Solución: el servidor tiene una clave pública efímera débil de Diffie-Hellman

Los usuarios experimentan el mensaje de error ‘Sever tiene una clave pública efímera débil de Diffie-Hellman‘ cuando intentan acceder a un sitio web desde su computadora pero los protocolos de seguridad no están configurados correctamente. Este mensaje de error no significa que haya algún problema con el extremo del usuario. Este problema se origina en el lado del servidor donde las configuraciones de seguridad no son adecuadas. Todavía hay algunas soluciones para acceder al sitio web, pero el webmaster debe solucionar el problema correctamente.

El servidor tiene una clave pública efímera débil de Diffie-Hellman
El servidor tiene una clave pública efímera débil de Diffie-Hellman

El intercambio de claves Diffie-Hellman (DH) es un método para intercambiar claves criptográficas a través de un canal público. DH es uno de los ejemplos prácticos más fáciles de intercambio de clave pública implementado en el campo de la criptografía. Las máquinas servidor y cliente intercambian información de vez en cuando con la información segura en claves criptográficas. Si se utiliza DH para la transferencia y la clave DH es débil, el navegador se negará a establecer una conexión para proteger su privacidad.

¿Qué causa el error «El servidor tiene una clave pública efímera débil de Diffie-Hellman»?

Como se mencionó anteriormente, este mensaje de error implica que hay algún problema en el lado del servidor; no en tu final. La configuración no está configurada correctamente, lo que hace que el protocolo de seguridad SSL3 falle y, por lo tanto, le restrinja el acceso al sitio web.

Lo máximo que puede hacer es deshabilitar el SSL3 de su navegador y acceder al sitio web. Tenga en cuenta que es posible que pueda acceder a él, pero no se garantizará la seguridad de la conexión. Para los webmasters del lado del servidor, debe configurar su sitio correctamente para que los usuarios puedan conectarse a él correctamente.

Solución 1: deshabilitar SSL3 (lado del cliente)

Antes de dar una idea de cómo solucionar el error en el lado del servidor, veremos cómo el cliente (usted, el usuario) puede omitir este mensaje de error y seguir accediendo al sitio web. SSL3 (Secure Sockets Layer) es un estándar de seguridad para establecer un enlace encriptado entre su navegador y el servidor. Podemos deshabilitar SSL3 en su navegador y ver si esto soluciona el problema.

Aquí estamos demostrando cómo deshabilitar SSL3 en Firefox. Puede replicar los pasos en su navegador.

  1. Abre Firefox y escribe lo siguiente en la barra de direcciones “acerca de: configuración”. Una vez en las configuraciones, busca seguridad desde la barra de búsqueda.
acerca de: configuración en Firefox
acerca de: configuración en Firefox
  1. Ahora se enumerarán todas las configuraciones relacionadas con la seguridad. Busque las siguientes entradas:
security.ssl3.dhe_rsa_aes_128_sha
security.ssl3.dhe_rsa_aes_256_sha

Haga clic derecho en cada uno de ellos y haga clic en Palanca. Si el valor es verdadero, será falso.

Deshabilitar SSL3 en Firefox
Deshabilitar SSL3 en Firefox
  1. Después de realizar los cambios, reinicie Firefox e intente acceder al sitio web nuevamente. Compruebe si el problema está resuelto.

Para Google Chrome, ejecute los siguientes comandos en la línea de comandos y solucione el problema.

  1. Presione Windows + S, escriba «símbolo del sistema” en el cuadro de diálogo, haga clic derecho en la aplicación y seleccione Ejecutar como administrador.
  2. Una vez en el símbolo del sistema elevado, ejecute los siguientes comandos:
open /Applications/Google\ Chrome.app --args --cipher-suite-blacklist=0x0088,0x0087,0x0039,0x0038,0x0044,0x0045,0x0066,0x0032,0x0033,0x0016,0x0013
Deshabilitar SSL3 en Google Chrome
Deshabilitar SSL3 en Google Chrome
  1. Ahora intente acceder al sitio web y compruebe si se omite el mensaje de error.

Solución 2: establecer una clave pública DH adecuada (lado del servidor)

Si usted es el webmaster, obviamente sabrá que está utilizando el intercambio de claves Diffie-Hellman en su servidor/sitio web. Se propone que configure la clave más de 1024 (bits). Cuanto más larga sea la clave, más segura será la conexión entre el servidor/sitio web y el navegador.

Si es un usuario que experimenta el error al acceder a la página de administración de algún hardware de red, asegúrese de que esté actualizado a la última versión. Incluso hubo un lanzamiento oficial de software de Netgear donde se actualizó solo para contrarrestar el error.