Firefox 39 - 安全连接失败 - 服务器密钥交换握手消息中的弱短暂Diffie-Hellman密钥

从Firefox 39开始，连接到某些第三方软件的旧管理界面会显示以下消息：

安全连接失败

连接到backup.trinetsolutions.com时发生错误。SSL在服务器密钥交换握手消息中收到了一个弱的短暂Diffie-Hellman密钥。（错误代码：ssl_error_weak_server_ephemeral_dh_key）

• 您尝试查看的页面无法显示，因为无法验证接收数据的真实性。
• 请与网站所有者联系，告知他们这个问题。

根据软件的不同，可能不需要升级。

我也有这个问题。在我的情况下，应用程序使用Tomcat，我能够更改server.xml文件中的配置设置。我在这里找到了解决方案。

引用相关部分：

Tomcat默认启用了几个弱密码。SSL在服务器密钥交换握手消息中收到了一个弱的短暂Diffie-Hellman密钥。如果您有Tomcat服务器（版本4.1.32或更高版本），则可以按照这些说明禁用SSL 2.0并禁用弱密码。打开server.xml 文件，将以下内容添加到SSL连接器

<connector port="443" maxhttpheadersize="8192" address="127.0.0.1" 
           enablelookups="false" disableuploadtimeout="true" acceptCount="100" 
           scheme="https" secure="true" clientAuth="false" SSLEnabled="true" 
           sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" 
           ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, 
           TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, 
           TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA, 
           TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,
           TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA" 
           keystoreFile="mydomain.key" keystorePass="changeit" 
           truststoreFile="mytruststore.truststore" truststorePass="changeit" />

在我的情况下，我必须在server.xml文件中修改的唯一部分是ciphers="..."部分。

执行此操作后，重新启动您的应用程序。

我想让人们知道一个解决方法，因为升级旧软件并不总是可能的。您可以安装Fiddler并在选项中启用HTTPS流量的解密。然后使用Fiddler运行访问该站点。Fiddler将为您代理流量，Firefox会认为一切都很好（除了警告Fiddler创建的SSL证书进行中间人SSL代理，但它可以让您绕过该警告）。

这样做的缺点是Firefox出于某种原因发出此警告，因此只有在安全风险超过优势的情况下才使用此警告。您也可以使用不同的浏览器（虽然在我的情况下该网站最适合使用Firefox），或者您可以安装一个旧版本的便携/独立版本的Firefox，并仅用于访问该网站（即不要访问其他网站）网站，因为它将缺乏最新版Firefox中的安全更新。