Наверх
Наверх
Онлайн
техподдержка
 

Вы все еще пользуетесь браузером Internet Explorer 6?

Эта программа для просмотра веб-страниц безнадежно устарела и не соответствует современным стандартам. Мы предлагаем вам скачать и установить другой браузер. Ниже представлены самые популярные.


Mozilla Firefox, Opera, Google Chrome
Уважаемые абоненты! Компанией ТТК внедряется единый федеральный сайт для абонентов
Продолжить общение в форуме вы можете на сайте «settka.online»
Обратиться с вопросами по качеству услуг ТТК вы можете здесь
ERR_SSL_WEAK_SERVER_EPHEMERAL_DH_KEY Страница 1 из 1
Автор
Сообщение
zuldjin 2 Дилетант Дилетант
0
Новое сообщение Дата создания темы: 02-06-2015 12:55
при входе на страницу(браузер Chrome) кабинета выдаёт такую страничку. Как это понимать?

На сервере используется слабый эфемерный открытый ключ Диффи-Хелмана
ERR_SSL_WEAK_SERVER_EPHEMERAL_DH_KEY

через оперу заходить могу
Автор
Сообщение
selecadmОтключен 0 Зарегистрированный
+1
Новое сообщение Добавлено: 04-06-2015 06:00
На сервере stat.baikal-ttk.ru используются 768-разрядные параметры Диффи-Хеллмана. Посещение таких сайтов в Internet Explorer заблокировано обновлением безопасности KB3061518. В Google Chrome блокировка введена в 45 версии, работа над исправлением в Google началась после моего сообщения, демонстрировал дыру в безопасности так же на 768-разрядных параметрах. В Mozilla Firefox блокировка введена в 39 версии.

Кстати, старая Opera (которая 12, на движке Presto) ещё в 2013 году выдавала предупреждение:
Цитата:
Сайт использует устаревший метод шифрования, который уже считается небезопасным и не может надёжно защитить критичные данные. Продолжить?

Сервер использует короткий открытый ключ шифрования, который не считается надёжным.

https://support.microsoft.com/en-us/kb/3061518
Уязвимость в безопасном канале могла привести к раскрытию информации: 12 мая 2015

https://code.google.com/p/chromium/issues/detail?id=490240
Увеличить минимальный размер DH до 1024 бит

https://bugzilla.mozilla.org/show_bug.cgi?id=1138554
Уязвимость: NSS поддерживает экспортную длину DHE с обычными наборами шифров

https://www.ssllabs.com/ssltest/analyze.html?d=stat.baikal-ttk.ru

Цитата:
— Сервер поддерживает небезопасные параметры обмена ключами Диффи-Хеллмана. Присвоен рейтинг F.
— Сервер поддерживает 512-разрядные экспортные наборы и может быть уязвим к атаке FREAK. Присвоен рейтинг F.
— Сервер уязвим к атаке POODLE. Отключить SSL 3 для предотвращения. Рейтинг понижен до C.
— Сертификат использует слабую подпись. При замене убедитесь в обновлении до SHA2.
— Сервер поддерживает только старые протоколы, но не наилучший на данный моммент TLS 1.2. Рейтинг понижен до C.
— Сервер поддерживает шифр RC4, являющийся слабым. Рейтинг понижен до B.
— Сервер не поддерживает прямую секретность с эталонными браузерами.
— Цепочка сертификации этого сервера является неполной. Рейтинг понижен до B.

Наборы шифров (сортировка по стойкости, сервер не имеет предпочтений):

TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x33) DH 768 bits (p: 96, g: 96, Ys: 96) НЕБЕЗОПАСНО 128
Автор
Сообщение
Ferrus 0 Зарегистрированный
0
Новое сообщение Добавлено: 09-06-2015 23:58
И как теперь смотреть свой баланс?
Автор
Сообщение
selecadmОтключен 0 Зарегистрированный
+1
Новое сообщение Добавлено: 10-06-2015 04:20
Есть несколько вариантов:

1. Через Internet Explorer
Он поддерживает обмен ключами Диффи-Хеллмана только совместно с аутентифицированным шифрованием (AES в режиме Galois/Counter Mode), а личный кабинет поддерживает только устаревшие технологии шифрования (режим сцепления блоков), в итоге браузер и сервер согласовывают статичный 2048-разрядный обмен ключами, а 768-разрядный, использование которого в 2015 году запрещено, использоваться не будет.

2. Запрет использования в Google Chrome наборов шифров, подверженных уязвимости

Сервер объявляет об использования следующего набора шифра с использованием 768-разрядного обмена:
TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x33)

Для его блокировки воспользуемся параметром --cipher-suite-blacklist.
Открываем свойства ярлыка, в строке Объект после кавычки ставим пробел и пишем --cipher-suite-blacklist=0x0033 (прям так, с двумя дефисами в начале).
Нажимаем ОК, сохраняем. Если Chrome был открыт, полностью его закрываем, смотрим в диспетчере задач, чтобы не осталось процессов chrome.exe, то есть ждём полного завершения работы браузера. Теперь следим, чтобы браузер запускался только через этот ярлык, и только в обычном режиме, если нужен режим инкогнито, после открытия нажимаем Ctrl-Shift-N.

Для блокировки всех уязвимых наборов шифров независимо от любых сайтов используйте --cipher-suite-blacklist=0x0033,0x0039,0x009e,0xcc15
Так будет ещё надёжнее.

Если ярлык закреплён в панели задач, он находится в папке %AppData%\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar
Соответственно, нужно менять именно его свойства.

То же самое применимо к Opera версии 14 и выше, браузеру Vivaldi и вообще любому, основанному на Chromium. Например, Яндекс.Браузер.
Страница 1 из 1
Перейти в другой форум: