Протокола ssl или разные наборы шифров как устранить
Перейти к содержимому

Протокола ssl или разные наборы шифров как устранить

  • автор:

ERR SSL VERSION OR CIPHER MISMATCH в браузере — как исправить?

Исправление ошибки ERR SSL OR CIPHER MISMATCH

Среди наиболее распространенных ошибок в браузере Google Chrome, Microsoft Edge, Opera, Яндекс Браузер при открытии сайтов или определенных разделов в них — сообщение «Этот сайт не может обеспечить безопасное соединение. На сайте используется неподдерживаемый протокол» с кодом ошибки ERR_SSL_VERSION_OR_CIPHER_MISMATCH, а в подробностях — «Клиент и сервер поддерживают разные версии протокола SSL и набора шифров».

В этой инструкции подробно о том, как исправить ошибку ERR_SSL_VERSION_OR_CIPHER_MISMATCH для различных ситуаций и браузеров: как для «обычных» сайтов, так и для различных государственных сайтов, где проблема может иметь иной характер.

  • Решение проблемы ERR SSL VERSION OR CIPHER MISMATCH
  • Ошибка ERR SSL VERSION OR CIPHER MISMATCH для государственных сайтов с шифрованием по ГОСТ
  • Видео инструкция

Решение проблемы «Неподдерживаемый протокол» ERR_SSL_VERSION_OR_CIPHER_MISMATCH

Сообщение ERR_SSL_OR_CIPHER_MISMATCH в браузере

В общем случае ошибка возникает при установке зашифрованного соединения с сайтом на этапе TLS Handshake. Если на сайте используется протокол шифрования или длина ключа, не поддерживаемые вашим браузером, результат — ошибка ERR_SSL_VERSION_OR_CIPHER_MISMATCH.

В случае, если ошибка появляется при доступе к обычному сайту в Интернете: не являющемуся сайтом госструктуры, банка, сервиса закупок, вы можете использовать следующие методы для исправления проблемы (способы описаны для Windows 10, Windows 11 и предыдущих версий):

  1. Нажмите клавиши Win+R на клавиатуре (Win — клавиша с эмблемой Windows), введите inetcpl.cpl и нажмите Enter. На вкладке «Дополнительно» включите TLS 1.0, 1.1, 1.2 и 1.3, если они не активны. Также попробуйте включить SSL 3.0. Включение старых версий TLS
  2. Для браузера Google Chrome: откройте страницу chrome://flags (введите этот адрес в адресную строку и нажмите Enter), выполните поиск (поле вверху страницы) по слову TLS и отключите параметр «Enforce deprecation of legacy TLS versions» (установите в Disabled), выполните то же самое для параметра «Experimental QUIC protocol». После этого нажмите по появившейся кнопке перезапуска браузера. Отключение протокола QUIC в Chrome
  3. Ещё одна опция, в Chrome последних версий, отключить которую можно тем же способом и способная вызывать рассматриваемую ошибку — TLS Post-Quantum Confidentiality, попробуйте отключить (установить в Disabled) и её тоже Отключить TLS Post-Quantum Confidentiality в Chrome
  4. Очистите SSL: также как на первом шаге откройте окно свойств Интернета (Win+R — inetcpl.cpl) и нажмите «Очистить SSL» на вкладке «Содержание». Очистка SSL в Windows
  5. Если на компьютере используется VPN или прокси, отключите их. Причем для системных параметров прокси отключите опцию «Автоматическое определение параметров» — в том же окне, что и на предыдущем шаге перейдите на вкладку «Подключения», нажмите «Настройка сети» и снимите отметку, если она установлена. Отключение автоматического определения параметров прокси
  6. Функции защиты сети в сторонних антивирусах тоже могут оказаться причиной проблемы — попробуйте временно отключить их при наличии.
  7. Попробуйте очистить кэш и куки браузера. В Google Chrome это можно сделать, нажав клавиши Ctrl+Shift+Delete и подтвердив удаление данных. Либо в разделе «Конфиденциальность и безопасность в настройках браузера. Очистка кэша браузера
  8. Использование старой операционной системы (например, Windows XP) без возможности новых версий браузеров и без встроенной поддержки новых протоколов шифрования может приводить к указанной ошибке. Можно попробовать получить доступ к сайту по протоколу http, для этого в адресе сайта вручную измените https:// на http://

Если описываемые методы не помогли, то в теории причиной проблемы может оказаться очень старая версия браузера (особенно если вы используете portable-версию), или проблемы с самим сайтом, в частности с используемым им SSL-сертификатом и шифрованием. Но в этом случае могут помочь способы, описанные в следующем разделе для сайтов с шифрованием по ГОСТ.

Внимание: если проблема возникла с единственным сайтом и ранее она не наблюдалась, проблема может быть временной, например, при смене IP-адреса сайта, замене сертификата безопасности и других действиях со стороны администратора. В такой ситуации проблема обычно исчезает через некоторое время.

Ошибка ERR SSL VERSION OR CIPHER MISMATCH для государственных сайтов с шифрованием по ГОСТ

Среди сайтов, при доступе к которым браузер может выдавать указанную ошибку — различные сайты госструктур, иногда — банков, в рекомендациях по доступу к которым обычно указан браузер Internet Explorer (кстати, его использование действительно может решить проблему, но это не всегда возможно). Если вы также столкнулись с ошибкой при открытии такого сайта, возможные варианты действий:

  1. Использовать Яндекс.Браузер (он поддерживает шифрование по российским ГОСТам) или Chromium Gost — https://www.cryptopro.ru/products/chromium-gost
  2. Внимательно изучить информацию на проблемном сайте: в частности, в справке может быть указано на необходимость установке сертификатов на компьютере с инструкцией о том, как именно это выполнить.

Видео инструкция

Если в вашей ситуации работоспособным оказался какой-то иной способ, буду благодарен комментарию с его описанием: возможно, он сможет помочь кому-то из читателей.

А вдруг и это будет интересно:

  • Лучшие бесплатные программы для Windows
  • Как показать или скрыть пустые диски в Windows 11 и 10
  • Браузер Arc доступен для Windows 11
  • Что за пользователь ASPNET в Windows
  • Как разрешить обычному пользователю запускать программу от имени Администратора без ввода пароля
  • Как выйти из полноэкранного режима в Windows
  • Windows 11
  • Windows 10
  • Android
  • Загрузочная флешка
  • Лечение вирусов
  • Восстановление данных
  • Установка с флешки
  • Настройка роутера
  • Всё про Windows
  • В контакте
  • Одноклассники

    Михаил 12.10.2021 в 07:45

  • Dmitry 12.10.2021 в 12:39

Управление протоколами SSL/TLS и наборами шифров для AD FS

В следующей документации содержатся сведения об отключении и включении определенных протоколов TLS/SSL и наборов шифров, которые используют службы федерации Active Directory (AD FS) (AD FS).

Наборы шифров TLS/SSL, Schannel и шифров в AD FS

Протокол TLS обеспечивает зашифрованные защищенные коммуникации по сети. Протокол SSL шифрует обмен конфиденциальными данными, передаваемые между веб-сервером и веб-браузером, похожим на TLS. службы федерации Active Directory (AD FS) (AD FS) использует эти протоколы для обмена данными. Сегодня существуют несколько версий этих протоколов.

Канал безопасности (Schannel) — это поставщик поддержки безопасности (SSP), который реализует протоколы проверки подлинности SSL, TLS и DTLS в Интернете. Интерфейс поставщика поддержки безопасности (SSPI) является интерфейсом API, используемым системами Windows для выполнения функций, связанных с безопасностью, включая проверку подлинности. SSPI функционирует как общий интерфейс для нескольких SSPS, включая Schannel SSP.

Комплект шифров представляет собой набор криптографических алгоритмов. Реализация Schannel SSP протоколов TLS/SSL использует алгоритмы из набора шифров для создания ключей и шифрования информации. Комплект шифров указывает один алгоритм для каждой из следующих задач:

  • обмена ключами;
  • массового шифрования;
  • проверки подлинности сообщений.

AD FS использует Schannel.dll для выполнения безопасного взаимодействия с коммуникациями. В настоящее время AD FS поддерживает все протоколы и наборы шифров, которые Schannel.dll поддерживаются.

Управление протоколами TLS/SSL и наборами шифров

В этом разделе содержатся инструкции по изменению реестра. Однако при неправильном изменении реестра могут возникнуть серьезные проблемы. Поэтому убедитесь, что вы внимательно выполните следующие действия.

Помните, что изменение параметров безопасности по умолчанию для SCHANNEL может нарушить или предотвратить обмен данными между определенными клиентами и серверами. Это происходит, если требуется безопасное взаимодействие, и у них нет протокола для согласования связи с.

Если эти изменения применяются, их необходимо применить ко всем серверам AD FS в ферме. После применения этих изменений требуется перезагрузка.

В настоящее время и возраст, ужесточение серверов и удаление старых или слабых наборов шифров становится основным приоритетом для многих организаций. Пакеты программного обеспечения доступны для тестирования серверов и содержат подробные сведения об этих протоколах и наборах. Чтобы оставаться совместимым или достичь безопасных рейтингов, удаление или отключение слабых протоколов или наборов шифров стало обязательным. Оставшаяся часть этого документа содержит рекомендации по включению или отключению определенных протоколов и наборов шифров.

Следующие разделы реестра находятся в том же расположении: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols. Используйте редактор реестра или PowerShell, чтобы включить или отключить эти протоколы и наборы шифров.

Screenshot of the Registry Editor showing the registry keys located in the Protocols folder.

Включение и отключение SSL 3.0

Используйте следующие разделы реестра и их значения, чтобы включить и отключить SSL 3.0.

Включение SSL 3.0

Путь Имя значения Данные значения
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server Включен 00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server DisabledByDefault 00000000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client Включен 00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client DisabledByDefault 00000000

Отключение SSL 3.0

Путь Имя значения Данные значения
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server Включен 00000000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server DisabledByDefault 00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client Включен 00000000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client DisabledByDefault 00000001

Отключение SSL 3.0 с помощью PowerShell

New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server' -Force | Out-Null New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server' -name 'Enabled' -value '0' -PropertyType 'DWord' -Force | Out-Null New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server' -name 'DisabledByDefault' -value 1 -PropertyType 'DWord' -Force | Out-Null New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client' -Force | Out-Null New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client' -name 'Enabled' -value '0' -PropertyType 'DWord' -Force | Out-Null New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client' -name 'DisabledByDefault' -value 1 -PropertyType 'DWord' -Force | Out-Null Write-Host 'SSL 3.0 has been disabled.' 

Включение и отключение TLS 1.0

Используйте следующие разделы реестра и их значения, чтобы включить и отключить TLS 1.0.

Отключение TLS 1.0 нарушает доверие WAP к AD FS. Если отключить TLS 1.0, необходимо включить надежную проверку подлинности для приложений. Дополнительные сведения см. в разделе «Включение строгой проверки подлинности для приложений .NET»

Включение TLS 1.0

Путь Имя значения Данные значения
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server Включен 00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server DisabledByDefault 00000000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client Включен 00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client DisabledByDefault 00000000

отключение TLS 1.0;

Путь Имя значения Данные значения
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server Enabled»=0000000000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server DisabledByDefault 00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client Включен 00000000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client DisabledByDefault 00000001

Отключение TLS 1.0 с помощью PowerShell

New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server' -Force | Out-Null New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server' -name 'Enabled' -value '0' -PropertyType 'DWord' -Force | Out-Null New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server' -name 'DisabledByDefault' -value 1 -PropertyType 'DWord' -Force | Out-Null New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client' -Force | Out-Null New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client' -name 'Enabled' -value '0' -PropertyType 'DWord' -Force | Out-Null New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client' -name 'DisabledByDefault' -value 1 -PropertyType 'DWord' -Force | Out-Null Write-Host 'TLS 1.0 has been disabled.' 

Включение и отключение TLS 1.1

Используйте следующие разделы реестра и их значения, чтобы включить и отключить TLS 1.1.

Включение протокола TLS 1.1

Путь Имя значения Данные значения
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server Включен 00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server DisabledByDefault 00000000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client Включен 00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client DisabledByDefault 00000000

Отключение TLS 1.1

Путь Имя значения Данные значения
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server Включен 00000000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server DisabledByDefault 00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client Включен 00000000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client DisabledByDefault 00000001

Отключение TLS 1.1 с помощью PowerShell

New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server' -Force | Out-Null New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server' -name 'Enabled' -value '0' -PropertyType 'DWord' -Force | Out-Null New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server' -name 'DisabledByDefault' -value 1 -PropertyType 'DWord' -Force | Out-Null New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client' -Force | Out-Null New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client' -name 'Enabled' -value '0' -PropertyType 'DWord' -Force | Out-Null New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client' -name 'DisabledByDefault' -value 1 -PropertyType 'DWord' -Force | Out-Null Write-Host 'TLS 1.1 has been disabled.' 

Отключение протокола TLS 1.2

ПРОТОКОЛ TLS 1.2 включен по умолчанию, начиная с Windows Server 2012. Для отключения TLS 1.2 можно использовать следующие разделы реестра и их значения.

Не рекомендуется отключить TLS 1.2.

Путь Имя значения Данные значения
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server Включен 00000000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server DisabledByDefault 00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client Включен 00000000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client DisabledByDefault 00000001

Отключение TLS 1.2 с помощью PowerShell

New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Force | Out-Null New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -name 'Enabled' -value '0' -PropertyType 'DWord' -Force | Out-Null New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -name 'DisabledByDefault' -value 1 -PropertyType 'DWord' -Force | Out-Null New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Force | Out-Null New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -name 'Enabled' -value '0' -PropertyType 'DWord' -Force | Out-Null New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -name 'DisabledByDefault' -value 1 -PropertyType 'DWord' -Force | Out-Null Write-Host 'TLS 1.2 has been disabled.' 

Включение или отключение хэшей, шифров и наборов шифров

Управление шифрами, хэшами и алгоритмами обмена ключами, кроме размера ключа, через реестр не поддерживается. Хэши, шифры и алгоритмы обмена ключами управляются с помощью PowerShell, MDM или Cipher Suite Ordering.

Полный список поддерживаемых наборов шифров см. в разделе «Наборы шифров» в tls/SSL (Schannel SSP). Эта статья содержит таблицу наборов, включенных по умолчанию, и показывает, какие наборы поддерживаются, но не включены по умолчанию. Чтобы определить приоритеты наборов шифров, см. раздел «Приоритет schannel Cipher Suite».

Включение строгой проверки подлинности для приложений .NET

Приложения платформа .NET Framework 3.5/4.0/4.5.x могут переключить протокол по умолчанию на TLS 1.2, включив раздел реестра SchUseStrongCrypto. Эти разделы реестра позволяют приложениям .NET использовать TLS 1.2.

Для AD FS в Windows Server 2016 и Windows Server 2012 R2 необходимо использовать ключ платформа .NET Framework 4.0/4.5.x: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\. NETFramework\v4.0.30319

Для платформа .NET Framework 3.5 используйте следующий раздел реестра:

Путь Имя значения Данные значения
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\. NETFramework\v2.0.50727 SchUseStrongCrypto 00000001

Для платформа .NET Framework 4.0/4.5.x используйте следующий раздел реестра:

Путь Имя значения Данные значения
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\. NETFramework\v4.0.30319 SchUseStrongCrypto 00000001

Screenshot of Registry Editor that highlights the SchUseStrongCrypto key

New-ItemProperty -path 'HKLM:\SOFTWARE\Microsoft\.NetFramework\v4.0.30319' -name 'SchUseStrongCrypto' -value '1' -PropertyType 'DWord' -Force | Out-Null 

Дополнительная информация:

  • Комплекты шифров в TLS/SSL (Schannel SSP)
  • Приоритет schannel Cipher Suite
  • Речь в шифрах и других загадочных языках

Ограничение протоколов SSL и наборов шифров

Как администратор организации вы можете выбрать, какие протоколы TLS и алгоритмы шифрования могут использоваться на внутреннем веб-сервере портала для безопасной передачи данных. Например, вашей организации могут требоваться определенные протоколы TLS и алгоритмы шифрования. Выбор использования на портале сертифицированных протоколов и алгоритмов гарантирует, что портал соответствует политике безопасности организации.

Протоколы TLS по умолчанию

По умолчанию, на портале настроено использование протоколов TLSv1.3 и TLSv1.2 . Вы также можете включить протоколы TLSv1 и TLSv1.1 , используя указанные ниже шаги.

Использование алгоритмов шифрования по умолчанию

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_AES_256_GCM_SHA384 (только TLSv1.3 )
  • TLS_AES_128_GCM_SHA256 (только TLSv1.3 )

В целях безопасности, некоторые алгоритмы шифрования, которые были по умолчанию включены в предыдущих версиях, отключены. Их можно повторно включить, если это необходимо для старых клиентов. См. полный список поддерживаемых алгоритмов в Справочнике по наборам шифров ниже.

Используйте Portal Administrator Directory, чтобы указать протоколы TLS и алгоритмы шифрования, которые будет использовать портал.

  1. Откройте Portal Administrator Directory и войдите в качестве администратора вашей организации.

URL-адрес имеет формат https://webadaptorhost.domain.com/webadaptorname/portaladmin .

Примечание:

Убедитесь, что веб-сервер, на котором размещен Web Adaptor, настроен на работу с включаемыми протоколами. Если используется Java Web Adaptor, на веб-сервере с Web Adaptor необходимо использовать Java 8.

Если указан недопустимый протокол или набор шифров, возвращается ошибка.

Справочник по наборам шифров

Портал поддерживает следующие алгоритмы:

ID шифра Имя Обмен ключами Алгоритм аутентификации Алгоритм шифрования Биты Алгоритм хеширования
0x00C030 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH RSA AES_256_GCM 256 SHA384
0x00C028 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 ECDH RSA AES_256_CBC 256 SHA384
0x00C014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ECDH RSA AES_256_CBC 256 SHA
0x00009F TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 DH RSA AES_256_GCM 256 SHA384
0x00006B TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 DH RSA AES_256_CBC 256 SHA256
0x000039 TLS_DHE_RSA_WITH_AES_256_CBC_SHA DH RSA AES_256_CBC 256 SHA
0x00009D TLS_RSA_WITH_AES_256_GCM_SHA384 RSA RSA AES_256_GCM 256 SHA384
0x00003D TLS_RSA_WITH_AES_256_CBC_SHA256 RSA RSA AES_256_CBC 256 SHA256
0x000035 TLS_RSA_WITH_AES_256_CBC_SHA RSA RSA AES_256_CBC 256 SHA
0x00C02F TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH RSA AES_128_GCM 128 SHA256
0x00C027 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ECDH RSA AES_128_CBC 128 SHA256
0x00C013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA ECDH RSA AES_128_CBC 128 SHA
0x00009E TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 DH RSA AES_128_GCM 128 SHA256
0x000067 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 DH RSA AES_128_CBC 128 SHA256
0x000033 TLS_DHE_RSA_WITH_AES_128_CBC_SHA DH RSA AES_128_CBC 128 SHA
0x00009C TLS_RSA_WITH_AES_128_GCM_SHA256 RSA RSA AES_128_GCM 128 SHA256
0x00003C TLS_RSA_WITH_AES_128_CBC_SHA256 RSA RSA AES_128_CBC 128 SHA256
0x00002F TLS_RSA_WITH_AES_128_CBC_SHA RSA RSA AES_128_CBC 128 SHA
0x00C012 TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA ECDH RSA 3DES_EDE_CBC 168 SHA
0x000016 SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA DH RSA 3DES_EDE_CBC 168 SHA
0x00000A SSL_RSA_WITH_3DES_EDE_CBC_SHA RSA RSA 3DES_EDE_CBC 168 SHA
0x00C02C TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 ECDH ECDSA AES_256_GCM 256 SHA384
0x00C024 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 ECDH ECDSA AES_256_CBC 256 SHA384
0x00C00A TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA ECDH ECDSA AES_256_CBC 256 SHA
0x00C02B TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 ECDH ECDSA AES_128_GCM 128 SHA256
0x00C023 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 ECDH ECDSA AES_128_CBC 128 SHA256
0x00C009 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA ECDH ECDSA AES_128_CBC 128 SHA
0x00C008 TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA ECDH ECDSA 3DES_EDE_CBC 168 SHA
0x1302 TLS_AES_256_GCM_SHA384 AES_256_GCM 256 SHA384
0x1301 TLS_AES_128_GCM_SHA256 AES_128_GCM 128 SHA256

Терминология

  • ECDH – Elliptic-Curve Diffie-Hellman
  • DH – Diffie-Hellman
  • RSA – Rivest, Shamir, Adleman
  • ECDSA – алгоритм подписи Elliptic Curve Digital
  • AES – Advanced Encryption Standard
  • GCM – Galois/Counter Mode, – режим работы с блоками шифртекста
  • CBC – Cipher Block Chaining
  • 3DES – Triple Data Encryption Algorithm
  • SHA – Secure Hashing Algorithm
В этом разделе
  1. Протоколы TLS по умолчанию
  2. Использование алгоритмов шифрования по умолчанию
  3. Справочник по наборам шифров

Ошибка «Этот сайт не может обеспечить безопасное соединение» в Chrome, Opera и Яндекс Браузер

date

31.03.2022

user

itpro

directory

Windows 10, Windows 11

comments

комментариев 45

У меня почему-то перестали открываться некоторые HTTPS сайты (не все!). При попытке открыть такой сайт в браузере появляется окно с ошибкой «Этот сайт не может обеспечить безопасное соединение». Сайты не отображаются как в Google Chrome, так и в Opera, Яндекс Браузере и Microsoft Edge. Без HTTPS некоторые сайты открываются, но не все, только те, у которых страницы доступны и по протоколу HTTPS и по протоколу HTTP. В Google Chrome ошибка при открытии HTTPS сайт выглядит так:

Этот сайт не может обеспечить безопасное соединение. Сайт sitename.ru отправил недействительный ответ. ERR_SSL_PROTOCOL_ERROR.

Chrome - Этот сайт не может обеспечить безопасное соединение. Сайт sitename.ru отправил недействительный ответ. ERR_SSL_PROTOCOL_ERROR

Этот сайт не может обеспечить безопасное соединение. На сайте sitename.ru используется неподдерживаемый протокол. ERR_SSL_VERSION_OR_CIPHER_MISMATCH.

Клиент и сервер поддерживают разные версии протокола SSL и набора шифров. Скорее всего, сервер использует шифр RC4, который считается небезопасный.» [/alert]

На сайте sitename.ru используется неподдерживаемый протокол. ERR_SSL_VERSION_OR_CIPHER_MISMATCH

Или в Mozilla Firefox :

Secure Connection Failed

В Opera и Яндекс Браузере ошибки выглядит примерно также.

Как мне открыть такие сайты?

Ответ

Как вы уже вероятно поняли, проблема связана с проблемами при SSL взаимодействии между вашим компьютеров и HTTPS сайтом. Причины такой ошибки могут быть довольно разные. В этой статье я попробовал собрать все методы исправления ошибки «Этот сайт не может обеспечить безопасное соединение» (This site can’t provide a secure connection, ERR_SSL_PROTOCOL_ERROR) в различных браузерах.

Сразу хочется отметить, что несмотря на то, что браузеры Google Chrome, Opera, Яндекс Браузер и Edge выпускаются разными компаниями, на самом деле все эти браузеры основаны на одном и том же движке — WebKit (Chromium) и проблема с ошибками при открытии HTTPS сайтов в них решается одинаково.

В первую очередь нужно убедиться, что проблема не на стороне самого HTTPS сайта. Попробуйте открыть его с других устройств (телефон, планшет, домашний/рабочий компьютер и т.д.). Также проверьте, открывается ли в других браузерах, например, IE/Edge или Mozilla Firefox. В Firefox похожая ошибка обсуждалась в статье Ошибка при установлении защищённого соединения в Mozilla Firefox.

Очистите в брайзере кэш и куки, сбросьте SSL кэш

Кэш и куки браузера могут быть частой причиной возникновения ошибок с SSL сертификатами. Рекомендуем сначала очистить в браузере кэш и куки. В Chrome нужно нажать сочетание клавиш Ctrl + Shift + Delete, выберите промежуток времени (Все время) и нажмите кнопку очистки данных (Удалить данные / Clear Data).

Очистиь кэш и куки chrome

Чтобы очистить SSL кэш в Windows:

  1. Перейдите в раздел Панель управления ->Свойства браузера;
  2. Щелкните по вкладке Содержание;
  3. Нажмите на кнопку Очистить SSL (Clear SSL State);
  4. Должно появится сообщение “SSL-кэш успешно очищен”;
  5. Осталось перезапустить браузер и проверить, осталась ли ошибка ERR_SSL_PROTOCOL_ERROR.

Очистить SSL кэш Windows

Отключите сторонние расширения в браузере

Рекомендуем отключить (удалить) сторонние расширения браузера, особенно всякие анонимайзеры, прокси, VPN, расширения антивируса и другие подобные Addon-ы, которые могут вмешиваться в прохождение трафика до целевого сайта. Посмотреть список включенных расширения в Chrome можно, перейдя в Настройки -> Дополнительные инструменты -> Расширения, или перейдя на страницу chrome://extensions/ . Отключите все подозрительные расширения.

Отключите расширения Chrome

Проверьте настройки антивируса и файрвола

Если на вашем компьютере установлены антивирусная программа или межсетевой экран (часто он встроен в антивирус), возможно доступ к сайту блокируется именно ими. Чтобы понять, ограничивают ли доступ к сайту антивирусы или файрволы, попробуйте на время приостановить их работу.
Во многих современных антивирусах по-умолчанию присутствует модуль проверки SST/TLS сертификатов сайтов. Если антивирус обнаружит, что сайт использует недостаточно защищенный (или самоподписанный) сертификат или устаревшую версию протокола SSL (тот же SSL 3.0 или TLS 1.0), доступ к пользователя к такому сайту может быть ограничен. Попробуйте отключить сканирование HTTP/HTTPS трафика и SSL сертификатов. В различных антивирусах эта опция может называть по-разному. Например:

  • В Dr.Web блокировать доступ к сайтам может встроенный сетевой экран (SpIDer Gate);
  • В ESET NOD32 нужно отключить опцию «Включить фильтрацию протокола SSL/TLS»; Включить фильтрацию протокола SSL/TLS ESET NOD32
  • В Avast опция называется «Включить сканирование HTTPs» (находится в разделе Настройки -> Активная защита -> Веб экран -> Настройки -> Основные настройки). Avast Включить сканирование HTTPs
  • В Kaspersky Internet Security нужно перейти в Настройки -> Дополнительно -> Сеть -> добавьте сайт в исключения или выберите опцию Не проверять защищенные соединения.  Не проверять защищенные SSL TLS соединения в Kaspersky Internet Security

Проверьте настройки даты и времени

Неправильная дата и время (и часового пояса) на компьютере также может быть причиной ошибки при установке защищенного соединения с HTTPS сайтами. Ведь при выполнении аутентификации система проверяет срок создания и дату истечения сертификата сайта и вышестоящего центра сертификации.

Проверьте что у вас установлено правильно время и часовой пояс. Если время постоянно сбивается – смотри статью “Сбивается время на компьютере при выключении: что делать?”.

Обновите корневые сертификаты Windows

Если ваш компьютер находится в изолированном сегменте, давно не обновлялся или на нем совсем отключена служба автоматического обновления, на вашем компьютере могут отсутствовать новые корневые доверенные сертификаты (TrustedRootCA). Рекомендуем выполнить обновление системы: установить последние обновления безопасности и обновления часовых поясов.

Вы можете вручную обновить корневые сертификаты по статье: Как вручную обновить корневые сертификаты в Windows (так же рекомендуем проверить хранилище сертификатов на предмет недоверенных сертификатов, это позволит предотвратить перехват вашего HTTPs трафика и ряд других проблем).

Отключите поддержку протокола QUIC

Проверьте, не включена ли в Chrome поддержка протокола QUIC (Quick UDP Internet Connections). Протокол QUIC позволяет гораздо быстрее открыть соединение и согласовать все параметры TLS (HTTPs) при подключении к сайту. Однако в некоторых случая он может вызывать проблемы с SSL подключениями. Попробуйте отключить QUIC:

  1. Перейдите на страницу: chrome://flags/#enable-quic;
  2. Найдите опцию Experimental QUIC protocol;

Experimental QUIC protocol - отключить в chrome

Проверьте версии протоколов TLS, поддерживаемых вашим браузером и сайтом

Проверьте, какие версии протоколов TLS/SSL и методы шифрования (Cipher Suite ) поддерживаются вашим браузером. Для этого просто откройте веб страницу https://clienttest.ssllabs.com:8443/ssltest/viewMyClient.html

Онлайн сервис SSL Labs вернет список протоколов и методов шифрования, которые поддерживает ваш блаузер. Например, в моем примере Chrome поддерживает TLS 1.3 и TLS 1.2. Все остальные протоколы (TLS 1.1, TLS 1.0, SSL3 и SSL 2) отключены.

Чуть ниже указан список поддерживаемых методов шифрования.

Cipher Suites (in order of preference)

  • TLS_AES_128_GCM_SHA256
  • TLS_CHACHA20_POLY1305_SHA256
  • TLS_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA

какие версии tls и ssl поддерживает ваш браузер

Полный список методов шифрования, включенных в Windows можно вывести с помощью PowerShell:

Get-TlsCipherSuite | Format-Table -Property CipherSuite, Name

Затем проверьте список протоколов TLS/SSL, которые поддерживает ваш сайт. Для этого воспользуйтесь онлайн сервисом проверки SSL https://www.ssllabs.com/ssltest/analyze.html?d=domain.ru (замените domain.ru на адрес сайта, который вы хотите проверить).

Проверьте, все ли версии TLS/SSL поддерживаемые сайтом доступны в вашем браузере.

В этом примере видно, что сайт не поддерживает TLS 3.1 и SSL3/2. Аналогично сравните список Cipher Suite.

список tls ssl протоколов и методов ширования, поддерживаемых сайтом/сервером

Если метод шифрования не поддерживается вашим браузером, возможно нужно включить его в Windows.

Если сайт не поддерживает SSL протоколы, которые требует использовать клиент, то при подключении вы увидите ошибку “ Этот сайт не может обеспечить безопасное соединение”.

Включите поддержку старых версий протоколов TLS и SSL

И самый последний пункт. Cкорее всего для решения проблемы вам достаточно будет включить поддержку старых версий протоколов TLS и SSL. В большинстве случае он окажется самым эффективным, но я намеренно перенес его в конец статьи. Объясню почему.

Старые версии протоколов TLS и SSL отключены не по простой прихоти разработчиков, а в связи с наличием большого количества уязвимостей, которые позволяют злоумышленникам перехватить ваши данные в HTTPS трафике и даже видоизменить их. Бездумное включение старых протоколов существенно снижает вашу безопасность в Интернете, поэтому к этому способу нужно прибегать в последнюю очередь, если все другое точно не помогло.

Современные браузеры и ОС уже давно отказались от поддержки устаревших и уязвимых протоколов SSL/TLS (SSL 2.0, SSL 3.0 и TLS 1.1). Стандартном сейчас считаются TLS 1.2 и TLS 1.3

Если на стороне сайта используется более старая версия протокола SSL/TLS, чем поддерживается клиентом/браузером, пользователь видит ошибку установки безопасного подключения ERR_SSL_VERSION_OR_CIPHER_MISMATCH. Такая ошибка появляется, если клиент на этапе TLS Handshake обнаружил, что на сайте используется протокол шифрования или длина ключа, которая не поддерживается вашим браузером. Выше мы показали, как определить набор протоколов и шифров, поддерживаемых сервером.

Чтобы разрешить использовать старые версии протоколов SSL/TLS в Windows (еще раз отмечаю – это небезопасно!):

включить TLS 1.0, TLS 1.1

  1. Откройте Панель Управления ->Свойства браузера;
  2. Перейдите на вкладку Дополнительно;
  3. Включите опции TLS 1.0, TLS 1.1 и TLS 1.2 (если не помогло, включите также SSL 3.0,2.0).
  4. Перезапустите браузер.

Если все рассмотренные способы не помогли избавиться от ошибки «Этот сайт не может обеспечить безопасное соединение» также попробуйте:

    1. Проверить, что в файле C:\Windows\System32\drivers\etc\hosts отсутствуют статические записи. Файл hosts может использоваться в Windows в том числе для блокировки доступа к сайтам. Выведите содержимое файла hosts с помощью PowerShell: Get-Content $env:SystemRoot\System32\Drivers\etc\hosts
    2. Попробуйте использовать публичные DNS сервера, например – DNS сервер Google. В настройках сетевого подключения в качестве предпочитаемого DNS сервера укажите IP адрес 8.8.8.8;
    3. В Панели управления -> свойства браузера, убедитесь, что для зоны Интернет выбрана уровень безопасности Выше среднего или Средний. Если выбрана зона Высокий, некоторые SSL подключения могут блокироваться браузером.Средний уровень безопасности для зоны Интернет
    4. Возможно проблема связана с сертификатом сайта. Проверьте его с помощью онлайн утилит SSL Checker;
    5. Если на компьютере используется VPN или задан прокси сервер в Windows, попробуйте отключите их;
    6. В тестовых целях, если вам нужно быстро просмотреть содержимое сайта, можно отключить ошибки проверки SSL сертификатов в Chrome. Для этого нужно запустить его с параметром —ignore-certificate-errors: «C:\Program Files (x86)\Google\Chrome\Application\chrome.exe» —ignore-certificate-errors (не работайте в таком режиме постоянно и не отправляйте конфиденциальные данные пароли/кредитки в такой сессии);
    7. В Chrome проверьте, включен ли протокол TLS 1.3. В адресной строке перейдите в раздел настроек chrome://flags, С помощью поиска найдите параметр TLS 1.3. Убедитесь, что он включен (Enabled) или находится в состоянии Default. Если отключен – его нужно включить; TLS 1.3 в Chrome
    8. Если у вас используется одна из старых версий ОС (Windows XP или Windows 7), установите вместо Chrome браузер Mozilla Firefox. В отличии от движков на базе Chromium, Mozilla не использует собственные модули реализации протоколов шифрования SSL/TLS, а не встроенные в Windows.

Предыдущая статьяПредыдущая статья Следующая статья Следующая статья

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *