Ssl error unsafe negotiation

Ssl error unsafe negotiation

I tried to make a purchase and during one of the redirects Firefox reported that it was unable to establish safe negotiation (error code: SSL_ERROR_UNSAFE_NEGOTIATION). The site that had the problem is https://secure5.arcot.com/ . I have security.ssl.require_safe_negotiation set to true. However, if I set it to false and go to that site, Firefox reports that it uses «TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, 256 bit keys, TLS 1.2». I am not an expert in ciphers/TLS but the version seems sufficiently new.

I would like to report the problem but I need to know whom to report it. So far, it seems like a Firefox bug. However, I am not a security expect and, perhaps, the site is using a different obsolete SSL version to negotiate. How can I determine what exactly caused the failure?

Modified April 11, 2018 at 9:47:19 PM PDT by pysar

Chosen solution

Hi, sorry to take so long to get back to you. It is not your or Firefox’s problem.

If you go to https://secure5.arcot.com/ and then click the Show Site Information which is the i in a circle in the Address Bar then the Right Arrow Point > , Then More Information then the Show Certificate Button it will tell you that they are using a Symantec Certificate. They have all been revoked and are no longer acceptable to any browser do to their issue of loosing and suspect sites having them. Digicert as per this url :

You may want to inform the site if you can.

Please let us know if this solved your issue or if need further assistance.

Источник

I get ssl_error_unsafe_negotiation pretty much everywhere

Disclaimer: I am no crypto expert.

I want to use a strong digest and 256 bit encryption

I figured if I want to do https, I really want it to be as secure as possible. So I went to the Firefox about:config and turned off all ssl3 cipher combos except:

I can check in Firefox by clicking on the lock icon in the address bar and looking at the details of the site, if I am in fact running with Camellia-256 encryption. This worked well with Mulle kybernetiK, which is running a pretty much stock Apache server and the GLS Bank, but not much else.

So I had to enable some other cipher suit. My next candidate is

This brings back all websites I care about, even those US sites, which usually per default want you to use RC4 (!) and 128 bit (Amazon, Apple).

Amazon though, now looks weird, because their images server can’t deal with it.

require_safe_negotiation against MITM attacks

I also would like to set require_safe_negotiation, which I believe prevents some forms of man in the middle (MITM) attacks. I assume this is a way to fix the TLS Renegotiation Attack, but that’s just an uneducated guess. Since the NSA is potentially on every router, this would be surely nice to have:

Alas Mulle kybernetiK doesn’t mind, Amazon.com doesn’t mind, but pretty much everybody else gives me ssl_error_unsafe_negotiation.

Currently, you can’t really enable it. Since the MITM attack seems limited (write only, but not read). I can and have to live with it.

enable forward secrecy

After reading the SSL Labs: Deploying Forward Secrecy article, it seemed like a good idea, to move from rsa to dhe. I don’t really trust EC stuff yet, so I ignored the ecdhe recommendation and I kind of wonder why the article would recommend to enable anything with RC4 in it, but as I said before, I am no crypto expert.

I changed my security settings in the Firefox configuration to

I dropped down to 128 bit encryption for compatibility, but because of the forward secrecy I «feel» safer than with the old configuration. This is actually looking quite useable on almost all sites even amazon.com. But google freaks out 🙁

When you look at it with the SSL Labs tool, it shows that it doesn’t support DHE and it doesn’t support CAMELLIA. Sure would be happy with the NSA favored ECDHE though.

brings back google.com and

would bring back mozilla.org. But I leave that off for now.

Links

A detailed german article NSA abhГ¶rsichere SSL-VerschlГјsselung fГјr Apache und nginx that covers this topic in much better form and detail. Looks like I should be moving to GCM as soon as it’s available for me (Firefox on 10.9)

I get ssl_error_unsafe_negotiation pretty much everywhere was published on September 29, 2013 and last modified on October 28, 2013 .

Источник

Ssl error unsafe negotiation

I tried to make a purchase and during one of the redirects Firefox reported that it was unable to establish safe negotiation (error code: SSL_ERROR_UNSAFE_NEGOTIATION). The site that had the problem is https://secure5.arcot.com/ . I have security.ssl.require_safe_negotiation set to true. However, if I set it to false and go to that site, Firefox reports that it uses «TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, 256 bit keys, TLS 1.2». I am not an expert in ciphers/TLS but the version seems sufficiently new.

I would like to report the problem but I need to know whom to report it. So far, it seems like a Firefox bug. However, I am not a security expect and, perhaps, the site is using a different obsolete SSL version to negotiate. How can I determine what exactly caused the failure?

Modified 11 awirili 2018 21:47:19 -0700 by pysar

Chosen solution

Hi, sorry to take so long to get back to you. It is not your or Firefox’s problem.

If you go to https://secure5.arcot.com/ and then click the Show Site Information which is the i in a circle in the Address Bar then the Right Arrow Point > , Then More Information then the Show Certificate Button it will tell you that they are using a Symantec Certificate. They have all been revoked and are no longer acceptable to any browser do to their issue of loosing and suspect sites having them. Digicert as per this url :

You may want to inform the site if you can.

Please let us know if this solved your issue or if need further assistance.

Источник

I tried to make a purchase and during one of the redirects Firefox reported that it was unable to establish safe negotiation (error code: SSL_ERROR_UNSAFE_NEGOTIATION). The site that had the problem is https://secure5.arcot.com/ . I have security.ssl.require_safe_negotiation set to true. However, if I set it to false and go to that site, Firefox reports that it uses «TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, 256 bit keys, TLS 1.2». I am not an expert in ciphers/TLS but the version seems sufficiently new.

I would like to report the problem but I need to know whom to report it. So far, it seems like a Firefox bug. However, I am not a security expect and, perhaps, the site is using a different obsolete SSL version to negotiate. How can I determine what exactly caused the failure?

Modified April 11, 2018 at 9:47:19 PM PST by pysar

Moderator: trava90

Сообщение «Ошибка при установлении защищенного подключения» может появляться в двух случаях: когда вы переходите на защищенный сайт и, соответственно, при переходе на незащищенный сайт. Оба типа проблемы мы и рассмотрим ниже.

Как устранить ошибку при переходе на защищенный сайт?

В большинстве случаев пользователь сталкивается с ошибкой при установлении защищенного подключения при переходе на защищенный сайт.

О том, что сайт защищен, пользователю может говорить «https» в адресной строке перед названием самого сайта.

Если вы столкнулись с сообщением «Ошибка при установлении защищенного соединения», то под ним вы сможете увидеть разъяснение причины возникновения проблемы.

Причина 1: Сертификат не будет действителен до даты [дата]

При переходе на защищенный веб-сайт Mozilla Firefox в обязательном порядке проверяет у сайта наличие сертификатов, которые позволят быть уверенным в том, что ваши данные будут передаваться только туда, куда они были предназначены.

Как правило, подобного типа ошибка говорит о том, что на вашем компьютере установлены неправильные дата и время.

В данном случае вам потребуется изменить дату и время. Для этого щелкните в правом нижнем углу по иконке даты и в отобразившемся окне выберите пункт «Параметры даты и времени».

На экране отобразится окно, в котором рекомендуется активировать пункт «Установить время автоматически», тогда система самостоятельно установит верные дату и время.

Причина 2: Сертификат истек [дата]

Эта ошибка как также может говорить о неправильно установленном времени, так и может являться верным знаком того, что сайт все-таки вовремя не обновил свои сертификаты.

Если дата и время установлены на вашем компьютере, то, вероятно, проблема в сайте, и пока он не обновит сертификаты, доступ к сайту может быть получен только путем добавления в исключения, который описан ближе к концу статьи.

Причина 3: к сертификату нет доверия, так как сертификат его издателя неизвестен

Подобная ошибка может возникнуть в двух случаях: сайту действительно не стоит доверять, или же проблема заключается в файле cert8.db, расположенном в папке профиля Firefox, который был поврежден.

Если вы уверены в безопасности сайта, то, вероятно, проблема все же заключается в поврежденном файле. И чтобы решить проблему, потребуется, чтобы Mozilla Firefox создала новый такой файл, а значит, необходимо удалить старую версию.

Чтобы попасть в папку профиля, щелкните по кнопке меню Firefox и в отобразившемся окне щелкните по иконке со знаком вопроса.

В той же области окна отобразится дополнительное меню, в котором потребуется щелкнуть по пункту «Информация для решения проблем».

В открывшемся окне щелкните по кнопке «Показать папку».

После того, как на экране появится папка профиля, необходимо закрыть Mozilla Firefox. Для этого щелкните по кнопке меню браузера и в отобразившемся окне кликните по кнопке «Выход».

Теперь вернемся к папке профиля. Найдите в ней файл cert8.db, щелкните по нему правой кнопкой мыши и выберите пункт «Удалить».

Как только файл будет удален, можете закрыть папку профиля и снова запустить Firefox.

Причина 4: к сертификату нет доверия, т.к. отсутствует цепочка сертификатов

Подобная ошибка возникает, как привило, из-за антивирусов, в которых активирована функция SSL-сканирования. Перейдите в настройки антивируса и отключите функцию сетевого (SSL) сканирования.

Как устранить ошибку при переходе на незащищенный сайт?

Если сообщение «Ошибка при переходе на защищенное соединение» появляется, если вы переходите на незащищенный сайт, это может говорить о конфликте настроек, дополнений и тем.

Прежде всего, откройте меню браузера и перейдите к разделу «Дополнения». В левой области окна, открыв вкладку «Расширения», отключите максимальное количество расширений, установленных для вашего браузера.

Следом перейдите ко вкладке «Внешний вид» и удалите все сторонние темы, оставив и применив для Firefox стандартную.

После выполнения данных действий проверьте наличие ошибки. Если она осталась, попробуйте отключить аппаратное ускорение.

Для этого щелкните по кнопке меню браузера и перейдите к разделу «Настройки».

В левой области окна перейдите ко вкладке «Дополнительные», а в верхней откройте подвкладку «Общие». В данном окне вам потребуется снять галочку с пункта «По возможности использовать аппаратное ускорение».

Обход ошибки

Если вы так и не смогли устранить сообщение «Ошибка при установлении защищенного соединения», но при этом уверены в безопасности сайта, устранить проблему можно, обойдя настойчивое предупреждение Firefox.

Для этого в окне с ошибкой щелкните по кнопке «Или же вы можете добавить исключение», после чего кликните по появившейся кнопке «Добавить исключение».

На экране отобразится окно, в котором щелкните по кнопке «Получить сертификат», а затем кликните по кнопке «Подтвердить исключение безопасности».

Видео-урок:

Надеемся данная статья помогла вам устранить проблемы в работе Mozilla Firefox.