服务器的瞬时公共密钥过弱

A. 如何处理服务器SSL收到了一个弱临时Diffie-Hellman 密钥

服务器的瞬时 Diffie-Hellman 公共密钥过弱ERR_SSL_WEAK_SERVER_EPHEMERAL_DH_KEY ，打开详细信息可看到“该错误会在连接到安全 (HTTPS) 服务器时发生。 这意味着服务器正在尝试建立安全连接， 但由于严重的配置错误，连接会很不安全！在这种情况下， 服务器需要进行修复。 为了保护您的隐私， “Google Chrome”不会使用不安全的连接。”

如果换用QQ或其他浏览器同样打不开此网站并得到类似Diffie-Hellman 密钥过弱的错误提示。这由于网站服务器上的SSL加密套件过弱造成的，比较早期版本的浏览器只支持40或56位加密，此类密钥较短的加密算法几前年已经被证实可能被破解，像新版本火狐、谷歌这种对信息安全要求较为严格的浏览器，会主动强制要求网站运营商更新加密套件，以提高网站访问的安全性。如果您只是普通的网上用户需要打开此网站，建议您换用IE、猎豹、Opera浏览器打开网页即可，虽然加密位不强，但总比HTTP网站信息裸奔好很多。

当然，如果您一直习惯用火狐浏览器，您也可以通过安装一个安全插件来修复此强制提升弱临时Diffie-Hellman 密钥问题

B. 古哥浏览器怎样打开没有闪电标志的网页

修正网络连接错误

如果您在尝试访问某个网站时收到了错误消息，请考虑尝试以下解决方法。

如果下文中未列出您所遇到的错误，请了解如何修正网页加载错误或下载错误。

修正大多数连接错误

如果您尝试访问某个网站，但无法打开，请先尝试按照以下问题排查步骤操作，修正该错误：

• 检查网址是否有拼写错误。

• 确保您的互联网连接正常。如果互联网连接不稳定，请了解如何解决互联网稳定性问题。

• 与网站所有者联系。

获取具体错误消息的有关帮助

“此网页包含重定向循环”或“ERR_TOO_MANY_REDIRECTS”

当相应网页尝试对您进行重定向的次数过多时，您就会看到这条错误消息。

有时，网页打不开是因为 Cookie 无法正常发挥作用。要修正该错误，请尝试清除您的 Cookie。

“此网站无法提供安全连接；network-error 发送的响应无效”或“ERR_SSL_FALLBACK_BEYOND_MINIMUM_VERSION”

如果网页有 Chrome 无法理解的错误，您就会看到这条错误消息。

要修正该错误，请与网站所有者联系。

如果您是此网站的所有者，请了解如何修正ERR_SSL_FALLBACK_BEYOND_MINIMUM_VERSION错误。

“您的连接不是私密连接”、“ERR_CERT_SYMANTEC_LEGACY”、“NET::ERR_CERT_AUTHORITY_INVALID”、“ERR_CERT_COMMON_NAME_INVALID”、“NET::ERR_CERT_WEAK_SIGNATURE_ALGORITHM”、“ERR_CERTIFICATE_TRANSPARENCY_REQUIRED”或“SSL 证书错误”

• 如果系统提示有关 SHA-1 或 Symantec 的错误，请要求网站所有者更新网站的证书。详细了解为什么SHA-1和Symantec 颁发的证书不受支持。

• 如果系统提示有关 HSTS、隐私安全证书错误或无效名称的错误，请尝试按以下步骤操作：

第 1 步：登录门户

在使用咖啡馆或机场的 Wi-Fi 网络之前，您必须先登录。要查看登录页面，请访问网址以http://开头的网页。

• 转到网址以http://开头的网站，例如http://example.com。

• 在随即打开的登录页面中，登录以使用互联网。

第 2 步：在无痕模式下打开网页（仅限计算机）

在无痕式窗口中打开您访问的网页。

如果页面可以打开，则说明某个 Chrome 扩展程序无法正常运行。要修正该错误，请关闭该扩展程序。了解如何关闭 Chrome 扩展程序。

第 3 步：更新您的操作系统

确保您设备上的Windows、Mac或其他操作系统是最新版本。

第 4 步：暂时关闭您的防病毒软件

如果您安装了可提供“HTTPS 保护”或“HTTPS 扫描”功能的防病毒软件，您就会看到这条错误消息。此类防病毒软件会阻止 Chrome 提供安全保护。

要解决该问题，请关闭您的防病毒软件。如果关闭防病毒软件后网页可以正常打开，那么当您使用安全网站时，请一定关闭此软件。

事后请记得重新开启防病毒程序。

第 5 步：获取其他帮助

如果您仍然看到该错误，请与网站所有者联系。您也可以获取更多帮助，只需访问Chrome 帮助论坛即可。

“连接到网络”

如果您正在使用一个必须登录才能访问互联网的 Wi-Fi 门户，您就会看到这条错误消息。

要修正该错误，请在您尝试打开的网页上点击连接。

“您的时钟慢了”、“您的时钟快了”或“NET::ERR_CERT_DATE_INVALID”

如果您的计算机或移动设备的日期与时间不准确，您就会看到这条错误消息。

要修正该错误，请打开您设备的时钟，并确保日期与时间正确无误。

“服务器的瞬时 Diffie-Hellman 公共密钥过弱”或“ERR_SSL_WEAK_EPHEMERAL_DH_KEY”

如果您正在尝试访问安全代码已过期的网站，就会看到这条错误消息。Chrome 会阻止您连接到这些网站，以保护您的隐私安全。

如果您是此网站的所有者，请尝试更新您的服务器以支持 ECDHE 并关闭 DHE。如果无法使用 ECDHE，您可以关闭所有的 DHE 加密套件并使用普通的 RSA。

“无法显示此网页”或“ERR_SSL_VERSION_OR_CIPHER_MISMATCH”

如果您正在尝试访问安全代码已过期的网站，就会看到这条错误消息。Chrome 会阻止您连接到这些网站，以保护您的隐私安全。

如果您是此网站的所有者，请尝试将您的服务器设为使用 TLS 1.2 和 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256，而不是 RC4。RC4 已不再安全可靠。如果您无法关闭 RC4，请确认是否有其他非 RC4 加密套件处于开启状态。

“您计算机上的软件导致 Chrome 无法安全地连接到网络”（仅限 Windows 计算机）

如果您的 Windows 计算机上装有 SuperFish 软件，您就会看到这条错误消息。要从计算机中移除此软件，请按照以下步骤操作。

• 在 Windows 计算机上，打开 Chrome。

• 转到针对此问题的 Lenovo 支持页面。

• 点击下载 SuperFish 移除工具。

• 点击底部的文件名 (Lenovo.SuperFishRemovalTool.exe)。

• 按照屏幕上的说明操作。

“删除过期的 DigiCert 证书”（仅限 Mac 计算机）

如果网页使用的证书在计算机上的设置有误，您就会看到这条错误消息。

要修正该错误，请尝试按以下提示操作：

• 在 Mac 计算机上，点击右上角的“Spotlight 搜索”图标。

• 输入“DigiCert High”，然后按键盘上的Enter键。

• 找到标记为“已过期”的“DigiCert High Assurance EV Root CA”。点击该证书。

• 按键盘上的删除。

仍无法解决问题？如果以上提示无助于解决问题，则可能是您的网络连接遭到了入侵。如需获取更多帮助，请访问Chrome 帮助论坛。

C. 如何处理服务器SSL收到了一个弱临时Diffie-Hellman 密钥

提升自己的服务器环境版本就可以了，让自己的服务器支持最新的算法。

D. 怎样重新验证将要过期的服务器标识符文件

务器标识符的过期期限是100年．但是您可以改变缺省期限，例如几年，这样当快到期时，每次您启动服务器，系统会提示标识符文件将要过期．管理员可以使用
下面的办法：
（一）对于Domino 5.X版本
1在服务器控制台输入＂q＂，退出Domino服务器
2从操作系统，将公共通信录（names.nsf），服务器的标识符，验证字的标识符文件拷贝到工作站客户端
3启动Administration软件
4确保服务器选择＂本地＂，点击＂配置＂标签
5在右边屏幕点击＂工具＂－－＂验证＂－－＂标识符属性＂
6打开server.id，查看其证书，确保您将使用正确的验证字
7在右边屏幕点击＂工具＂－－＂验证字＂－－＂验证＂
8选择验证者标识符并输入口令
9选择服务器标识符作为被验证者，并输入口令
10在验证标识符对话框中，确保服务器显示＂本地＂并且验证字名称是正确的，修改过期日期，点击＂验证＂按钮．
11从server.id中将新的公共密钥拷贝到公共通信录中的服务器文档
12从操作系统，将新的server.id和公共通信录数据库拷贝到服务器上
13重新启动服务器，就不会出现过期的提示．如果您是一个多服务器的环境，将公共通信录复制到其它的服务器上
（二）对于Domino 4.5X和 4.6X版本
1在服务器控制台输入＂q＂，退出Domino服务器
2打开服务器机器上的本地客户端，或从操作系统，将公共通信录（names.nsf），服务器的标识符，验证字的标识符文件拷贝到其它工作站客户端
3点击菜单＂文件＂－－＂工具＂－－＂服务器管理＂，选择＂本地＂．点击菜单＂管理＂－－＂标识符文件＂
4打开server.id，在＂证书＂标签下，查看其证书，确保您将使用正确的验证字
5点击＂验证字＂－－＂验证标识符文件＂
6选择验证者标识符并输入口令，选择服务器标识符作为被验证者，并输入口令
7在验证标识符对话框中，确保服务器显示＂本地＂并且验证字名称是正确的
8修改过期日期
9点击＂验证＂按钮．
10从server.id中将新的公共密钥拷贝到公共通信录中的服务器文档
11如果您是在工作站机器而不是服务器机器上，则从操作系统，将新的server.id和公共通信录数据库拷贝到服务器上
12重新启动服务器，就不会出现过期的提示．如果您是一个多服务器的环境，将公共通信录复制到其它的服务器上

E. diffie-hellman 公共密钥过弱怎么解决

在部署单点的那个服务器中的tomcat的conf/server.xml的443端口配置中加入下面这个：
sslEnabledProtocols = "TLSv1,TLSv1.1,TLSv1.2" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_RSA_WITH_AES_128_CBC_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
TLS_RSA_WITH_3DES_EDE_CBC_SHA,
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA"