Bei einer bestimmten Website, mit der wir unbedingt kommunizieren müssen, tritt allmählich der übliche SSL-Handshake-Fehler auf:
ERR_SSL_VERSION_OR_CIPHER_MISMATCH
Ich habe jedoch bereits bestätigt, dass dies kein SSLv3-Problem ist. Die Site ist PCI-kompatibel und verwendet daher sehr aktuelle SSL-Einstellungen. opensslmeldet Folgendes:
SSL-Session:
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES128-SHA256
Die einzige kürzlich vorgenommene Änderung besteht in der Entfernung einiger Chiffren aus der Chiffrensammlung; sie wurden auf der Serverseite ausdrücklich TLS_ECDHE_RSA_WITH_AES_128_CBC_SHAdeaktiviert TLS_RSA_WITH_AES_128_CBC_SHA.
Was ich nicht verstehe, ist, warum Chrome sich über diese bestimmte Protokollversion und Verschlüsselungssammlung beschwert; für mich scheint das völlig in Ordnung zu sein. Die Site öffnet sich ohne Probleme im aktuellen Internet Explorer (und die Seiteninformationen im Internet Explorer stimmen mit den iOS- opensslMeldungen überein), aber in Chrome und Firefox schlägt das fehl.
Gibt es eine Möglichkeit herauszufinden, welche Protokoll-/Verschlüsselungseinstellungen Chromedenktes vom Server erhalten hat, oder warum wurde entschieden, dass sie ungültig sind?
Antwort1
Gibt es eine Möglichkeit herauszufinden, welche Protokoll-/Verschlüsselungseinstellungen Chrome glaubt, vom Server erhalten zu haben?
TLS funktioniert nicht so. Bei TLS startet der Client den Handshake und schließt alle Chiffren ein, die er vom Server akzeptieren möchte. Wenn der Server keine Überschneidung mit seinen eigenen Chiffren findet, benachrichtigt er den Client im besten Fall über dieses spezielle Problem und schließt im schlimmsten Fall einfach die Verbindung.
In Ihrem Fall erhalten Sie ERR_SSL_VERSION_OR_CIPHER_MISMATCH, was bedeutet, dass der Server keine der vom Client angebotenen Chiffren unterstützt. Ich weiß nicht, welche Chiffren Sie auf dem Server konfiguriert haben, aber SSLLabs zeigt Ihnen, welcheChiffren werden von Chrome angeboten. Und ECDHE-RSA-AES128-SHA256 (TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256) ist keines davon.
Es könnte mit anderen Browsern funktionieren, da diese dem Server andere Chiffren anbieten, d.h.IE 11 unter Windows 10unterstützt diese spezielle Verschlüsselung, währendFeuerfuchsunterstützt es nicht. Sowohl Chrome als auch Firefox bieten TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA an, das aus dem Verschlüsselungssatz des Servers entfernt wurde und daher vorher funktionierte.
Um das Problem zu beheben, sollten Sie Ihren Server so konfigurieren, dass er so viel wie möglich akzeptiertsicherChiffren. SieheEmpfohlene Konfigurationenim Mozilla Wiki.