OpenSSL 3.0.2 报 dh key too small 的题目

题目复现

运行命令 curl 访问一个 https 网站，可能会出现  "dh key too small" 的题目。

1. > curl -v --insecure  https://some_web_site
2. *   Trying 175.21.4.7:443...
3. * Connected to some_web_site (175.21.4.7) port 443 (#0)
4. * ALPN: offers h2,http/1.1
5. * TLSv1.3 (OUT), TLS handshake, Client hello (1):
6. * TLSv1.3 (IN), TLS handshake, Server hello (2):
7. * TLSv1.0 (IN), TLS handshake, Certificate (11):
8. * TLSv1.0 (IN), TLS handshake, Server key exchange (12):
9. * TLSv1.0 (OUT), TLS alert, handshake failure (552):
10. * OpenSSL/3.0.15: error:0A00018A:SSL routines::dh key too small
11. * Closing connection 0
12. curl: (35) OpenSSL/3.0.15: error:0A00018A:SSL routines::dh key too small

复制代码

原因是服务器比较老，SSL 协议中使用了较短的 dh key。 而客户端的 openssl 版本较新，默认的安全级别高，当握手时，发现对方的服务器使用了 短的 dh key，就拒绝进一步毗连，认为该服务器是不安全的。
然而，现存有大量如许的服务器。由于无法更改服务器的配置，因此不得不降低客户端openssl的安全策略。
 
通常的办理办法（ openSSL 3.0 以下）

这个环境实际上已经出现很多年了，大部分的办理方案是修改 openssl 的配置文件 openssl.cnf
将 openssl_conf 修改如下

1. openssl_conf = default_conf

复制代码

 并在 文件最后添加下面

1. [default_conf]
2. ssl_conf = ssl_sect
4. [ssl_sect]
5. system_default = system_default_sect
7. [system_default_sect]
8. MinProtocol = TLSv1.2
9. CipherString = DEFAULT@SECLEVEL=1

复制代码

更具体的表明可参考
https://askubuntu.com/questions/1233186/ubuntu-20-04-how-to-set-lower-ssl-security-level 
新的办理办法（ openSSL 3.0 及以上）

然而，对于 OpenSSL 3.0 以上的系统，例如 Debian 12 自带的是 openSSL 3.0.15, 则老的办理办法就不灵了。需要用别的一种方式。与老的方法差别体现在 【system_default_sect】段的定义

1. [system_default_sect]
2. CipherString = 'DEFAULT:!DH'

复制代码

1. 核心要义是 CipherString = 'DEFAULT:!DH'

复制代码

题目办理后的结果

1. $ curl -v --insecure  https://some_web_site
2. *   Trying 175.21.4.7:443...
3. * Connected to some_web_site (175.21.4.7) port 443 (#0)
4. * ALPN: offers h2,http/1.1
5. * TLSv1.3 (OUT), TLS handshake, Client hello (1):
6. * TLSv1.3 (IN), TLS handshake, Server hello (2):
7. * TLSv1.0 (IN), TLS handshake, Certificate (11):
8. * TLSv1.0 (IN), TLS handshake, Server finished (14):
9. * TLSv1.0 (OUT), TLS handshake, Client key exchange (16):
10. * TLSv1.0 (OUT), TLS change cipher, Change cipher spec (1):
11. * TLSv1.0 (OUT), TLS handshake, Finished (20):
12. * TLSv1.0 (IN), TLS handshake, Finished (20):
13. * SSL connection using TLSv1 / AES256-SHA
14. * ALPN: server did not agree on a protocol. Uses default.
15. * Server certificate:
16. *  subject: CN=some_web_site
17. *  start date: Jul 27 09:38:07 2022 GMT
18. *  expire date: Jul 24 09:38:07 2032 GMT
19. *  issuer: CN=some_web_site
20. *  SSL certificate verify result: self-signed certificate (18), continuing anyway.
21. * using HTTP/1.x
22. > GET / HTTP/1.1
23. > Host: some_web_site
24. > User-Agent: curl/7.88.1
25. > Accept: */*
26. >
27. < HTTP/1.1 200 OK
28. < Date: Thu, 20 Mar 2025 15:15:20 GMT
29. < Server: Apache
30. < Last-Modified: Mon, 25 Jul 2011 04:02:56 GMT
31. < ETag: "18b-4a8dce3dc9c00"
32. < Accept-Ranges: bytes
33. < Content-Length: 395
34. < Content-Type: text/html
35. <
36. <!DOCTYPE html
37.   PUBLIC '-//W3C//DTD XHTML 1.0 Transitional//EN'
38.   'http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd'>
39. <html xml:lang="en" xmlns="http://www.w3.org/1999/xhtml">
40. <head>
41. <meta content="0;URL=svn/" http-equiv="refresh"/>
42. <title>VisualSVN Server</title>
43. </head>
44. <body>
45. <h1>Welcome to VisualSVN Server!</h1>
46. <p><a href="/svn/">Repositories</a></p>
47. </body>
48. </html>
49. * Connection #0 to host some_web_site left intact

复制代码

受影响的范围



这个题目影响到通过 https:// 对外提供服务的各种老的应用。例如： 通过 https 的方式对外服务的 svn 或者 gitLab 服务。 假如服务器上的 openssl 安全设置配置较低，则会出现这个题目。但是，svn, git 等客户端的报错不一定会出现 “dh key too small” 的字样。可能是笼统的提示 SSL communication 错误。此时，通过 curl 命令，能够比较清楚的显示这个错误内容，如本文最前面所示。
关于这个题目标具体表明请参考：
S3 Connection Error `dh key too small` in Ubuntu 20.04 ($1058) · Snippets · GitLab

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。