Como posso saber por que o Chrome não gosta de um handshake SSL remoto?

tag-icon tag-icon google-chrome ssl
Como posso saber por que o Chrome não gosta de um handshake SSL remoto?

Para um site específico, com o qual realmente precisamos nos comunicar, estamos começando a receber o erro usual de handshake SSL:

ERR_SSL_VERSION_OR_CIPHER_MISMATCH

Já confirmei, porém, que este não é um problema de SSLv3. O site é compatível com PCI, portanto usa configurações SSL muito atualizadas. opensslrelata o seguinte:

SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES128-SHA256

A única mudança feita recentemente foi a remoção de algumas cifras de seu conjunto de cifras; eles desabilitaram especificamente TLS_ECDHE_RSA_WITH_AES_128_CBC_SHAe TLS_RSA_WITH_AES_128_CBC_SHAno lado do servidor.

O que não consigo entender é por que o Chrome está reclamando dessa versão de protocolo e conjunto de criptografia específicos; parece perfeitamente bem para mim. O site abre sem problemas no IE recente (e as informações da página do IE correspondem aos opensslrelatórios do iOS), mas falha no Chrome e no Firefox.

Existe uma maneira de descobrir quais configurações de protocolo/cifra o Chromeachafoi obtido do servidor ou por que decidiu que eram inválidos?

Responder1

Existe uma maneira de descobrir quais configurações de protocolo/cifra o Chrome acha que obteve do servidor?

TLS não funciona assim. No TLS, o cliente inicia o handshake e inclui todas as cifras que deseja aceitar do servidor. Se o servidor não encontrar nenhuma sobreposição com suas próprias cifras, na melhor das hipóteses, ele notificará o cliente sobre esse problema específico e, na pior das hipóteses, simplesmente fechará a conexão.

No seu caso você obtém ERR_SSL_VERSION_OR_CIPHER_MISMATCH, o que significa que o servidor não suporta nenhuma das cifras oferecidas pelo cliente. Não sei quais cifras você configurou no servidor, mas SSLLabs mostra quaiscifras são oferecidas pelo Chrome. E ECDHE-RSA-AES128-SHA256 (TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256) não é um deles.

Pode funcionar com outros navegadores porque estes oferecem cifras diferentes para o servidor, ou sejaIE 11 no Windows 10suporta esta cifra específica enquantoRaposa de fogonão suporta isso. Tanto o Chrome quanto o Firefox oferecem TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA que foram removidos do conjunto de cifras do servidor e, portanto, funcionavam antes.

Para resolver o problema você deve configurar seu servidor para aceitar o máximo possívelsegurocifras. VerConfigurações recomendadasno Mozilla Wiki.

informação relacionada