如何处理服务器SSL收到了一个弱临时Diffie-Hellman 密钥?

当我们用火狐浏览器打开某个HTTPS网站时可能会失败，并且出现如下错误提示：
        安全连接失败连接某个URL网址时发生错误。 在服务器密钥交换握手信息中 SSL 收到了一个弱临时 Diffie-Hellman 密钥。
        错误码： ssl_error_weak_server_ephemeral_dh_key）

如果换用谷歌Chrome打开这个相同的网页也会发生错误，并提示：
        服务器的瞬时 Diffie-Hellman 公共密钥过弱ERR_SSL_WEAK_SERVER_EPHEMERAL_DH_KEY ，打开详细信息可看到“该错误会在连接到安全 (HTTPS) 服务器时发生。 这意味着服务器正在尝试建立安全连接， 但由于严重的配置错误，连接会很不安全！在这种情况下， 服务器需要进行修复。 为了保护您的隐私， “Google Chrome”不会使用不安全的连接。”

如果换用QQ或其他浏览器同样打不开此网站并得到类似Diffie-Hellman 密钥过弱的错误提示。这由于网站服务器上的SSL加密套件过弱造成的，比较早期版本的浏览器只支持40或56位加密，此类密钥较短的加密算法几前年已经被证实可能被破解，像新版本火狐、谷歌这种对信息安全要求较为严格的浏览器，会主动强制要求网站运营商更新加密套件，以提高网站访问的安全性。如果您只是普通的网上用户需要打开此网站，建议您换用IE、猎豹、Opera浏览器打开网页即可，虽然加密位不强，但总比HTTP网站信息裸奔好很多。

当然，如果您一直习惯用火狐浏览器，您也可以通过安装一个安全插件来修复此强制提升弱临时Diffie-Hellman 密钥问题，插件下载地址：https://addons.mozilla.org/en-us/firefox/addon/disable-dhe/

如果您是该问题网站的运营者，您有两种方法解决该问题，一种是选用Symantec Secure Site Pro SSL证书或者选用Symantec Secure Site Pro with EV SSL证书，这两款证书采用的SGC（服务器门控技术）可实现强制加密至Diffie-Hellman 密钥升级到128位。另一种方法是在您的服务器配置，把早期的40、56位不安全加密套件全部删除禁用，让服务器与浏览器的SSL传输最低接收128位加密信息，不过这种方法使得我们将放弃过早版本浏览器的用户群体，他们与服务器的数据交换不会加密，并可能无法打开网站。

如果您目前不是【易维信-EVTrust】的客户，我们的在线顾问也可以为您提供任何有关于服务器弱临时Diffie-Hellman 密钥相关问题的解决方法，如果您需要我们的技术工程师协助，仅支付少量的人工服务费即可。