実際に通信する必要がある特定の Web サイトでは、通常の SSL ハンドシェイク エラーが発生し始めています。
ERR_SSL_VERSION_OR_CIPHER_MISMATCH
ただし、これは SSLv3 の問題ではないことはすでに確認しています。サイトは PCI 準拠なので、最新の SSL 設定を使用しています。openssl次のように報告されています。
SSL-Session:
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES128-SHA256
最近行われた唯一の変更は、暗号スイートからいくつかの暗号を削除したことです。具体的には、TLS_ECDHE_RSA_WITH_AES_128_CBC_SHAサーバーTLS_RSA_WITH_AES_128_CBC_SHA側で無効化されました。
私には理解できないのは、Chrome がこの特定のプロトコル バージョンと暗号スイートについて不満を言う理由です。私にはまったく問題ないように思えます。最近の IE では問題なくサイトが開きますが (IE のページ情報はopenssliOS のレポートと一致します)、Chrome と Firefox では失敗します。
Chromeのプロトコル/暗号設定を確認する方法はありますか?考えるサーバーから取得した情報、またはそれらが無効であると判断された理由は何ですか?
答え1
Chromeがサーバーから取得したプロトコル/暗号設定を確認する方法はありますか?
TLS はこのようには動作しません。TLS では、クライアントがハンドシェイクを開始し、サーバーから受け入れるすべての暗号を含めます。サーバーが自身の暗号との重複を見つけられなかった場合、最良のケースではクライアントにこの問題を通知し、最悪のケースでは接続を単に閉じます。
あなたの場合、ERR_SSL_VERSION_OR_CIPHER_MISMATCHが返されます。これは、サーバーがクライアントが提供する暗号のいずれもサポートしていないことを意味します。サーバーでどの暗号が設定されているのかはわかりませんが、SSLLabsではどの暗号がサポートされているかがわかります。暗号はChromeによって提供されるECDHE-RSA-AES128-SHA256 (TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256) はこれらのいずれでもありません。
他のブラウザではサーバーに異なる暗号を提供しているため、動作するかもしれません。Windows 10 上の IE 11この特定の暗号をサポートしながらファイアフォックスサポートされていません。Chrome と Firefox はどちらも TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA を提供していますが、これはサーバーの暗号セットから削除されているため、以前は機能していました。
この問題を解決するには、できるだけ多くのものを受け入れるようにサーバーを設定する必要があります。安全な暗号。参照推奨構成Mozilla Wiki で。