node.js - 连接到旧 API 时出现“tls_process_ske_dhe:dh key too small”错误
问题描述
我正在尝试使用 Node 连接到旧 API ( Runing Java 6 ),但我被 SSL 握手阻止了。
完整错误如下所示:Error: 65756:error:141A318A:SSL routines:tls_process_ske_dhe:dh key too small:openssl\ssl\statem\statem_clnt.c:1472:
我已经尝试了很多不同的方法来解决这个问题,但没有一个能让我更接近。这是我运行的测试脚本以避免不得不拉整个集成:
const tls = require('tls');
tls.connect({
host: 'old.api.com',
port: 8443,
//ciphers: suiteFromNmap,
//secureProtocol: 'TLSv1_method',
//minDHSize: 768,
}, function(result) {
console.log(result);
}).on('error', function(err) {
console.log(err);
});
我试过使用密码参数,无论我使用哪个套件,都没有任何区别,有时因为没有找到常见的密码而出现不同的错误。
我用 nmap 进行了一些挖掘,导致了这一点:
PORT STATE SERVICE
8443/tcp open https-alt
| ssl-enum-ciphers:
| TLSv1.0:
| ciphers:
| TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA - E
| TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA (dh 768) - E
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 768) - C
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 768) - B
| TLS_DHE_RSA_WITH_DES_CBC_SHA (dh 768) - E
| TLS_RSA_EXPORT_WITH_DES40_CBC_SHA - E
| TLS_RSA_EXPORT_WITH_RC4_40_MD5 - E
| TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
| TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
| TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
| TLS_RSA_WITH_DES_CBC_SHA (rsa 2048) - C
| TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C
| TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C
| compressors:
| NULL
| cipher preference: client
| warnings:
| 64-bit block cipher 3DES vulnerable to SWEET32 attack
| 64-bit block cipher DES vulnerable to SWEET32 attack
| 64-bit block cipher DES40 vulnerable to SWEET32 attack
| Broken cipher RC4 is deprecated by RFC 7465
| Ciphersuite uses MD5 for message integrity
| Key exchange (dh 768) of lower strength than certificate key
|_ least strength: E
我试图更改minDHSize
参数以匹配警告中指出的参数,但错误保持不变。
尝试使用在线 SSL 检查(https://www.ssllabs.com/ssltest/)并得到了这个:
尝试了这些密码,但仍然是同样的错误。
ssllabs.com 似乎对他们的证书很满意,但 wget 没有--no-check-certificate
:
ERROR: The certificate of ‘old.api.com’ is not trusted.
ERROR: The certificate of ‘old.api.com’ hasn't got a known issuer.
在这一点上,我不确定我还能尝试什么,我可以做些什么来让节点连接到这个服务器?考虑到没有什么真正重要或私人的事情发生,我愿意选择它的低安全版本,只要我不必使整个节点实例不安全。
解决方案
尝试将 CipherString 设置为较低的级别/etc/ssl/openssl.cnf
[ default_conf ]
ssl_conf = ssl_sect
[ssl_sect]
system_default = ssl_default_sect
[ssl_default_sect]
MinProtocol = TLSv1.2
CipherString = DEFAULT:@SECLEVEL=1
推荐阅读
- linux - 为 curl 转义分号、双引号和反斜杠
- angular - Angular CDK 模态对话框的 Jasmine 规范失败
- java - 在 Race Program 中,当它与终点线碰撞时似乎无法宣布获胜者-java
- asp.net - Get Count of IList / ICollection property group by date | Entity Framework Core
- python - How to make ''string in list'' case-insensitive in python3.8.3
- google-sheets - 如何通过仅在第一个单元格中写入公式来填充整个列
- wordpress-gutenberg - Gutenberg/WordPress - Open sidebar by default
- bash - Batch rename all files in a directory to basename-sequentialnumber.extention
- docker - 在 docker 中运行的红隼无法提供静态内容
- regex - 使用正则表达式仅匹配百分比中的数字