Err ssl version or cipher mismatch как исправить ошибку

Если вы столкнулись с ошибкой ERR_SSL_VERSION_OR_CIPHER_MISMATCH, мы понимаем, в каком состоянии вы сейчас находитесь. Вы расстроены, Вам любопытно, и Вы немного злитесь. Когда клиенты стали спрашивать о сообщении ERR_SSL_VERSION_OR_CIPHER_MISMATCH, эксперты по SSL всерьез занялись этим вопросом и нашли некоторые решения.

Изучая анатомию этой ошибки, обнаружили, что устаревшее у Google и Mozilla шифрования RC4 вызывает данную ошибку. Итак, придумали четыре возможных решения, чтобы уничтожить ошибку из ваших систем. Прежде чем перейти к исправлениям, обратите внимание на следующие вещи:

  1. Если одно решение не работает, попробуйте следующее;
  2. Некоторые из этих решений не совсем безопасны, поскольку они предусматривают использование более старых, небезопасных протоколов.

Давайте начнем!

Решение 1. Включите все версии SSL / TLS

Примечание. Этот шаг включает старые, небезопасные протоколов. Если вас это не пугает, вы можете им воспользоваться на свой страх и риск.

  1. Открыть Chrome;
  2. Нажмите на три точки, которые вы видите в верхнем правом углу;
  3. Теперь перейдите в Настройки и найдите «прокси» в поле поиска;
  4. Вы должны увидеть опцию Open proxy settings, нажмите на нее;
  5. Перейдите на вкладку «Дополнительно»;
  6. Теперь отметьте все версии SSL и TLS;
  7. Нажмите кнопку «Применить»;
  8. Перезапустите Chrome.

Хоть мы предлагаем это, как возможное решение, мы не можем подчеркнуть, что это безопасно. Старые версии TLS и особенно SSL известны уязвимостями. На данный момент вы действительно не должны подключаться ни к чему, кроме TLS 1.2.

Решение 2. Отключите защиту Интернета в антивирусе / брандмауэре

Мы не можем дать вам пошаговые инструкции для этого, поскольку они будут отличаться для каждого антивируса / брандмауэра. Вероятно, Вы найдете то, что ищете на web-сайте поставщика. Как и в первом шаге, здесь также нужно включить все версии SSL и TLS.

Решение 3: Отключить протокол QUIC

  1. Поиск chrome: // flags / # enable-quic в адресной строке;
  2. Отключение по протоколу Experimental QUIC protocol;
  3. Перезапустите Chrome.

Решение 4. Очистите состояние SSL

  1. Откройте Chrome;
  2. Нажмите на три точки, которые вы видите в правом верхнем углу;
  3. Теперь нажмите «Настройки»;
  4. Теперь перейдите в Настройки и найдите «прокси» в поле поиска;
  5. Вы должны увидеть опцию Open proxy settings, нажмите на нее;
  6. Перейдите на вкладку «Содержимое»;
  7. Нажмите «Очистить состояние SSL»;
  8. Перезапустить Chrome.

Мы очень надеемся, что одно из этих четырех решений помогло вам устранить ошибку ERR_SSL_VERSION_OR_CIPHER_MISMATCH. Если нет, поделитесь своими проблемами вместе с проблемным URL-адресом, и мы постараемся Вам помочь.

Источник

When you visit a website running over HTTPS a series of steps are performed between the browser and the web server to ensure the certificate and SSL/TLS connection is valid.

Some of these include the TLS handshake, the certificate being checked against the certificate authority, and decryption of the certificate.

What Is the ERR_SSL_VERSION_OR_CIPHER_MISMATCH Error?

If for some reason the browser doesn’t like what it sees, such as a misconfiguration or unsupported version, your browser might display the following error: “ERR_SSL_VERSION_OR_CIPHER_MISMATCH” which prevents you from accessing the site.

Check out a few recommendations on how to fix this error.

What Causes the ERR_SSL_VERSION_OR_CIPHER_MISMATCH Error?

The ERR_SSL_VERSION_OR_CIPHER_MISMATCH error typically happens on older operating systems or browsers.

But that is not always the case. In fact, we just recently encountered a user having this issue on their WordPress site who was migrating to Kinsta from another host. We were, of course, running the latest version of Chrome, so the issue was with their SSL certificate. Chrome is actually protecting you by not letting you load it.

ERR_SSL_VERSION_OR_CIPHER_MISMATCH

ERR_SSL_VERSION_OR_CIPHER_MISMATCH

You might also see a variation of the error, such as:

  • Error 113 (net::err_ssl_version_or_cipher_mismatch): unknown error
  • The client and server don’t support a common SSL protocol version or cipher suite

Check out reasons below on why this happens and what you can do about it.

  • Check Your SSL Certificate
  • Check for Certificate Name Mismatch
  • Check for Old TLS version
  • Check RC4 Cipher Suite
  • Clear SSL State In Chrome
  • Use a New Operating System
  • Temporary Disable Antivirus

Check Your SSL Certificate

If you see this error, the first and easiest place to start is to perform an SSL check on the certificate that is installed on the site. We recommend using the free SSL check tool from Qualys SSL Labs. It is very reliable and we use it for all Kinsta clients when verifying certificates. Simply input your domain into the Hostname field and click on “Submit.”

Check Out Our Video Guide to Fixing SSL Errors

You can also select the option to hide public results if you prefer. It could take a minute or two to scan your site’s SSL/TLS configuration on your web server.

Check SSL certificate - ERR_SSL_VERSION_OR_CIPHER_MISMATCH

Check SSL certificate

Check for Certificate Name Mismatch

In this particular instance, the customer migrating to Kinsta had a certificate name mismatch which was throwing up the ERR_SSL_VERSION_OR_CIPHER_MISMATCH error. As you can see from the SSL Labs test below, this is pretty quick and easy to diagnose. As SSL Labs states, a mismatch can be a number of things such as:

  • The site does not use SSL, but shares an IP address with some other site that does.
  • The site no longer exists, yet the domain still points to the old IP address, where some other site is now hosted.
  • The site uses a content delivery network (CDN) that doesn’t support SSL.
  • The domain name alias is for a website whose name is different, but the alias was not included in the certificate.

Certificate name mismatch

Certificate name mismatch

Another easy way to check the current domain name issue on the certificate is to open up Chrome DevTools on the site. Right-click anywhere on the website and click on “Inspect.” Then click on the security tab and click on “View certificate.” The issued domain will show in the certificate information. If this doesn’t match the current site you’re on, this is a problem.

Check issued domain on SSL certificate

Check issued domain on SSL certificate

Remember though, there are wildcard certificates and other variations, but for a typical site, it should match exactly. However, in our case, the ERR_SSL_VERSION_OR_CIPHER_MISMATCH error actually prevented us from being able to check it in Chrome DevTools. That is where a tool like SSL Labs can come in handy.

Check for Old TLS version

Another possible reason is that the TLS version running on the web server is old. Ideally, it should be running at least TLS 1.2 (better yet, TLS 1.3). If you are a Kinsta customer you never have to worry about this as we always upgrade our servers to the latest and greatest supported versions. Kinsta supports TLS 1.3 on all of our servers and our Kinsta CDN. Cloudflare also enables TLS 1.3 by default.

(Suggested reading: if you’re using legacy TLS versions, you might want to fix ERR_SSL_OBSOLETE_VERSION Notifications in Chrome).

This is something the SSL Labs tool can also help with. Under configuration, it will show you the current version of TLS running on the server with that certificate. If it is old, reach out to your host and ask them to update their TLS version.

TLS 1.3 server support

TLS 1.3 server support

Check RC4 Cipher Suite

Another reason according to Google’s documentation for ERR_SSL_VERSION_OR_CIPHER_MISMATCH is that the RC4 cipher suite was removed in Chrome version 48. This is not very common, but it could happen in say larger enterprise deployments that require RC4. Why? Because everything usually takes longer to upgrade and update in bigger and more complex configurations.

Security researchers, Google, and Microsoft recommend that RC4 be disabled. So you should make sure the server configuration is enabled with a different cipher suite. You can view the current cipher suite in the SSL Labs tool (as seen below).

Cipher suite

Cipher suite

Clear the SSL State In Chrome

Another thing to try is clearing the SSL state in Chrome. Just like clearing your browser’s cache this can sometimes help if things get out of sync. To clear the SSL state in Chrome on Windows, follow these steps:

  • Click the Google Chrome – Settings icon (Settings) icon, and then click Settings.
  • Click Show advanced settings.
  • Under Network, click Change proxy settings. The Internet Properties dialog box appears.
  • Click the Content tab.
  • Click “Clear SSL state”, and then click OK.
  • Restart Chrome.

Clear SSL state in Chrome on Windows

Clear SSL state in Chrome on Windows

If you are on a Mac, see these instructions on how to delete an SSL certificate.

We’ve taken our knowledge of effective website management at scale, and turned it into an ebook and video course. Click on the link to download The Guide to Managing 60+ WordPress Sites!

Use a New Operating System

Older operating systems fall out of date with newer technologies such as TLS 1.3 and the latest cipher suites as browsers stop supporting them. Specific components in the latest SSL certs will simply stop working. Google Chrome, in fact, pulled the plug on Windows XP back in 2015. We always recommend upgrading to newer operating systems if possible, such as Windows 10 or the latest version of Mac OS X.

Temporary Disable Antivirus

The last thing we recommend trying if you are still seeing the ERR_SSL_VERSION_OR_CIPHER_MISMATCH error is to ensure you don’t have an antivirus program running. Or try temporarily disabling it. Some antivirus programs create a layer between your browser and the web with their own certificates. This can sometimes cause issues.

Источник

При посещении сайтов на HTTPS между браузером и веб-сервером выполняется ряд действий по проверке сертификат и SSL / TLS-соединение. Они включают в себя рукопожатие TLS, проверку центра сертификации и расшифровку сертификата. Если браузер находит неподдерживаемую версию сертификата или неправильную конфигурацию, то он выведет ошибку «ERR SSL VERSION OR CIPHER MISMATCH». А также заблокирует доступ к сайту. В этой статье мы расскажем, как исправить эту ошибку.

  • Причины возникновения ERR SSL VERSION OR CIPHER MISMATCH
    • Проверьте свой SSL-сертификат
    • Проверка на несоответствие имени сертификата
    • Проверка старой версии TLS
    • Проверка RC4 Cipher Suite
    • Попробуйте очистить состояние SSL на компьютере
    • Используйте новую операционную систему
    • Временное отключение антивируса

Эта ошибка возникает в устаревших операционных системах или браузерах, но не всегда. Недавно один из наших клиентов столкнулся с ней на своем WordPress-сайте, который перенесли с другого хостинга. Мы работали с последней версией Chrome, поэтому проблема была в используемом SSL-сертификате. При этом браузер защищает своих пользователей, не позволяя им загружать сайт. Ниже приведены рекомендации по исправлению ошибки.

Причины возникновения ERR SSL VERSION OR CIPHER MISMATCH

ERR SSL VERSION OR CIPHER MISMATCH

Проверьте SSL- сертификат, установленный на сайте. Мы рекомендуем использовать бесплатный инструмент проверки SSL от Qualys SSL Labs. Введите свой домен в поле Hostname и нажмите «Submit». Вы также можете скрыть результаты проведенной проверки.

Проверьте свой SSL-сертификат

Проверка SSL-сертификата

У упомянутого выше пользователя ошибка ERR SSL VERSION OR CIPHER MISMATCH возникала из-за несоответствия имени сертификата. Оно может быть вызвано несколькими причинами:

  • Сайт не использует SSL, но при этом делит IP-адрес с другим сайтом, который использует SSL.
  • Сайт больше не существует, но домен по-прежнему указывает на старый IP-адрес, на котором теперь размещается другой сайт.
  • Сайт использует сеть доставки контента (CDN), которая не поддерживает SSL.
  • Псевдоним доменного имени не был включен в сертификат.

Проверка на несоответствие имени сертификата

Несоответствие имени сертификата

Также для проверки можно использовать Chrome DevTools. На открытой в браузере веб-странице сайта кликните правой кнопкой мыши и выберите пункт «Проверить». Затем зайдите на вкладку «Безопасность», пункт «Просмотреть сертификат». Используемый домен должен отображаться в информации о сертификате. Если нет, то в этом и кроется причина ошибки.

Но необходимо помнить, что существуют групповые сертификаты, а также некоторые другие варианты.

Проверка на несоответствие имени сертификата - 2

Проверка домена, на который выдан SSL-сертификат

Но в нашем случае ошибка ERR SSL VERSION OR CIPHER MISMATCH не позволила воспользоваться Chrome DevTools. В этой ситуации нам помог SSL Labs.

Причиной ошибки также может быть устаревшая версия TLS, используемая на сервере. Для применения SSL Labs сервер должен использовать TLS версии не ниже 1.2.

При настройке он покажет вам текущую версию TLS, работающую на сервере. Если она устарела, обратитесь в службу поддержки хостинга и попросите обновить версию TLS.

Проверка старой версии TLS

Проверка TLS 1.2

TLS 1.3 пока не является официальной версией транспортного протокола. Но можно активировать ее поддержку Google Chrome. Для этого скопируйте и вставьте следующее значение в адресную строку браузера:

chrome://flags/#ssl-version-max

Затем измените версию TLS, используемую по умолчанию, на TLS 1.3.

Проверка старой версии TLS - 2

Новейшая версия TLS в браузере Google Chrome

Также ошибка ERR SSL VERSION OR CIPHER MISMATCH может быть вызвана удалением RC4 Cipher Suite из Chrome версии 48. Она возникает при разворачивании крупных корпоративных сайтов, требующих RC4. Почему? Потому что для обновления сложных конфигураций требуется больше времени.

Исследования безопасности Google и Microsoft показывают, что рекомендуется отключить RC4. Поэтому убедитесь, что конфигурация сервера использует другой набор шифров. Просмотреть текущий набор шифров можно с помощью SSL Labs.

Проверка RC4 Cipher Suite

Набор шифров

Еще один вариант — очистить состояние SSL в браузере Google Chrome. Для этого выполните следующие действия.

  • Нажмите на иконку настроек в Google Chrome и выберите пункт «Настройки».
  • Кликните по ссылке «Показать дополнительные настройки».
  • В разделе «Сеть» нажмите кнопку «Изменить параметры прокси». После этого откроется диалоговое окно «Свойства: Интернет».
  • Перейдите на вкладку «Содержимое».
  • Нажмите кнопку «Очистить SSL», а затем нажмите кнопку «ОК».
  • Перезапустите браузер Google Chrome.

Попробуйте очистить состояние SSL на компьютере

Очистка состояния SSL в Chrome на Windows

Многие операционные системы устарели из-за появления новых, и браузеры постепенно перестают их поддерживать. Google Chrome прекратил поддержку Windows XP еще в 2015 году. Мы рекомендуем обновлять операционные системы до новейших версий, если это возможно.

При возникновении ошибки ERR SSL VERSION OR CIPHER MISMATCH, убедитесь в том, что антивирусник отключен. Некоторые антивирусные программы создают «изоляционный слой» между браузером и сетью со своими собственными сертификатами. Иногда это может вызывать проблемы.

Источник

  1. Products
  2. SSL/TLS
  3. Troubleshooting
  4. ERR_SSL_VERSION_OR_CIPHER_MISMATCH

ERR_SSL_VERSION_OR_CIPHER_MISMATCH

After you add a new domain to Cloudflare, your visitors’ browsers might display ERR_SSL_VERSION_OR_CIPHER_MISMATCH (Chrome) or SSL_ERROR_NO_CYPHER_OVERLAP (Firefox) errors.

This error occurs when your domain or subdomain is not covered by an SSL/TLS certificate, which is usually caused by:

  • A delay in certificate activation.
  • An unproxied domain or subdomain DNS record.
  • An expired Custom certificate.
  • A multi-level subdomain (test.dev.example.com).

Decision tree

Certificate activation

For domains on a full setup1, your domain should automatically receive its Universal SSL certificate within 15 minutes to 24 hours of domain activation2.

This certificate will cover your zone apex (example.com) and all first-level subdomains (subdomain.example.com), as long as your domain or subdomains have proxied DNS records within Cloudflare DNS.

  1. The most common Cloudflare setup that involves changing your authoritative nameservers. ↩︎

  2. Provisioning time depends on certain security checks and other requirements mandated by Certificate Authorities (CA). ↩︎

Potential issues

If your visitors experience ERR_SSL_VERSION_OR_CIPHER_MISMATCH (Chrome) or SSL_ERROR_NO_CYPHER_OVERLAP (Firefox), check the status of your Universal certificate:

  1. Log into the Cloudflare dashboard.
  2. Choose your account and domain.
  3. Go to SSL > Edge Certificates.
  4. Find the certificate with the Type of Universal.
  5. Make sure the Status is Active.

If the Status is anything other than Active, you can either wait a bit longer for certificate activation or take immediate action.

Solutions

If you need to immediately resolve this error, temporarily pause Cloudflare.

Since Universal certificates can take up to 24 hours to be issued, wait and monitor the certificate’s status. Once your certificate becomes Active, unpause Cloudflare using whichever method you used previously.

If your certificate is still not Active after 24 hours, try the various troubleshooting steps used to resolve timeout issues. If these methods are successful (and your certificate becomes Active), unpause Cloudflare using whichever method you used previously.

Proxied DNS records

Cloudflare Universal and Advanced certificates only cover the domains and subdomains you have proxied through Cloudflare.

If the Proxy status of A, AAAA, or CNAME records for a hostname are DNS-only, you will need to change it to Proxied.

Proxy status affects how Cloudflare treats traffic intended for specific DNS records

Certificate expiration

If you have a Custom certificate and visitors experience ERR_SSL_VERSION_OR_CIPHER_MISMATCH (Chrome) or SSL_ERROR_NO_CYPHER_OVERLAP (Firefox), check its status to make sure it is not expired.

If it is expired, upload a replacement certificate.

Multi-level subdomains

By default, Cloudflare Universal SSL certificates only cover your root domain and one level of subdomain.

Hostname Covered by Universal certificate?
example.com Yes
www.example.com Yes
docs.example.com Yes
dev.docs.example.com No
test.dev.api.example.com No

This means that you might experience ERR_SSL_VERSION_OR_CIPHER_MISMATCH (Chrome) or SSL_ERROR_NO_CYPHER_OVERLAP (Firefox) on multi-level subdomains.

To prevent insecure connections on a multi-level subdomain, do one of the following:

  • Enable Total TLS, which automatically issues new certificates to any proxied hostnames not covered by a Universal certificate.
  • Order an Advanced Certificate covering the subdomain.
  • Upload a Custom Certificate covering the subdomain.

If none of these solutions work, you could also remove the multi-level subdomain.

Источник

Introduction

The error ERR_SSL_VERSION_OR_CIPHER_MISMATCH occurs when a user’s browser cannot establish a secure connection with a web server that uses HTTPS and SSL. The issue may lie in the server configuration or locally on a user’s computer.

Follow the easy solutions  in this guide to fix the ERR_SSL_VERSION_OR_CIPHER_MISMATCH error.

Guide on how to fix err_ssl_version_or_cipher_mismatch.

Certificate expiration

If you have a Custom certificate and visitors experience ERR_SSL_VERSION_OR_CIPHER_MISMATCH (Chrome) or SSL_ERROR_NO_CYPHER_OVERLAP (Firefox), check its status to make sure it is not expired.

If it is expired, upload a replacement certificate.

Multi-level subdomains

By default, Cloudflare Universal SSL certificates only cover your root domain and one level of subdomain.

Hostname Covered by Universal certificate?
example.com Yes
www.example.com Yes
docs.example.com Yes
dev.docs.example.com No
test.dev.api.example.com No

This means that you might experience ERR_SSL_VERSION_OR_CIPHER_MISMATCH (Chrome) or SSL_ERROR_NO_CYPHER_OVERLAP (Firefox) on multi-level subdomains.

To prevent insecure connections on a multi-level subdomain, do one of the following:

  • Enable Total TLS, which automatically issues new certificates to any proxied hostnames not covered by a Universal certificate.
  • Order an Advanced Certificate covering the subdomain.
  • Upload a Custom Certificate covering the subdomain.

If none of these solutions work, you could also remove the multi-level subdomain.

Источник

Introduction

The error ERR_SSL_VERSION_OR_CIPHER_MISMATCH occurs when a user’s browser cannot establish a secure connection with a web server that uses HTTPS and SSL. The issue may lie in the server configuration or locally on a user’s computer.

Follow the easy solutions  in this guide to fix the ERR_SSL_VERSION_OR_CIPHER_MISMATCH error.

Solutions for Website Developers

As a developer or a webmaster, you might get a report that a user encountered this error when trying to access your website. The error may also appear in your Apache error logs.

The err_ssl_version_or_cipher_mismatch error usually occurs when there’s a problem with the SSL certificate or encryption modules. There are a few server-side actions you can take to resolve this issue.

Note: SSL stands for Secure Socket Layer, which refers to encryption security in your browser. Cipher refers to the code used to encrypt and decrypt the information.

Verify SSL Status of Website

Use a tool like the free Qualys SSL Labs Server Test. The tool examines the state of your certificates and encryption and generates a report.

This is a great place to start since the tool tests several different areas at once. If you have errors, the report highlights the sections that need attention.

Another way to check the SSL certificate status is to navigate to your website and click the padlock in the search bar.

On Google Chrome, it looks like this:

Verifying status of SSL certificate in Chrome to see if it is the cause of ERR_SSL_VERSION_OR_CIPHER_MISMATCH error.

This method should be used only for a quick reference. We recommend using a dedicated tool, such as the Qualys SSL Labs tool we mentioned.

Check for Certificate Name Not Matching

An SSL certificate proves that your website is who it claims to be. The website name and the name on the certificate must match. Additionally, the certificate must come from a trusted provider.

There are a few reasons the names might not match, which can generate the error ERR_SSL_VERSION_OR_CIPHER_MISMATCH:

  • When the domain does not use SSL, but another domain with the same IP address uses SSL.
  • The domain points to an old IP address it no longer uses. The old website doesn’t exist, but another website has the first domain’s old IP address.
  • The site uses a CDN (Content Delivery Network) that does not support SSL.
  • The site has a domain name alias that is not in the certificate.

Once you determine the source of the problem, you can resolve the issue easily.

Verify TLS Version

TLS stands for Transport Layer Security and is a security protocol that’s used to encrypt communications between websites. The current version (at the time this article was written) is TLS 1.3. If your site is running an older version of TLS, it may cause the CIPHER_MISMATCH error.

Most modern browsers are set to use the latest version of TLS (if available on the website). If your server is not configured to use TLS 1.3, consider updating to the latest protocol.

Verify RC4 Cipher Suite

RC4 Cipher is an old and simple tool for encrypting traffic. It has been found to have significant vulnerabilities.

Some organizations still use RC4 for legacy applications, but most modern browsers do not support it. If a website is configured to use RC4, an error may occur.

The best solution is to move the site from RC4 to TLS 1.3 protocols. If you cannot completely disable RC4, add the TLS 1.3 protocol so that modern browsers don’t trigger the err_ssl_version_or_cipher_mismatch error.

Manually Inspect Security Certificate

To manually inspect your SSL Certificate, open the browser, load your webpage, and follow these steps:

In Firefox:

  • Right-click anywhere on the page.
  • Click View Page Info.
  • Select the Security tab.
  • Click View Certificate.

In Chrome:

  • Right-click anywhere on the page.
  • Click Inspect.
  • In the Inspection pane near the top, click the arrows >> to reveal more options.
  • Click Security.
  • Click View Certificate.

In Safari:

  • Double-click the padlock icon in the upper-right section.
  • In the window that appears, click Show Certificate > Details.

If the site you are checking is not secure and has no certificate, there will be no option to view the certificate.

Solutions for End Users

The err_ssl_version_or_cipher_mismatch error can appear due to a client-side issue. The reason can be an older version of operating systems or an outdated browser. Current versions of TLS protocols are incompatible with old browsers and operating systems.

To bypass the mismatch error, try the solutions we list below.

Connect with a Different Computer

The easiest method to check if only your computer has the issue loading a website is to try using a different computer. The safest bet is to try from a machine with a recent version of an operating system.

If you can load the website without getting the error, you can proceed with troubleshooting using the suggestions in this guide.

Delete Cache and Cookies on Your Browser

Clearing your browser’s cache and cookies can help with SSL certificate issues. Depending on the browser and the version you are using, the steps to find the section for clearing cache may be different.

The CTRL+SHIFT+DELETE hotkey combination works for most browsers. When the pop up for clearing history or cache appears, change the timeframe to All or Everything. If you check all the options, you will lose saved logins and all history, so you can uncheck those options if you want to.

Enable TLS 1.3 Version on Old Browsers

Recent versions of web browsers use TLS 1.3 by default. If you did not update your browser or do not want to, you can check the TLS version and enable 1.3.

In Firefox:

Open a new tab and type about:config in the address bar. Click the button to accept the risk and then type security.tls in the search bar.

Look for the security.tls.version.max option towards the bottom of the list. Set the value to 4 if it is not already set.

Checking TLS security settings in Firefox to fix the ERR_SSL_VERSION_OR_CIPHER_MISMATCH error.

In Chrome:

Open a new tab and type chrome://flags in the address bar. Search for TLS using the search bar at the top. The results will include the TLS 1.3 downgrade hardening options.

Disable QUIC Protocol

Chrome has many security settings, and “Experimental QUIC Protocol” can be the cause of the err_ssl_version_or_cipher_mismatch error.

To disable the QUIC protocol in Chrome:

In the address bar type in chrome://flags. In the search bar at the top, enter QUIC. The search results should list “Experimental QUIC protocol.”

Change from Default to Disabled, restart Chrome, and try loading the website again.

Chrome QUIC Protocol settings change to disabled.

Clear the SSL State on your Computer.

To clear the SSL state on your computer, go directly to the “Internet Properties” section. The quickest way in Windows 10 is to search for “Internet Properties” or “Internet Options” from the Start menu.

Checking Internet Options using the Start menu for solution to the error with SSL.

Navigate to the Content tab and click Clear SSL state.

Clearing the SSL state to fix ERR_SSL_VERSION_OR_CIPHER_MISMATCH error.

The pop-up message “The SSL cache was successfully cleared” appears.

Some older versions of Chrome allow you to access Internet Properties and clear SSL state from the advanced settings menu.

Update or Change your Web Browser

Most modern browsers update automatically on restart. If your browser did not update automatically, you could manually update it.

To check the version on most popular browsers, navigate to the Help and About section.

Updating Firefox through About section in order to fix ERR_SSL_VERSION_OR_CIPHER_MISMATCH error.

In most cases, you can manually update the browser from here. Once the update completes, try loading the website again.

Conclusion

This guide listed the most common solutions for the err_ssl_version_or_cipher_mismatch error. The causes may be on the server side or the client side.

By following the steps listed in this guide, you should be able to find the cause of the error and fix it.

Источник

Как правило, ошибка 113 «Этот сайт не может обеспечить безопасное соединение. На сайте используется неподдерживаемый протокол. ERR SSL VERSION OR CIPHER MISMATCH»  появляется при заходе на не безопасный ресурс (по мнению обозревателя), полностью предотвращая его загрузку. При этом не важно, какой используется, Google Chrome, Яндекс Браузер, Opera или любой другой. Способы исправления универсальны, давайте разберем каждый из них.

Содержание статьи

  1. Предварительные действия
  2. Включение SSL 3, TLS и отключение QUIC
  3. Google Chrome и Яндекс.Браузер
  4. Firefox
  5. Opera, Edge, Спутник и другие браузеры
  6. Очистка кэша SSL
  7. Очистка кэша браузера
  8. Сброс настроек
  9. Для владельцев сайтов
  10. Решение для государственных сайтов (zakupki.gov.ru, bus.gov.ru, nalog.ru, egisso, minfin.ru) и других
  11. Дополнительные способы устранения неполадки
  12. Подробное видео с инструкциями
  13. Комментарии пользователей

Предварительные действия

Часто, решить проблему получается с помощью выполнения простых действий.

  1. Проверьте, открываются ли другие ресурсы. Если нет, то скорее всего сбой вызывает плохое интернет-подключение. При необходимости обратитесь в службу поддержки провайдера.
  2. Убедитесь, что на компьютере установлено актуальное время, дата и пояс.установка даты и времени
  3. Отключите антивирус или добавьте адрес в исключения. Держать защитное ПО отключенным все время не рекомендуется, но так можно выяснить причину, чтобы в дальнейшем ее устранить. Также помогает отключение проверки безопасного трафика или установка соответствующего SSL сертификата, предлагаемого разработчиками антивируса.отключение фильтрации зашифрованного трафика
  4. Выключите расширения, включая блокировщики рекламы, такие как «Adblock» или «Adguard».

Если это не избавило от сбоя, то проведите дополнительные настройки.

Включение SSL 3, TLS и отключение QUIC

Не стоит исключать неисправность на стороне SSL3 / TLS и QUIC. Предлагаю проверить это и включить, или наоборот, отключить лишние функции.

Google Chrome и Яндекс.Браузер

В адресную строку введите «chrome://flags» и нажмите «Enter».

flags в chrome

Затем, используя поиск, найдите «TLS 1.3» и укажите значение «Enabled».

включение tls в google chrome

Теперь найдите «Experimental QUIC protocol» и выставите для него значение «Disabled».

выключение quic

Перезапустите веб-браузер, и проверьте результат.

Firefox

В адресной строке укажите «about:config» и щелкните «Enter». Отобразится уведомление об осторожности, примите его, нажав «Принять риск».

настройки firefox

Через поисковую строку найдите параметр «security.tls.version.min», нажмите «Изменить» и задайте значение «3». Сохраните настройки, щелкнув по галочке.

указываем версию tls

Теперь найдите параметры «SSL3». У первых двух, должно стоять значение «False», у остальных «True». Если это не так, то измените.

ssl3 в firefox

Firefox начнет работать в режиме TLS 1.3 после перезапуска.

Opera, Edge, Спутник и другие браузеры

Вызовите окно выполнения с помощью сочетания «Win + R», введите «inetcpl.cpl» и щелкните «Ок». Откроются «Свойства: Интернет».

команда inetcpl

Переместитесь во вкладку «Дополнительно», в разделе «Безопасность» активируйте «TLS 1.0 / 1.1 / 1.2» и сохраните настройки.

свойства интернета

Если это не сработало, то вернитесь в панель настроек и активируйте «SSL 3.0».

С помощью одновременного нажатия клавиш «Win + R» вызовите окно выполнения, укажите inetcpl.cpl и нажмите «Ок».

команда inetcpl

Переместитесь во вкладку «Содержание» и щелкните по кнопке очистки.

очистка ssl кэша

Очистка кэша браузера

Чтобы увидеть видеть результат выполнения предыдущих способов, необходимо очистить кэш веб-обозревателя.

Как это сделать:

  1. В окне веб-обозревателя нажмите «SHIFT + CTRL + DELETE».
  2. Выберите опцию за «Все время» и проставьте галочки рядом с другими пунктами.очищаем кэш в google chrome
  3. Выполните очистку, и перезапустите веб-обозреватель.

Это должно помочь.

Сброс настроек

Некоторые настройки и расширения способны вызывать сбои. Поэтому их рекомендуется сбросить к значению по умолчанию, даже если вы их не меняли. Ведь это могло сделать вредоносное ПО.

  1. Войдите в панель настроек, воспользуйтесь строкой поиска для того, чтобы функцию сброса.сброс параметров в хроме
  2. Щелкните по пункту сброса и подтвердите действие.

После завершения процедуры, перезапустите браузер.

Для владельцев сайтов

Теперь поговорим о том, что делать, если ошибка с кодом NET::ERR_SSL_VERSION_OR_CIPHER_MISMATCH начала появляться у владельца сайта с установленным SSL сертификатом.

  1. После выпуска SSL сертификата нужно немного подождать. Обычно он начинает действовать в течении одного часа.
  2. Проверьте, правильно ли он установлен.
  3. Если неожиданно перестал работать старый SSL сертификат, то скорее всего истек его срок годности. К счастью, полно онлайн сервисов, позволяющих проверить актуальность сертификата. То же самое можно сделать, щелкнув по иконке замка рядом с адресом.иконка замка в адресной строке
  4. При использовании CDN необходимо убедиться, что она поддерживает безопасное соединение.
  5. RC4 Cipher — старый и простой инструмент для шифрования трафика. В нем были обнаружены серьезные уязвимости, в следствии которых новые веб-обозреватели перестали его поддерживать. Поэтому если ресурс работает по протоколу RC4, переведите его на TLS.

Решение для государственных сайтов (zakupki.gov.ru, bus.gov.ru, nalog.ru, egisso, minfin.ru) и других

Как правило, государственный сайты или сайты банков используют более сложное шифрование, поэтому при заходе может появляться указанная ошибка. Чаще всего это происходит в Internet Explorer и Edge. Выхода из ситуации здесь два:

  1. Использовать Yandex Browser с поддержкой нужного шифрования или Chromium Gost.
  2. Внимательно прочитать информацию в окне с ошибкой или на требуемом сайте в разделе часто задаваемых вопросов. Возможно, нужно установить определенный сертификат на компьютер.

Дополнительные способы устранения неполадки

Если ничего из вышеописанного не помогло, воспользуйтесь дополнительными методами решения проблемы.

  1. В адресной строке вместо протокола https, укажите http.указание протокола http
  2. Используйте старую версию браузера. Скажу сразу, я не являюсь сторонником этого способа. Пользоваться актуальной версией крайне важно, поскольку в ней улучшены меры безопасности. Но для диагностики и разового решения это вполне хороший вариант.
  3. Если вы используете старую операционную систему, то скорее всего, она не поддерживает новые технологии, включая установку актуальных версий браузеров. Поэтому рекомендуется обновиться до Windows 10. Особенно, если речь идет о Windows XP.
  4. Проведите полную проверку системы на наличие вредоносного ПО. Для этих целей лучше всего использовать антивирусные сканеры в сочетании с комплексным антивирусом или защитником.
  5. Обновите, или полностью удалите браузер, после чего установите его заново. Для удаления рекомендую использовать «Revo Uninstaller» или аналогичный деинсталлятор.
  6. Проведите очистку системы от временных файлов и исправьте проблемы в реестре. Для этого можно использовать «Ccleaner» или «Reg Organizer». До начала процедуры рекомендуется активировать пункт «Кэш DNS».
  7. Возможно, проблема на стороне сайта. Поэтому, подождите некоторое время пока он заработает.
  8. Воспользуйтесь другим веб-обозревателем, например, «UR Browser».

Надеюсь, что статья помогла устранить ERR_SSL_VERSION_OR_CIPHER_MISMATCH. Если же нет, или вы нашли другое решение, то поделитесь им. Оно может быть полезно для других пользователей.

Подробное видео с инструкциями

Источник

У меня почему-то перестали открываться некоторые HTTPS сайты (не все!). При попытке открыть такой сайт в браузере появляется окно с ошибкой «Этот сайт не может обеспечить безопасное соединение». Сайты не отображаются как в Google Chrome, так и в Opera, Яндекс Браузере и Microsoft Edge. Без HTTPS некоторые сайты открываются, но не все, только те, у которых страницы доступны и по протоколу HTTPS и по протоколу HTTP. В Google Chrome ошибка при открытии HTTPS сайт выглядит так:

Этот сайт не может обеспечить безопасное соединение.
Сайт sitename.ru отправил недействительный ответ.
ERR_SSL_PROTOCOL_ERROR.

Chrome - Этот сайт не может обеспечить безопасное соединение. Сайт sitename.ru отправил недействительный ответ. ERR_SSL_PROTOCOL_ERROR

И так:

 Этот сайт не может обеспечить безопасное соединение.
На сайте sitename.ru используется неподдерживаемый протокол.
ERR_SSL_VERSION_OR_CIPHER_MISMATCH.

Клиент и сервер поддерживают разные версии протокола SSL и набора шифров. Скорее всего, сервер использует шифр RC4, который считается небезопасный.» [/alert]

На сайте sitename.ru используется неподдерживаемый протокол. ERR_SSL_VERSION_OR_CIPHER_MISMATCH

Или в Mozilla Firefox :

Secure Connection Failed

В Opera и Яндекс Браузере ошибки выглядит примерно также.

Как мне открыть такие сайты?

Ответ

Как вы уже вероятно поняли, проблема связана с проблемами при SSL взаимодействии между вашим компьютеров и HTTPS сайтом. Причины такой ошибки могут быть довольно разные. В этой статье я попробовал собрать все методы исправления ошибки «Этот сайт не может обеспечить безопасное соединение» (This site can’t provide a secure connection, ERR_SSL_PROTOCOL_ERROR) в различных браузерах.

Содержание:

  • Очистите в брайзере кэш и куки, сбросьте SSL кэш
  • Отключите сторонние расширения в браузере
  • Проверьте настройки антивируса и файрвола
  • Проверьте настройки даты и времени
  • Обновите корневые сертификаты Windows
  • Отключите поддержку протокола QUIC
  • Проверьте версии протоколов TLS, поддерживаемых вашим браузером и сайтом
  • Включите поддержку старых версий протоколов TLS и SSL

Сразу хочется отметить, что несмотря на то, что браузеры Google Chrome, Opera, Яндекс Браузер и Edge выпускаются разными компаниями, на самом деле все эти браузеры основаны на одном и том же движке — WebKit (Chromium) и проблема с ошибками при открытии HTTPS сайтов в них решается одинаково.

В первую очередь нужно убедиться, что проблема не на стороне самого HTTPS сайта. Попробуйте открыть его с других устройств (телефон, планшет, домашний/рабочий компьютер и т.д.). Также проверьте, открывается ли в других браузерах, например, IE/Edge или Mozilla Firefox. В Firefox похожая ошибка обсуждалась в статье Ошибка при установлении защищённого соединения в Mozilla Firefox.

Очистите в брайзере кэш и куки, сбросьте SSL кэш

Кэш и куки браузера могут быть частой причиной возникновения ошибок с SSL сертификатами. Рекомендуем сначала очистить в браузере кэш и куки. В Chrome нужно нажать сочетание клавиш Ctrl + Shift + Delete, выберите промежуток времени (Все время) и нажмите кнопку очистки данных (Удалить данные / Clear Data).

Очистиь кэш и куки chrome

Чтобы очистить SSL кэш в Windows:

  1. Перейдите в раздел Панель управления -> Свойства браузера;
  2. Щелкните по вкладке Содержание;
  3. Нажмите на кнопку Очистить SSL (Clear SSL State);
  4. Должно появится сообщение “SSL-кэш успешно очищен”;
  5. Осталось перезапустить браузер и проверить, осталась ли ошибка ERR_SSL_PROTOCOL_ERROR.

Очистить SSL кэш Windows

Отключите сторонние расширения в браузере

Рекомендуем отключить (удалить) сторонние расширения браузера, особенно всякие анонимайзеры, прокси, VPN, расширения антивируса и другие подобные Addon-ы, которые могут вмешиваться в прохождение трафика до целевого сайта. Посмотреть список включенных расширения в Chrome можно, перейдя в Настройки -> Дополнительные инструменты -> Расширения, или перейдя на страницу
chrome://extensions/
. Отключите все подозрительные расширения.

Отключите расширения Chrome

Проверьте настройки антивируса и файрвола

Если на вашем компьютере установлены антивирусная программа или межсетевой экран (часто он встроен в антивирус), возможно доступ к сайту блокируется именно ими. Чтобы понять, ограничивают ли доступ к сайту антивирусы или файрволы, попробуйте на время приостановить их работу.
Во многих современных антивирусах по-умолчанию присутствует модуль проверки SST/TLS сертификатов сайтов. Если антивирус обнаружит, что сайт использует недостаточно защищенный (или самоподписанный) сертификат или устаревшую версию протокола SSL (тот же SSL 3.0 или TLS 1.0), доступ к пользователя к такому сайту может быть ограничен. Попробуйте отключить сканирование HTTP/HTTPS трафика и SSL сертификатов. В различных антивирусах эта опция может называть по-разному. Например:

Проверьте настройки даты и времени

Неправильная дата и время (и часового пояса) на компьютере также может быть причиной ошибки при установке защищенного соединения с HTTPS сайтами. Ведь при выполнении аутентификации система проверяет срок создания и дату истечения сертификата сайта и вышестоящего центра сертификации.

Проверьте что у вас установлено правильно время и часовой пояс. Если время постоянно сбивается – смотри статью “Сбивается время на компьютере при выключении: что делать?”.

Обновите корневые сертификаты Windows

Если ваш компьютер находится в изолированном сегменте, давно не обновлялся или на нем совсем отключена служба автоматического обновления, на вашем компьютере могут отсутствовать новые корневые доверенные сертификаты (TrustedRootCA). Рекомендуем выполнить обновление системы: установить последние обновления безопасности и обновления часовых поясов.

Вы можете вручную обновить корневые сертификаты по статье: Как вручную обновить корневые сертификаты в Windows (так же рекомендуем проверить хранилище сертификатов на предмет недоверенных сертификатов, это позволит предотвратить перехват вашего HTTPs трафика и ряд других проблем).

Отключите поддержку протокола QUIC

Проверьте, не включена ли в Chrome поддержка протокола QUIC (Quick UDP Internet Connections). Протокол QUIC позволяет гораздо быстрее открыть соединение и согласовать все параметры TLS (HTTPs) при подключении к сайту. Однако в некоторых случая он может вызывать проблемы с SSL подключениями. Попробуйте отключить QUIC:

  1. Перейдите на страницу: chrome://flags/#enable-quic;
  2. Найдите опцию Experimental QUIC protocol;
  3. Измените значение опции Default на Disabled;
  4. Перезапустите Chrome.

Experimental QUIC protocol - отключить в chrome

Проверьте версии протоколов TLS, поддерживаемых вашим браузером и сайтом

Проверьте, какие версии протоколов TLS/SSL и методы шифрования (Cipher Suite ) поддерживаются вашим браузером. Для этого просто откройте веб страницу https://clienttest.ssllabs.com:8443/ssltest/viewMyClient.html

Онлайн сервис SSL Labs вернет список протоколов и методов шифрования, которые поддерживает ваш блаузер. Например, в моем примере Chrome поддерживает TLS 1.3 и TLS 1.2. Все остальные протоколы (TLS 1.1, TLS 1.0, SSL3 и SSL 2) отключены.

Чуть ниже указан список поддерживаемых методов шифрования.

Cipher Suites (in order of preference)

  • TLS_AES_128_GCM_SHA256
  • TLS_CHACHA20_POLY1305_SHA256
  • TLS_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA

какие версии tls и ssl поддерживает ваш браузер

Полный список методов шифрования, включенных в Windows можно вывести с помощью PowerShell:

Get-TlsCipherSuite | Format-Table -Property CipherSuite, Name

Затем проверьте список протоколов TLS/SSL, которые поддерживает ваш сайт. Для этого воспользуйтесь онлайн сервисом проверки SSL
https://www.ssllabs.com/ssltest/analyze.html?d=domain.ru
(замените
domain.ru
на адрес сайта, который вы хотите проверить).

Проверьте, все ли версии TLS/SSL поддерживаемые сайтом доступны в вашем браузере.

В этом примере видно, что сайт не поддерживает TLS 3.1 и SSL3/2. Аналогично сравните список Cipher Suite.

список tls ssl протоколов и методов ширования, поддерживаемых сайтом/сервером

Если метод шифрования не поддерживается вашим браузером, возможно нужно включить его в Windows.

Если сайт не поддерживает SSL протоколы, которые требует использовать клиент, то при подключении вы увидите ошибку “ Этот сайт не может обеспечить безопасное соединение”.

Включите поддержку старых версий протоколов TLS и SSL

И самый последний пункт. Cкорее всего для решения проблемы вам достаточно будет включить поддержку старых версий протоколов TLS и SSL. В большинстве случае он окажется самым эффективным, но я намеренно перенес его в конец статьи. Объясню почему.

Старые версии протоколов TLS и SSL отключены не по простой прихоти разработчиков, а в связи с наличием большого количества уязвимостей, которые позволяют злоумышленникам перехватить ваши данные в HTTPS трафике и даже видоизменить их. Бездумное включение старых протоколов существенно снижает вашу безопасность в Интернете, поэтому к этому способу нужно прибегать в последнюю очередь, если все другое точно не помогло.

Современные браузеры и ОС уже давно отказались от поддержки устаревших и уязвимых протоколов SSL/TLS (SSL 2.0, SSL 3.0 и TLS 1.1). Стандартном сейчас считаются TLS 1.2 и TLS 1.3

Если на стороне сайта используется более старая версия протокола SSL/TLS, чем поддерживается клиентом/браузером, пользователь видит ошибку установки безопасного подключения ERR_SSL_VERSION_OR_CIPHER_MISMATCH. Такая ошибка появляется, если клиент на этапе TLS Handshake обнаружил, что на сайте используется протокол шифрования или длина ключа, которая не поддерживается вашим браузером. Выше мы показали, как определить набор протоколов и шифров, поддерживаемых сервером.

Чтобы разрешить использовать старые версии протоколов SSL/TLS в Windows (еще раз отмечаю – это небезопасно!):

  1. Откройте Панель Управления -> Свойства браузера;
  2. Перейдите на вкладку Дополнительно;
  3. Включите опции TLS 1.0, TLS 1.1 и TLS 1.2 (если не помогло, включите также SSL 3.0,2.0).включить TLS 1.0, TLS 1.1
  4. Перезапустите браузер.

Если все рассмотренные способы не помогли избавиться от ошибки «Этот сайт не может обеспечить безопасное соединение» также попробуйте:

    1. Проверить, что в файле C:WindowsSystem32driversetchosts отсутствуют статические записи. Файл hosts может использоваться в Windows в том числе для блокировки доступа к сайтам. Выведите содержимое файла hosts с помощью PowerShell:
      Get-Content $env:SystemRootSystem32Driversetchosts
    2. Попробуйте использовать публичные DNS сервера, например – DNS сервер Google. В настройках сетевого подключения в качестве предпочитаемого DNS сервера укажите IP адрес 8.8.8.8;
    3. В Панели управления -> свойства браузера, убедитесь, что для зоны Интернет выбрана уровень безопасности Выше среднего или Средний. Если выбрана зона Высокий, некоторые SSL подключения могут блокироваться браузером.Средний уровень безопасности для зоны Интернет
    4. Возможно проблема связана с сертификатом сайта. Проверьте его с помощью онлайн утилит SSL Checker;
    5. Если на компьютере используется VPN или задан прокси сервер в Windows, попробуйте отключите их;
    6. В тестовых целях, если вам нужно быстро просмотреть содержимое сайта, можно отключить ошибки проверки SSL сертификатов в Chrome. Для этого нужно запустить его с параметром —ignore-certificate-errors:
      "C:Program Files (x86)GoogleChromeApplicationchrome.exe" --ignore-certificate-errors
      (не работайте в таком режиме постоянно и не отправляйте конфиденциальные данные пароли/кредитки в такой сессии);
    7. В Chrome проверьте, включен ли протокол TLS 1.3. В адресной строке перейдите в раздел настроек chrome://flags, С помощью поиска найдите параметр TLS 1.3. Убедитесь, что он включен (Enabled) или находится в состоянии Default. Если отключен – его нужно включить; TLS 1.3 в Chrome
    8. Если у вас используется одна из старых версий ОС (Windows XP или Windows 7), установите вместо Chrome браузер Mozilla Firefox. В отличии от движков на базе Chromium, Mozilla не использует собственные модули реализации протоколов шифрования SSL/TLS, а не встроенные в Windows.
Источник

Понравилась статья? Поделить с друзьями:
  • Error 80004005 неопознанная ошибка source unknown description not available
  • Error 80004005 неопознанная ошибка elsa что делать
  • Error 8 кофемашина jura как исправить ошибку
  • Error 65542 minecraft ошибка как исправить
  • Error 601 battery как убрать ошибку