Thunderbird e Logjam

La versione 38.1.0 (e successive) e la versione ESR 31.8.0 di Thunderbird, includono miglioramenti fatti dagli sviluppatori di Firefox per risolvere le vulnerabilità di sicurezza legate a Logjam (CVE-2015-4000) in tutti i prodotti Mozilla.

Conseguenze per l'utente Thunderbird

Nessuna conseguenza, a meno che il proprio server di posta utilizzi ancora chiavi di cifratura molto vecchie per i protocolli SSL/TLS. Se il server non è stato configurato per utilizzare un set di chiavi più recenti (2048 bit), non sarà possibile connettersi al server e occorrerà aprire la "Console degli errori" dove sarà possibile visualizzare un messaggio di errore.
Per visualizzare la Console degli errori, fare clic sul menu Strumenti > Strumenti di sviluppo > Console degli errori o utilizzare la combinazione di tasti Ctrl + Maiusc + JComando + Maiusc + J.
Il messaggio di errore sarà il seguente:
Si è verificato un errore durante la connessione a "indirizzo del server".
SSL ha ricevuto una chiave Diffie-Hellman temporanea (ephemeral) debole in un messaggio di tipo Server Key Exchange handshake.
(Codice di errore: ssl_error_weak_server_ephemeral_dh_key)

Come procedere

• Se un server di posta utilizzato per un proprio account è interessato dal problema, in primo luogo contattare il fornitore ("provider") di posta elettronica segnalandogli il problema e invitandolo ad aggiornare il server per preservare gli utenti e i loro dati personali.

• Se si è amministratori del server, leggere le informazioni (in inglese) pubblicate a questo link dal gruppo di lavoro che ha rilevato il problema, in particolare la guida per gli amministratori di sistema.

Esiste una soluzione a breve termine per gli utenti Thunderbird: installare il componente aggiuntivo Disable DHE. Il componente aggiuntivo fa parte dei componenti aggiuntivi di Firefox e quindi, per installarlo in Thunderbird, deve essere prima scaricato sul proprio computer utilizzando un browser.
Se si utilizza Firefox, fare clic col tasto destro del mouse sul pulsante di colore verde + Aggiungi a Firefox e dal menu contestuale selezionare la voce Salva destinazione con nome... e salvare il file ".xpi" in una cartella facile da ricordare (si consiglia di utilizzare la cartella Download o il proprio desktopla propria Scrivania).
Dopo aver effettuato il download, installare il componente in Thunderbird tramite il gestore dei componenti aggiuntivi: fare clic sul pulsante dei menu , selezionare Componenti aggiuntivi e premere il pulsante a sinistra della barra di ricerca , selezionare Installa componente aggiuntivo da file… dal menu visualizzato, quindi trovare e selezionare il file ".xpi" relativo a "Disable DHE" per installarlo in Thunderbird. Dopo l'installazione, il componente aggiuntivo "Disable DHE" non apparirà nell'elenco dei componenti aggiuntivi del gestore dei componenti aggiuntivi di Thunderbird.

L'utilizzo del componente aggiuntivo "Disable DHE" non è una soluzione a lungo termine e non risolve il problema lato server. Utilizzandolo, si è a rischio di attacchi di tipo man-in-the-middle ma è una soluzione per aggirare il problema in attesa che l'amministratore del server generari e installi per il proprio server un set di chiavi più recenti.