Cómo solucionar el error “ERR_SSL_WEAK_EPHEMERAL_DH_KEY”. Guía paso a paso

/ troubleshooting / By




Cómo solucionar el error “ERR_SSL_WEAK_EPHEMERAL_DH_KEY”. Guía paso a paso






Guía para Resolver el Error “ERR_SSL_WEAK_EPHEMERAL_DH_KEY”

Aprende a resolver el error “ERR_SSL_WEAK_EPHEMERAL_DH_KEY” siguiendo pasos como actualizar el servidor, configurar el protocolo TLS, solucionar conflictos con antivirus, y revisar la configuración del certificado SSL. Si el problema persiste, comunícate con el administrador del sitio.

Usa nuestro chatbot gratuito para recibir asistencia con problemas técnicos como este.

Puntos Clave de la Guía:

  1. Actualizar el servidor y mejorar la seguridad SSL.
  2. Configurar correctamente el protocolo TLS.
  3. Desactivar software antivirus que interfiera con las conexiones HTTPS.
  4. Verificar la configuración del certificado SSL.
  5. Eliminar y revisar software incompatible.
  6. Comunicarse con el administrador del sitio web si es necesario.

Paso 1: Actualizar el Servidor para Algoritmos Seguros

El error “ERR_SSL_WEAK_EPHEMERAL_DH_KEY” suele estar relacionado con la configuración insegura de SSL en el servidor. Uno de los problemas más comunes es el uso de claves temporales vulnerables DHE (Diffie-Hellman Ephemeral).

Método 1: Habilitar Elliptic Curve Diffie-Hellman (ECDHE)

Los servidores mal configurados suelen utilizar un protocolo más antiguo como DHE, que puede desencadenar este tipo de error. Es recomendable que actualices tu servidor para utilizar ECDHE, que es más seguro y moderno. Además, mejora el rendimiento del cifrado.

# Ejemplo de configuración de NGINX para habilitar ECDHE:
ssl_ecdh_curve secp384r1;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;
ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256';

Consejo de experto: No olvides agregar soporte para TLS 1.3 si tu servidor lo permite, ya que esto mejora aún más la seguridad y el rendimiento de las conexiones HTTPS.

Método 2: Desactivar DHE si ECDHE no está Disponible

Si, por alguna razón, no puedes habilitar ECDHE, desactiva los conjuntos de cifrado DHE y usa un algoritmo basado en RSA.

ssl_ciphers 'RSA:ECDHE-RSA-AES128-SHA256';

Importante: Asegúrate de probar esta configuración antes de implementarla en producción.

Paso 2: Configurar el Protocolo TLS Correctamente

El protocolo SSL ya no es considerado seguro; es necesario migrar a versiones más recientes de TLS (Transport Layer Security).

Método 1: TLS 1.2 y Cipher Suite Segura

Configura tu servidor para usar TLS 1.2 como protocolo mínimo y el cipher suite TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, el cual es mucho más seguro que el previamente usado RC4.

ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256';

Nota: Deshabilita cualquier cipher basado en RC4, ya que ha sido vulnerado y no se considera seguro.

Método 2: Permitir Solo Cipher Suites Fuertes

Además de TLS 1.2, asegúrate de que los demás cipher suites disponibles sean suficientemente robustos y no incluyan ninguno basado en RC4.

ssl_ciphers 'ECDHE-RSA-AES256-GCM-SHA384';

Esta medida contribuye a evitar vulnerabilidades como BEAST, CRIME o POODLE.

Paso 3: Desactivar Software Antivirus para Diagnósticos

En ocasiones, el error se debe a la interceptación HTTPS de tu software antivirus. Desactiva temporalmente la “protección HTTPS” o “análisis HTTPS” si estás utilizando Chrome o cualquier otro navegador basado en Chromium.

Cómo Desactivar la Protección HTTPS en Antivirus

  1. Abre el software antivirus.

  2. Busca opciones como:

    • “Protección HTTPS”.
    • “Análisis HTTPS”.
    • “Control de conexiones seguras”.

  3. Desactívalas temporalmente.

Si la página comienza a funcionar, tu software antivirus es la causa del problema. Para proteger archivos confidenciales y evitar posibles bloqueos, considera utilizar una herramienta como EaseUS LockMyFile para asegurar tus documentos mientras resuelves problemas.

Paso 4: Verificar la Configuración del Certificado

Si estás del lado del cliente o administras un sitio web, el certificado SSL debe estar configurado correctamente. Existe una serie de pasos que puedes seguir para asegurarte de que el certificado está en buen estado.

Verificar Certificados en macOS

  1. Abre Keychain Access (Acceso a Llaveros).
  2. En el menú superior, selecciona VerMostrar certificados caducados.
  3. Encuentra el certificado “DigiCert High Assurance EV Root CA” y elimínalo si aparece como caducado.
sudo security delete-certificate -c "DigiCert High Assurance EV Root CA"

Paso 5: Eliminar Software Incompatible

Algunas veces, este error está relacionado con software incompatible como Superfish o ciertos programas preinstalados en portátiles, especialmente en dispositivos más antiguos o comprados al por mayor.

¿Software Incompatible Preinstalado?

  • Si tienes una laptop Lenovo, asegúrate de eliminar cualquier software que puedas estar utilizando y que tenga historial de interferir con SSL, como Superfish.

Consejo especial: La instalación de un sistema operativo limpio ayuda a deshacerte de todos los programas problemáticos preinstalados.

Desinstalar Superfish:

  1. Windows:
    • Abre el “Panel de Control”.
    • Busca “Programas” y luego selecciona “Desinstalar un programa”.
    • Elimina “VisualDiscovery” o cualquier software relacionado.

Paso 6: Comunicar el Problema al Propietario del Sitio Web

Si el problema permanece, es posible que nada de lo que ajustes en tu computadora lo solucione. Como último recurso, intenta ponerte en contacto con el propietario del sitio web e infórmale que su servidor puede estar utilizando configuraciones SSL obsoletas.

Para garantizar una conexión segura y evitar interrupciones, puedes probar herramientas como NordVPN, que ofrece una conexión cifrada incluso si el servidor presenta configuraciones inseguras.

También puedes buscar ayuda en el Foro de Ayuda de Chrome o con otras comunidades de administradores web.

Preguntas Frecuentes

1. ¿Qué significa el error “ERR_SSL_WEAK_EPHEMERAL_DH_KEY”?

Este error indica que el servidor web con el que intentas conectar utiliza un conjunto de cifrado débil o una clave temporal (DH) que no es suficientemente segura para las conexiones modernas.

2. ¿Por qué se produce este error en mi navegador?

Generalmente, ocurre cuando el servidor está configurado con algoritmos de cifrado antiguos o vulnerables, como DHE, o cuando hay una mala configuración SSL en algún punto de la red.

3. ¿Cómo puedo evitar este error como administrador del sitio web?

Asegúrate de tener configurado tu servidor para usar ciphers modernos como ECDHE y desactivar cualquier cifrado basado en RC4. Además, configura tu servidor para soportar únicamente TLS 1.2 o superior.

4. ¿Puede mi antivirus causar el error “ERR_SSL_WEAK_EPHEMERAL_DH_KEY”?

Sí, tu antivirus puede estar interceptando conexiones HTTPS. Desactiva temporalmente la opción de “Protección HTTPS” en tu antivirus para verificar si es el causante del problema.

5. ¿Qué tan seguros son los conjuntos de cifrado basados en ECDHE?

Los conjuntos de cifrado basados en Elliptic Curve Diffie-Hellman (ECDHE) son actualmente considerados como seguros y son recomendados para servidores que manejan tráfico HTTPS.

Siguiendo esta guía y tomando las medidas aquí descritas, deberías poder resolver el error “ERR_SSL_WEAK_EPHEMERAL_DH_KEY” con eficacia y seguridad.

Post Views: 93

Related Posts

Subscribe
Subscribe