Tomcat liefert „ssl_error_weak_server_ephemeral_dh_key“ im Firefox

Problem

Firefox ab Version 39 zeigt bei von einem frischen Tomcat ausgelieferten Webseiten nur noch diese Alternativlose Fehlermeldung an:

Fehler: Gesicherte Verbindung fehlgeschlagen

Ein Fehler ist während einer Verbindung mit oputils.pflitsch.de aufgetreten.
SSL hat einen schwachen kurzlebigen Diffie-Hellman-Schlüssel in der Handshake-Nachricht
"Server-Schlüsselaustausch" empfangen.
(Fehlercode: ssl_error_weak_server_ephemeral_dh_key)

    Die Website kann nicht angezeigt werden, da die Authentizität der erhaltenen Daten nicht verifiziert werden konnte.
    Kontaktieren Sie bitte den Inhaber der Website, um ihn über dieses Problem zu informieren.

Lösung

Der unsichere DH/SSL Schlüsselaustausch ist anfällig für die „Logjam“ Attacke (https://weakdh.org), aber noch die Defaultkonfiguration für neue SSL-Connectoren im Tomcat.

In der server.xml kann man im Abschnitt <connector> die passenden Cipher-Suiten vorgaben. Bewährt hat sich diese Liste hier, weil sie auch noch die älteren aber sicheren SSL-Handshakes für den Internet-Explorer enthält.

<Connector
   port="443"
   protocol="HTTP/1.1"
   SSLEnabled="true"
   keystoreFile="uggliest.keystore"
[...]
   ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA"
/>

Netzwerk-Symbol aus Explorer ausblenden (GPO)

Problem

netzwerk-aus-explorer-ausblendenAuf einem Windows Server 2012/2012R2 oder Windows 8/10 soll aus Sicherheitsgründen das „Netzwerk“ Symbol aus dem Explorer ausgeblendet und der Zugriff auf UNC-Ressourcen verboten werden.

Der Explorer soll im Prinzip keinen Zugriff mehr auf Netzwerkressourcen bieten.

Lösung

Mit Windows Server 2012 und Windows 8 hat Microsoft (vermutlich nicht mehr ganz nüchtern) beschlossen, das die Gruppenrichtlinie  „Symbol für Netzwerk ausblenden“ nicht mehr im Explorer greift, sondern nur noch auf dem Desktop. Daher müssen wir selber eine Gruppenrichtlinie mit einer Registry-Preference erstellen.

Benutzerkonfiguration\Einstellungen\Windows-Einstellungen\Registrierung

netzwerk-aus-explorer-ausblenden-gpoHier ein neues „Registrierungselement“ anlegen:

Struktur: HKEY_LOCAL_MACHINE
Schlüsselpfad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\NonEnum
Name: {F02C1A0D-BE21-4350-88B0-7367FC96EF3C}
Werttyp: REG_DWORD
Wertdaten: 00000001

Danach müssen nur noch die normalen GPO-Einräge angepasst werden:

  • Administrative Vorlagen\Desktop\“Symbol „Netzwerkumgebung“ auf dem Desktop ausblenden
  • Administrative Vorlagen\Startmenü und Taskleiste\“Netzwerksymbol entfernen
  • Administrative Vorlagen\Windows-Komponenten\Datei-Explorer\“Benachbarte Computer“ nicht unter Netzwerkumgebung anzeigen“ und auch „Optionen „Netzlaufwerk verbinden“ und „Netzlaufwerk trennen“ entfernen„.

Jetzt gibt es in der Explorer-Adressleiste zwar immernoch die Auto-Vervollständigung mit den Netzwerkcomputern, aber hierfür ist uns kein Weg bekannt, dies zu deaktivieren.

AD Betriebssysteme in einer Domäne zählen

Problem

  • „Stellen Sie doch mal eben eine Übersicht über die Computer in unserm Netzwerk zusammen“
  • „Wie viele Windows XP Computer haben wir eigentlich noch“
  • „Welche Betriebssysteme haben wir eigentlich“
  • Welche Betriebssysteme gibt es in unserem AD?

Lösung

Betriebssysteme zählen mit GetForestOSCounts.ps1 (Download GetForestOSCount):

count-windows-versions

WordPress Shop mit richtig gutem support [admin-werbung]

Eine gute Geschichte: Ich hatte neulich ein Support-Erlebnis der dritten Art. Umgefallen war ein Shopsystem für WordPress, also eine eCommercelösung. Der Webserver war tot, die Datenbank kaputt, es gab nur kleine Teile davon (natürlich war auch das Backup kaputt). Diese Leute hier halfen schnell und unkompliziert weiter, alle Kosten blieben im Rahmen. eine klare empfehlung für dieses System. Es gab echte menschliche Ansprechpatner, hohe fachliche Kompetenz, echtes Lösungsinteresse und eine High-Speed Hilfe. Großartig! Bitte mehr davon 🙂

Und, wer wars? Die Leute von maennchen1 mit ihrem „wpShopGermany„. Das Erlebnis war so gut, das wir hier mit gutem Gewissen dafür Werbung machen können.