https/WSS接続でエラー(ERR_SSL_WEAK_EPHEMERAL_DH_KEY)
現象:
Chrome Version 47.0.Xを使用してUCをhttps/WSS接続で利用した際、ERR_SSL_WEAK_EPHEMERAL_DH_KEYのエラーメッセージが出力されて接続に失敗する。
1. Tomcat <–https–> UCブラウザ
上記エラーメッセージが出てhttps接続が失敗
2. UC <—wss–> BSS
上記エラーメッセージが出てwss接続が失敗
原因:
Tomcatを起動しているJavaにOpenJDK1.7を使用していることが原因。セキュア接続をする際のCipher Suiteの中にChromeが認めていない暗号化アルゴリズムが入っているため。
対応策1:
使用するJavaを他のJavaへ変更する。Oracle Javaなど。
対応策2:
以下を設定する。
https接続:
Tomcat -> server.xmlへ正しい”ciphers=”パラメータを追加
例:
ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA"
wss接続:
BSS -> advanced setting へ正しいCipherパラメータと優先順位を指定。
例:
net.sip.wss.ciphersuite.1 = TLS_RSA_WITH_AES_256_CBC_SHA net.sip.wss.ciphersuite.2 = TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 net.sip.wss.ciphersuite.3 = TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 net.sip.wss.ciphersuite.4 = TLS_RSA_WITH_AES_256_CBC_SHA256 net.sip.wss.ciphersuite.5 = TLS_DHE_RSA_WITH_AES_256_CBC_SHA net.sip.wss.ciphersuite.6 = TLS_DHE_DSS_WITH_AES_256_CBC_SHA net.sip.wss.ciphersuite.7 = TLS_RSA_WITH_AES_128_CBC_SHA256 net.sip.wss.ciphersuite.8 = TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 net.sip.wss.ciphersuite.9 = TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 net.sip.wss.ciphersuite.10 = TLS_RSA_WITH_AES_128_CBC_SHA net.sip.wss.ciphersuite.11 = TLS_DHE_RSA_WITH_AES_128_CBC_SHA net.sip.wss.ciphersuite.12 = TLS_DHE_DSS_WITH_AES_128_CBC_SHA net.sip.wss.ciphersuite.13 = SSL_RSA_WITH_3DES_EDE_CBC_SHA net.sip.wss.ciphersuite.14 = SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA net.sip.wss.ciphersuite.15 = SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA net.sip.wss.ciphersuite.16= TLS_EMPTY_RENEGOTIATION_INFO_SCSV