Para un sitio web en particular, con el que realmente necesitamos poder comunicarnos, estamos comenzando a recibir el error habitual de protocolo de enlace SSL:
ERR_SSL_VERSION_OR_CIPHER_MISMATCH
Sin embargo, ya he confirmado que esto no es un problema de SSLv3. El sitio es compatible con PCI, por lo que utiliza configuraciones SSL muy actualizadas. opensslinforma lo siguiente:
SSL-Session:
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES128-SHA256
El único cambio que se ha realizado recientemente es eliminar un par de cifrados de su conjunto de cifrado; lo desactivaron específicamente TLS_ECDHE_RSA_WITH_AES_128_CBC_SHAy TLS_RSA_WITH_AES_128_CBC_SHAen el lado del servidor.
Lo que no puedo entender es por qué Chrome se queja de esta versión de protocolo y conjunto de cifrado en particular; me parece perfectamente bien. El sitio se abre sin problemas en IE reciente (y la información de la página de IE coincide con los opensslinformes de iOS) pero falla en Chrome y Firefox.
¿Hay alguna manera de averiguar qué configuración de protocolo/cifrado Chromepiensa¿Obtuvo del servidor o por qué decidió que no eran válidos?
Respuesta1
¿Hay alguna manera de averiguar qué configuración de protocolo/cifrado Chrome cree que obtuvo del servidor?
TLS no funciona así. En TLS, el cliente inicia el protocolo de enlace e incluye todos los cifrados que está dispuesto a aceptar del servidor. Si el servidor no encuentra ninguna superposición con sus propios cifrados, en el mejor de los casos notificará al cliente sobre este problema en particular y, en el peor de los casos, simplemente cerrará la conexión.
En su caso obtiene ERR_SSL_VERSION_OR_CIPHER_MISMATCH, lo que significa que el servidor no admite ninguno de los cifrados ofrecidos por el cliente. No sé qué cifrados has configurado en el servidor, pero SSLLabs te muestra cuálesChrome ofrece cifrados. Y ECDHE-RSA-AES128-SHA256 (TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256) no es uno de estos.
Podría funcionar con otros navegadores porque ofrecen cifrados diferentes al servidor, es decirIE 11 en Windows 10admite este cifrado específico mientrasFirefoxno lo soporta. Tanto Chrome como Firefox ofrecen TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA que se eliminaron del conjunto de cifrado del servidor y, por lo tanto, funcionaban antes.
Para solucionar el problema, debe configurar su servidor para que acepte tanto como sea posible.segurocifrados. VerConfiguraciones recomendadasen la Wiki de Mozilla.