracias por tu ayuda.

Saludos
David Torres Ulloa
10/09/15 12:04
Hola Javier, cuando consulte a soporte de microsoft me indicaron que buscara el siguiente fix (Fix200653), pero también me indicaron que NO está completamente probado que solucione el problema. Podrias chequear aqui https://msdn.microsoft.com/en-us/library/windows/desktop/aa374757%28v=vs.85%29.aspx.

Saludos
Gloria roman macias
10/09/15 12:22
GIL HOMBRE NO ES ? OH CALL-DUTY? JAJA....BUENDIA SOY GLORIA
Javier Ocaranza
10/09/15 13:36
Gracias David. Voy a probar y les cuento como me va.

Saludos
Eleana Toapanta
11/09/15 13:31
Hola David
tal vez sabes como se soluciona este problema con glassfish
gracias de antemano
Exo Development
12/09/15 1:23
Si, gracias David T., gracias a avm99963.

Solo una cosita mas, desde el punto de vista de usuario (cliente), no hay nada mas que hacer que pedirle al dueño/administrador de la pagina web bloqueada para que se actualice y esperar... es eso asi??. 

Y si instalo una version antigua de Chrome (por ejemplo v. 40) que no me advierta de la inseguridad y muestre la pagina sin mas??

Bueno, de todas formas gracias a todos.

bye.
Adri2-4
13/09/15 8:49
Me ocurre lo mismo con una aplicacion de gestion (serviceDesk) instalada en windows server 2008. 

Al actualizar los navegadores tan solo puedo acceder desde IE. He estado leyendo y revisando pero no tengo ni idea donde se encuentran los archivos a modificar.
David Torres Ulloa
14/09/15 4:47
Exo, el problema es netamente a nivel de servidor, porque se trabajo con protocolos obsoletos, recuerden que pronto regirá el IPV6, si el problema no es resuelto tanto la empresa como el cliente exponen sus datos, ya sean pagos on line, DNI, RUT, contraseñas etc. Una solucion parche es la que mencionas, pero seguiras estado expuesto a filtraciones.

salu2
David Torres Ulloa
14/09/15 5:02
Adri2-4 en windows debes actualizar los protocolos de tu servidor, ya sea TLS o SSL, busca dichas actualizaciones de seguridad, salu2
David Torres Ulloa
14/09/15 5:16
Si no me equivoco, GlassFish corre bajo una version de apache tomcat (preinstalada y modificada por Oracle), podrias revisar la carpeta de instalacion (windows) o los repositorios instalados linux y ver si existe aquella carpeta conf del servidor web que permita modificar el archivo de configuracion.
Exo Development
14/09/15 17:39
Si, tienes razon David T.U..
Dora Lia Rios Zapata
21/09/15 15:19
mi servidor tiene  una clave publica diffie-hellman debil y efimera,cual seguridad escojo
Dora Lia Rios Zapata
21/09/15 15:21
la versión de chrome 45.0.2454.85 m (64-bit) , al tratar de navegar con proxy, genera este mensaje, que debo hacer para que no aparezca este erro? o como lo soluciono?
David Torres Ulloa
22/09/15 5:46
Dora, el problema no pasa por el navegador, este problema es netamente de servidor, si el servidor utiliza protocolos obsoletos como TLS 1.0, las nuevas versiones de los navegadores evitaran negociar y cifrar datos por temas de seguridad, por lo mismo la solución debe aplicarse a nivel de servidor. Saludos.
Carlos Zimbra
25/09/15 9:14
Hola, Por favor en un servidor Centos 5.5 con Zimbra donde encuentro el server.xml????
David Torres Ulloa
25/09/15 9:36
Hola Carlos, primero que todo, que version de apache tienes instalada en centos? supongo que Apache2, si es el nativo deberia estar instalado  en la carpeta /etc/Apache2 y ahi debes buscar el archivo de configuracion del webserver (apache2.conf o httpd.conf) y editarlo, luego reiniciar apache para retome los cambios, salu2
Angel Utrilla Solis
3/10/15 14:39
Hola buen día.

Estoy usando Glassfish V3.0 pero me sale el mismo mensaje como puedo solucionar este problema, ando usando HTPPS, espero que alguien me pudiera ayudar u orientar.



Naidelys Itzel Jacquez Quiros
3/10/15 18:23
buenas una pregunta como hago para desintalar ask.com de mi google chorme por favor ayuda
SRS.
18/10/15 3:01
Hola, ¿alguien podría indicar como añadir los sitios web afectados por este problema a algún tipo de "Excepciones" en chrome?, de forma que aunque la web use un cifrado antiguo se pueda ver, como ya hace internet explorer que muestra advertencia de certificado erróneo y puedes continuar si quieres.

El sitio que necesito visitar es una web alojada en mi propio equipo (localhost) y se utiliza para administrar el RAID desde windows, por tanto no puedo modificar la configuración del servidor, no me creo que chrome no disponga de una pestaña de excepciones de seguridad para casos como este.

Gracias.
avm99963
18/10/15 11:56
¡Hola a todos!

@Naidelys: Echa un vistazo al siguiente hilo y nos cuentas por allí qué tal fue:
@SRS.: Hay una función experimental de Chrome que deja cargar el localhost por https aunque el certificado sea erróneo. Para ello abre la página chrome://flags/#allow-insecure-localhost (pégalo en la barra de direcciones y pulsa enter) y activa la flag "Allow invalid certificates for resources loaded from localhost". Después reinicia Chrome haciendo clic en el botón azul para reiniciar Chrome, y prueba de cargar el localhost, a ver si funciona ;-)

Saludos :-)
SRS.
18/10/15 12:31
Hola, gracias por la ayuda pero chrome se resiste :-D, sigue bloqueando el acceso con el dichoso mensajito de los colegas Diffie y Hellman.
Fernando Cardenas
23/10/15 10:29
Hola que tal, 

Javier para preguntarte como te fue con la recomendacion de David, tengo el mismo problema con Windows Server 2012

Saludos!!
David Torres Ulloa
23/10/15 11:06
Fernando, en Windows Server debes actualizar los cifrados en el registro de windows, te dejo esto y espero te sirva. 

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Cryptography]

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Cryptography\Configuration]

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL]

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002]
"Functions"="TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P521,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P521,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA"

Guardar esto en un TXT y renombrarlo a .REG, al ejecutarlo, el contenido reemplazará todo lo que está en el "HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \SecurityProviders" en el registro.

RECOMIENDO CREAR UN BACKUP DEL REGISTRO ANTES DE EJECUTAR O EJECUTARLO EN UN SERVER DE PRUEBA.

SALU2
Javier Ocaranza
23/10/15 16:06
Fernando:
               La solución más fácil estamos usando IE 8.0 para acceder a los servidores. No hemos tenido tiempo de hacer cambios. Salimos a producción con boleta electrónica y estamos locos y cortos de tiempo. En el verano le dedicaremos tiempo.

Saludos
Fernando Cardenas
26/10/15 11:18
Muchas gracias por la informacion Javier / David

David pregunta, dicha recomendacion que me dices, para tener un mejor concimiento, sobre el cambio de registro, en si que lo que se esta realizando, alguna actualizacion del SSL?

Saludos!!
David Torres Ulloa
26/10/15 11:32
Fernando, lo que hace es agregar mas cifrados a los ya existentes (algunos obsoletos, sobre todo los que trabajan con TLS 1.0) y fortalece la encriptacion del protocolo SSL instalado independiente de la versión, muy similar a lo que publique para Tomcat. 
Fernando Cardenas
26/10/15 16:16
Gracias por la info David!!

Ya realice los pasos que me comentas del registro pero sigue el mensaje de error, se requiere un renicio del servidor? o sabras algun otro metodo de dar solucion?

Saludos!!
Isaacmc10
25/01/16 6:57
gracias mil.
Sergio Espinoza
7/04/16 6:57
hola yo tengo una intranet que no puedo actualizar ya que no soy el admin, como bajo la seguridad en el navegador o que exceptue una ip fija...saludos