Comment résoudre l’erreur “ERR_SSL_WEAK_SERVER_EPHEMERAL_DH_KEY”. Guide étape par étape

/ troubleshooting / By




Comment résoudre l’erreur “ERR_SSL_WEAK_SERVER_EPHEMERAL_DH_KEY”. Guide étape par étape






Comprendre et résoudre l'erreur ERR_SSL_WEAK_SERVER_EPHEMERAL_DH_KEY

L'erreur ERR_SSL_WEAK_SERVER_EPHEMERAL_DH_KEY se produit lorsque le serveur utilise une clé Diffie-Hellman (DH) éphémère de faible sécurité pour établir une connexion SSL/TLS. Ce guide explique les étapes nécessaires pour corriger ce problème, comme l'augmentation de la taille de la clé DH à 2048 bits ou plus, la mise à jour des protocoles TLS, et l'optimisation des suites de chiffrement. Des exemples pour NGINX et Apache sont fournis pour faciliter la configuration. Si les erreurs persistent, contactez votre hébergeur ou webmaster.

Besoin d'aide ? Utilisez notre chatbot gratuit pour résoudre vos problèmes techniques en quelques minutes.

Points clés à retenir sur l’erreur “ERR_SSL_WEAK_SERVER_EPHEMERAL_DH_KEY

  • L’erreur survient lorsque le serveur utilise une clé Diffie-Hellman (DH) éphémère de faible sécurité pour établir une connexion SSL/TLS.
  • Cette clé étant trop faible, le protocole SSL/TLS est alors considéré comme non sécurisé par des navigateurs modernes tels que Chrome, Firefox ou Edge.
  • Une solution courante consiste à augmenter la taille de la clé Diffie-Hellman (au moins 2048 bits recommandés pour une sécurité adéquate).
  • Le serveur doit adopter des versions récentes du protocole TLS et mettre à jour ses suites de chiffrement.

Guide détaillé pour résoudre ERR_SSL_WEAK_SERVER_EPHEMERAL_DH_KEY

1. Étape 1: Comprendre le problème

L’erreur ERR_SSL_WEAK_SERVER_EPHEMERAL_DH_KEY apparaît la plupart du temps dans les environnements HTTPS lorsque le serveur utilise des paramètres de sécurité obsolètes, en particulier les suites de chiffrements basées sur Diffie-Hellman. Diffie-Hellman est un algorithme d’échange de clés utilisé dans de nombreux protocoles pour mettre en place une connexion sécurisée. Cependant, si la longueur de la clé DH est trop faible (512 bits ou moins), elle est vulnérable à des attaques de type force brute.

Pour connaître la situation exacte et valider qu’il s’agit bien de ce problème, procédez à un examen rapide du certificat SSL (avec des outils comme SSL Labs). Cela devrait révéler des informations sur la longueur actuelle de la clé et des algorithmes utilisés.

2. Étape 2: Optimiser la clé Diffie-Hellman sur le serveur

Remplacer ou augmenter la taille des clés Diffie-Hellman

Si votre serveur est configuré pour utiliser Diffie-Hellman et que la longueur de la clé est encore de 512 bits ou 768 bits, il est important d’augmenter cette longueur des clés à 2048 bits ou plus pour assurer la sécurité.

Les étapes diffèrent selon le serveur web utilisé. Voici un exemple pour NGINX :

  1. Générer un nouveau fichier DH de 2048 bits :

    openssl dhparam -out /etc/nginx/ssl/dhparam.pem 2048

  2. Configurer NGINX pour utiliser cette nouvelle clé DH :
    Vous devez l’ajouter dans votre configuration SSL dans le fichier de configuration de NGINX :

    ssl_dhparam /etc/nginx/ssl/dhparam.pem;

  3. Redémarrer NGINX pour appliquer les modifications :

sudo systemctl restart nginx

Conseil d’expert : Si vous gérez un serveur Apache, les étapes sont similaires, consultez la documentation spécifique de votre serveur pour implémenter la clé DH à 2048 bits.

3. Étape 3: Vérifier vos certificats SSL

Il est également possible que l’erreur soit liée à des certificats SSL/TLS non valides ou expirés. Effectuez une double vérification :

  • Certificats valides : Vérifiez que votre certificat n’est pas expiré. Vous pouvez faire cela via des outils comme SSL Checker.
  • Chaîne de certificats : Confirmez que tous les certificats intermédiaires ainsi que le certificat racine sont correctement installés.

Pour Apache, voici comment ajouter les certificats intermédiaires :

SSLCertificateFile /path/to/domain_cert.crt
SSLCertificateKeyFile /path/to/private.key
SSLCertificateChainFile /path/to/intermediate.crt

4. Étape 4: Mettre à jour les protocoles TLS

Les versions TLS obsolètes, telles que TLS 1.0 ou TLS 1.1 ne sont plus considérées comme sûres. Il faut configurer le serveur pour qu’il n’utilise que TLS 1.2 ou TLS 1.3.

Pour NGINX, vous pouvez désactiver les anciennes versions de TLS dans votre fichier de configuration :

ssl_protocols TLSv1.2 TLSv1.3;

Ensuite, redémarrez simplement le serveur pour appliquer les changements.

5. Étape 5: Vérifier et mettre à jour vos suites de chiffrement

Les suites de chiffrement faibles ou non pris en charge peuvent aussi causer cette erreur. Pour éviter cela, assurez-vous que vous acceptez seulement des suites de chiffrement modernes. Voici une recommandation pour configurer les suites acceptées dans NGINX :

ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384';
ssl_prefer_server_ciphers on;

Astuce expérimentée : Si vous configurez un serveur pour un usage professionnel, orientez-vous toujours vers des guides experts comme ceux fournis directement par Mozilla (Mozilla Server Configuration).

6. Étape 6: Réessayer et tester la connexion

Après toute modification, testez vos changements avec un outil de vérification HTTPS comme celui de SSL Labs ou via votre navigateur :

  • Tapez l’URL dans votre navigateur préféré (Chrome, Firefox, etc.) et voyez si l’erreur persiste.
  • Pour des tests plus avancés, utilisez un outil d’audit de sécurité sur SSL, tel que Qualys.

7. Contacter votre hébergeur ou webmaster

Si après tous ces ajustements, le problème continue, vous devrez alors contacter le support technique de votre hébergeur ou votre webmaster. Fournissez-leur les logs SSL et vos observations. Un hébergeur bien informé devrait être en mesure de résoudre cela rapidement.

FAQ : Problèmes fréquents autour de l’erreur ERR_SSL_WEAK_SERVER_EPHEMERAL_DH_KEY

Pourquoi l’erreur apparaît-elle uniquement sur certains navigateurs ?

Certains navigateurs plus récents refusent de se connecter à des serveurs qui utilisent des clés trop faibles. D’autres, plus anciens, peuvent toujours accepter ces clés malgré la faible sécurité, ce qui explique pourquoi le problème n’apparaît pas à chaque fois.

Comment vérifier rapidement si mon serveur utilise une clé Diffie-Hellman trop faible ?

Vous pouvez utiliser des outils en ligne gratuits comme SSL Labs qui vous fourniront un rapport complet sur la solidité des clés utilisées, ainsi qu’une notation de la sécurité globale de votre serveur.

Est-ce que la désactivation de Diffie-Hellman est une solution correcte ?

En réalité, non, car Diffie-Hellman est un composant important des protocoles cryptographiques, particulièrement pour le PFS (Perfect Forward Secrecy). Il vaut mieux utiliser une clé DH de taille adéquate (2048 bits ou plus) au lieu de désactiver complètement cette fonctionnalité.

Combien de temps faudra-t-il pour générer une clé Diffie-Hellman de 2048 bits ?

Cela dépend des ressources de votre serveur, mais en général, cela peut prendre quelques minutes. Il est aussi possible de générer une clé avec 4096 bits pour une sécurité accrue, mais cela sera plus long.

Liens utiles :

  • NordVPN – pour sécuriser vos navigations internet.
  • NordPass – pour une gestion sécurisée de vos mots de passe.
Post Views: 61

Related Posts

Subscribe
Subscribe