На сервере используется слабый эфемерный открытый ключ Диффи-Хелмана (ERR_SSL_WEAK_EPHEMERAL_DH_KEY)
После очередного обновления Chrome я не смог попасть в админку сервиса Symantec Data Insight (это внутренний сервис, поэтому используется самоподписаный сертификат):
После гугления выяснилось, что проблема возникает, если сервер пытается установить безопасное соединение использую ключ шифрования размером менее 128 байт (1024 бит). На сайте https://weakdh.org/ можно изучить вопрос, а в разделе Guide to Deploying Diffie-Hellman for TLS можно найти способы странения уявзимости для популярных серверных продуктов (Apache, Tomcat, IIS, postfix).
В моём случае проблемы была с веб-сервером Tomcat, который используется в продукте Symantec Data Insight. Для решения проблемы потребовалось только добавить в настройках веб-сервера следующие алгоритмы:
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA
Настройки Tomcat хранятся в файле server.xml, который обычно лежит в папке с продуктом, который использует этот веб-сервер. Если не знаете где лежат настройки, то попробуйте воспользоваться поиском:
Находим коннектор -- тег , который отвечает за этот сервис (в случае DI он один) и дописываем алгоритмы:
Перестартовываем сервис:
net stop DataInsightWeb
net start DataInsightWeb
Ура!
После гугления выяснилось, что проблема возникает, если сервер пытается установить безопасное соединение использую ключ шифрования размером менее 128 байт (1024 бит). На сайте https://weakdh.org/ можно изучить вопрос, а в разделе Guide to Deploying Diffie-Hellman for TLS можно найти способы странения уявзимости для популярных серверных продуктов (Apache, Tomcat, IIS, postfix).
В моём случае проблемы была с веб-сервером Tomcat, который используется в продукте Symantec Data Insight. Для решения проблемы потребовалось только добавить в настройках веб-сервера следующие алгоритмы:
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA
Настройки Tomcat хранятся в файле server.xml, который обычно лежит в папке с продуктом, который использует этот веб-сервер. Если не знаете где лежат настройки, то попробуйте воспользоваться поиском:
Находим коннектор -- тег , который отвечает за этот сервис (в случае DI он один) и дописываем алгоритмы:
Перестартовываем сервис:
net stop DataInsightWeb
net start DataInsightWeb
Ура!