伺服器的瞬時公共密鑰過弱

A. 如何處理伺服器SSL收到了一個弱臨時Diffie-Hellman 密鑰

伺服器的瞬時 Diffie-Hellman 公共密鑰過弱ERR_SSL_WEAK_SERVER_EPHEMERAL_DH_KEY ，打開詳細信息可看到「該錯誤會在連接到安全 (HTTPS) 伺服器時發生。 這意味著伺服器正在嘗試建立安全連接， 但由於嚴重的配置錯誤，連接會很不安全！在這種情況下， 伺服器需要進行修復。 為了保護您的隱私， 「Google Chrome」不會使用不安全的連接。」

如果換用QQ或其他瀏覽器同樣打不開此網站並得到類似Diffie-Hellman 密鑰過弱的錯誤提示。這由於網站伺服器上的SSL加密套件過弱造成的，比較早期版本的瀏覽器只支持40或56位加密，此類密鑰較短的加密演算法幾前年已經被證實可能被破解，像新版本火狐、谷歌這種對信息安全要求較為嚴格的瀏覽器，會主動強制要求網站運營商更新加密套件，以提高網站訪問的安全性。如果您只是普通的網上用戶需要打開此網站，建議您換用IE、獵豹、Opera瀏覽器打開網頁即可，雖然加密位不強，但總比HTTP網站信息裸奔好很多。

當然，如果您一直習慣用火狐瀏覽器，您也可以通過安裝一個安全插件來修復此強制提升弱臨時Diffie-Hellman 密鑰問題

B. 古哥瀏覽器怎樣打開沒有閃電標志的網頁

修正網路連接錯誤

如果您在嘗試訪問某個網站時收到了錯誤消息，請考慮嘗試以下解決方法。

如果下文中未列出您所遇到的錯誤，請了解如何修正網頁載入錯誤或下載錯誤。

修正大多數連接錯誤

如果您嘗試訪問某個網站，但無法打開，請先嘗試按照以下問題排查步驟操作，修正該錯誤：

• 檢查網址是否有拼寫錯誤。

• 確保您的互聯網連接正常。如果互聯網連接不穩定，請了解如何解決互聯網穩定性問題。

• 與網站所有者聯系。

獲取具體錯誤消息的有關幫助

「此網頁包含重定向循環」或「ERR_TOO_MANY_REDIRECTS」

當相應網頁嘗試對您進行重定向的次數過多時，您就會看到這條錯誤消息。

有時，網頁打不開是因為 Cookie 無法正常發揮作用。要修正該錯誤，請嘗試清除您的 Cookie。

「此網站無法提供安全連接；network-error 發送的響應無效」或「ERR_SSL_FALLBACK_BEYOND_MINIMUM_VERSION」

如果網頁有 Chrome 無法理解的錯誤，您就會看到這條錯誤消息。

要修正該錯誤，請與網站所有者聯系。

如果您是此網站的所有者，請了解如何修正ERR_SSL_FALLBACK_BEYOND_MINIMUM_VERSION錯誤。

「您的連接不是私密連接」、「ERR_CERT_SYMANTEC_LEGACY」、「NET::ERR_CERT_AUTHORITY_INVALID」、「ERR_CERT_COMMON_NAME_INVALID」、「NET::ERR_CERT_WEAK_SIGNATURE_ALGORITHM」、「ERR_CERTIFICATE_TRANSPARENCY_REQUIRED」或「SSL 證書錯誤」

• 如果系統提示有關 SHA-1 或 Symantec 的錯誤，請要求網站所有者更新網站的證書。詳細了解為什麼SHA-1和Symantec 頒發的證書不受支持。

• 如果系統提示有關 HSTS、隱私安全證書錯誤或無效名稱的錯誤，請嘗試按以下步驟操作：

第 1 步：登錄門戶

在使用咖啡館或機場的 Wi-Fi 網路之前，您必須先登錄。要查看登錄頁面，請訪問網址以http://開頭的網頁。

• 轉到網址以http://開頭的網站，例如http://example.com。

• 在隨即打開的登錄頁面中，登錄以使用互聯網。

第 2 步：在無痕模式下打開網頁（僅限計算機）

在無痕式窗口中打開您訪問的網頁。

如果頁面可以打開，則說明某個 Chrome 擴展程序無法正常運行。要修正該錯誤，請關閉該擴展程序。了解如何關閉 Chrome 擴展程序。

第 3 步：更新您的操作系統

確保您設備上的Windows、Mac或其他操作系統是最新版本。

第 4 步：暫時關閉您的防病毒軟體

如果您安裝了可提供「HTTPS 保護」或「HTTPS 掃描」功能的防病毒軟體，您就會看到這條錯誤消息。此類防病毒軟體會阻止 Chrome 提供安全保護。

要解決該問題，請關閉您的防病毒軟體。如果關閉防病毒軟體後網頁可以正常打開，那麼當您使用安全網站時，請一定關閉此軟體。

事後請記得重新開啟防病毒程序。

第 5 步：獲取其他幫助

如果您仍然看到該錯誤，請與網站所有者聯系。您也可以獲取更多幫助，只需訪問Chrome 幫助論壇即可。

「連接到網路」

如果您正在使用一個必須登錄才能訪問互聯網的 Wi-Fi 門戶，您就會看到這條錯誤消息。

要修正該錯誤，請在您嘗試打開的網頁上點擊連接。

「您的時鍾慢了」、「您的時鍾快了」或「NET::ERR_CERT_DATE_INVALID」

如果您的計算機或移動設備的日期與時間不準確，您就會看到這條錯誤消息。

要修正該錯誤，請打開您設備的時鍾，並確保日期與時間正確無誤。

「伺服器的瞬時 Diffie-Hellman 公共密鑰過弱」或「ERR_SSL_WEAK_EPHEMERAL_DH_KEY」

如果您正在嘗試訪問安全代碼已過期的網站，就會看到這條錯誤消息。Chrome 會阻止您連接到這些網站，以保護您的隱私安全。

如果您是此網站的所有者，請嘗試更新您的伺服器以支持 ECDHE 並關閉 DHE。如果無法使用 ECDHE，您可以關閉所有的 DHE 加密套件並使用普通的 RSA。

「無法顯示此網頁」或「ERR_SSL_VERSION_OR_CIPHER_MISMATCH」

如果您正在嘗試訪問安全代碼已過期的網站，就會看到這條錯誤消息。Chrome 會阻止您連接到這些網站，以保護您的隱私安全。

如果您是此網站的所有者，請嘗試將您的伺服器設為使用 TLS 1.2 和 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256，而不是 RC4。RC4 已不再安全可靠。如果您無法關閉 RC4，請確認是否有其他非 RC4 加密套件處於開啟狀態。

「您計算機上的軟體導致 Chrome 無法安全地連接到網路」（僅限 Windows 計算機）

如果您的 Windows 計算機上裝有 SuperFish 軟體，您就會看到這條錯誤消息。要從計算機中移除此軟體，請按照以下步驟操作。

• 在 Windows 計算機上，打開 Chrome。

• 轉到針對此問題的 Lenovo 支持頁面。

• 點擊下載 SuperFish 移除工具。

• 點擊底部的文件名 (Lenovo.SuperFishRemovalTool.exe)。

• 按照屏幕上的說明操作。

「刪除過期的 DigiCert 證書」（僅限 Mac 計算機）

如果網頁使用的證書在計算機上的設置有誤，您就會看到這條錯誤消息。

要修正該錯誤，請嘗試按以下提示操作：

• 在 Mac 計算機上，點擊右上角的「Spotlight 搜索」圖標。

• 輸入「DigiCert High」，然後按鍵盤上的Enter鍵。

• 找到標記為「已過期」的「DigiCert High Assurance EV Root CA」。點擊該證書。

• 按鍵盤上的刪除。

仍無法解決問題？如果以上提示無助於解決問題，則可能是您的網路連接遭到了入侵。如需獲取更多幫助，請訪問Chrome 幫助論壇。

C. 如何處理伺服器SSL收到了一個弱臨時Diffie-Hellman 密鑰

提升自己的伺服器環境版本就可以了，讓自己的伺服器支持最新的演算法。

D. 怎樣重新驗證將要過期的伺服器標識符文件

務器標識符的過期期限是100年．但是您可以改變預設期限，例如幾年，這樣當快到期時，每次您啟動伺服器，系統會提示標識符文件將要過期．管理員可以使用
下面的辦法：
（一）對於Domino 5.X版本
1在伺服器控制台輸入＂q＂，退出Domino伺服器
2從操作系統，將公共通信錄（names.nsf），伺服器的標識符，驗證字的標識符文件拷貝到工作站客戶端
3啟動Administration軟體
4確保伺服器選擇＂本地＂，點擊＂配置＂標簽
5在右邊屏幕點擊＂工具＂－－＂驗證＂－－＂標識符屬性＂
6打開server.id，查看其證書，確保您將使用正確的驗證字
7在右邊屏幕點擊＂工具＂－－＂驗證字＂－－＂驗證＂
8選擇驗證者標識符並輸入口令
9選擇伺服器標識符作為被驗證者，並輸入口令
10在驗證標識符對話框中，確保伺服器顯示＂本地＂並且驗證字名稱是正確的，修改過期日期，點擊＂驗證＂按鈕．
11從server.id中將新的公共密鑰拷貝到公共通信錄中的伺服器文檔
12從操作系統，將新的server.id和公共通信錄資料庫拷貝到伺服器上
13重新啟動伺服器，就不會出現過期的提示．如果您是一個多伺服器的環境，將公共通信錄復制到其它的伺服器上
（二）對於Domino 4.5X和 4.6X版本
1在伺服器控制台輸入＂q＂，退出Domino伺服器
2打開伺服器機器上的本地客戶端，或從操作系統，將公共通信錄（names.nsf），伺服器的標識符，驗證字的標識符文件拷貝到其它工作站客戶端
3點擊菜單＂文件＂－－＂工具＂－－＂伺服器管理＂，選擇＂本地＂．點擊菜單＂管理＂－－＂標識符文件＂
4打開server.id，在＂證書＂標簽下，查看其證書，確保您將使用正確的驗證字
5點擊＂驗證字＂－－＂驗證標識符文件＂
6選擇驗證者標識符並輸入口令，選擇伺服器標識符作為被驗證者，並輸入口令
7在驗證標識符對話框中，確保伺服器顯示＂本地＂並且驗證字名稱是正確的
8修改過期日期
9點擊＂驗證＂按鈕．
10從server.id中將新的公共密鑰拷貝到公共通信錄中的伺服器文檔
11如果您是在工作站機器而不是伺服器機器上，則從操作系統，將新的server.id和公共通信錄資料庫拷貝到伺服器上
12重新啟動伺服器，就不會出現過期的提示．如果您是一個多伺服器的環境，將公共通信錄復制到其它的伺服器上

E. diffie-hellman 公共密鑰過弱怎麼解決

在部署單點的那個伺服器中的tomcat的conf/server.xml的443埠配置中加入下面這個：
sslEnabledProtocols = "TLSv1,TLSv1.1,TLSv1.2" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_RSA_WITH_AES_128_CBC_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
TLS_RSA_WITH_3DES_EDE_CBC_SHA,
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA"