DH KEY TOO SMALL : pourquoi ça arrive et comment régler le problème

Bonjour,

certains d’entre vous rencontrent des erreurs de synchronisation avec leur banque, et n’ont en retour qu’une erreur un peu mystérieuse comportant le message Caused by SSLError(SSLError(1, '[SSL: DH_KEY_TOO_SMALL] dh key too small (_ssl.c:1056)').

Tout d’abord il faut savoir que ce n’est pas une erreur dans le code de woob, encore moins de Kresus, mais un problème de sécurité, qui arriverait aussi avec cURL par exemple.

Votre serveur, soucieux de préserver votre sécurité, exige les connexions les + sûres lorsqu’il fait une requête à un autre serveur (via OpenSSL). Ici, lorsqu’il fait une requête au serveur de votre banque.
Il s’attend donc à recevoir de la part du serveur qu’il contacte une clé de 2048 bits minimum.

Mais le site de votre banque, probablement par souci de compatibilité avec de vieux systèmes, n’utilise qu’une clé de 1024 bits. Votre serveur refuse donc la connexion.

Plus d’informations sur le wiki debian.

OK mais qu’est-ce que je fais dans ce cas ?

Malheureusement, il n’y a pas 36 solutions et la décision vous revient d’appliquer une telle modification ou non : il faut que vous acceptiez de baisser le niveau de sécurité exigé par votre serveur, ou laissiez tomber…

Si vous choisissez la première solution, il s’agit de configurer OpenSSL sur votre serveur :

  1. Ouvrer avec un éditeur le fichier /etc/ssl/openssl.cnf.
  2. Remplacez la ligne CipherString = DEFAULT@SECLEVEL=2 par CipherString = DEFAULT@SECLEVEL=1

Bonjour,

je rencontre ce cas avec ma banque.


J'ai fouillé dans le fichier /etc/ssl/openssl.cnf mais n'ai pas trouvé la ligne `CipherString = DEFAULT@SECLEVEL=2`

Une ligne semble porter cette info :

[ req ]
default_bits = 2048


J'ai essayé de passer la valeur à 1024 mais ça n'a pas suffit. En utilisant l'IHM du DSM pour passer le niveau à "retrocompatibilté ancienne"je retrouve 2048 dans le fichier.

Une piste ?

J’ai trouvé une solution élégante, sans dégradé le niveau du ssl.
en cochant "Utiliser libnss"dans l’onglet administration de kresus