Problemi accesso periodici elettronici con Chrome e Firefox

Stefano ManfreddaSenza categoria

Si informano gli utenti che il server Shibboleth  sta girando su una Debian Squeeze, con Java 6 e Tomcat 5.5, dunque una configurazione abbastanza obsoleta che implementa ancora ssl3 e che non è possibile elevare di release a meno di voler interrompere il servizio per un lasso di tempo estremamente difficile da quantificare.

Come soluzione “tampone”, è in corso di implementazione una macchina più aggiornata (Ubuntu 14.04 LTS Server, Java 7, Tomacat 7, Apache 2.4.16, Shibboleth 2.4.4), sebbene non aggiornata all’ultima versione di Shibboleth (la versione 3 ) per i motivi esposti più sotto. La configurazione della stessa e di test con il GARR, tuttavia, richiederanno comunque qualche tempo, per cui al momento la soluzione più immediata è quella indicata nella pagina  Errore ssl3 di questo blog.

Per un futuro leggermente più remoto l’obbiettivo è quello di mettere in produzione un server Shibboleth, su Ubuntu 14.04 LTS Server, aggiornato all’ultima versione stabile di Java, Tomcat, Apache e Shibboleth; va precisato che non sarà possibile avere funzionante tale macchina nell’immediato perché al momento non esiste ancora un server Shibboleth con tali caratteristiche in Italia e l’Università di Cagliari farà – come è già avvenuto in altre due occasioni all’interno della Federazione IDEM – da “apripista”. Ciò significa in particolare che in caso di problemi (e vista la combinazione di Java, SAML ed XML sarà facilissimo incontrarne), si dovrà lavorare in collaborazione con l’assistenza IDEM per scoprire cause e soluzioni che poi saranno eventualmente utilizzate per altri Atenei (è motivo di orgoglio, arrivare primi, ma non è cosa immediata).

L’utilizzo di ssl3 in fase di handshake, comporta che alcuni browser (in particolare Google Chrome ed in parte Firefox) si rifiutino di accedere alla pagina di autenticazione adducendo come motivo la debolezza delle chiavi ssl3 ed evidenziando il seguente errore “SSL ha ricevuto una chiave Diffie-Hellman temporanea (ephemeral) debole in un messaggio di tipo Server-Key-Exchange handshake. (Codice di errore: ssl_error_weak_server_ephemeral_dh_key)”.

Premesso che negare l’accesso ad una pagina in https senza dare la possibilità di scegliere si configura quasi come un insulto all’intelligenza dell’utente (perché equivale a dire “decido io, Google, per te, visto che tu non sei in grado di capire”), la situazione dei browser ad ottobre 2015 è la seguente:

  • Google Chrome: impedisce l’accesso e non esiste workaround. SE NE SCONSIGLIA CALDAMENTE L’UTILIZZO
  • Mozilla Firefox: impedisce l’accesso ma esiste un workaround (v. pagina Errore ssl3). CONSIGLIATO A CHI SA COME MODIFICARE LE CHIAVI DI FIREFOX
  • Microsoft Internet Explorer / Microsoft Edge: non crea alcun problema
  • Apple Safari: non crea alcun problema