Разработвам уеб приложение. В момента използвам самоподписан сертификат (правилното му подписване идва по-късно).
Когато съм настроил уеб сървъра, така че да приема само TLS1.1 и TLS1.2, получавам грешка SSL_ERROR_NO_CYPHER_OVERLAP. И, разбира се, опитът за връзката „използване на остаряла защита“ не работи, тъй като уеб сървърът няма да позволи тези връзки.
Ако временно разреша несигурни връзки на уеб сървъра, Firefox ще ми позволи да приема сертификата. След като сертификатът бъде приет, Firefox може да се свърже само през TLS1.1 и TLS1.2. Така че през повечето време Firefox може да намери общ шифър за TLS1.1/1.2 връзки.
(Уеб сървърът е на ядро на Ubuntu с OpenSSL1.0.1f.)
Разработвам уеб приложение. В момента използвам самоподписан сертификат (правилното му подписване идва по-късно). Когато съм настроил уеб сървъра, така че да приема само TLS1.1 и TLS1.2, получавам грешка SSL_ERROR_NO_CYPHER_OVERLAP. И, разбира се, опитът за връзката „използване на остаряла защита“ не работи, тъй като уеб сървърът няма да позволи тези връзки. Ако временно разреша несигурни връзки на уеб сървъра, Firefox ще ми позволи да приема сертификата. След като сертификатът бъде приет, Firefox може да се свързва само през TLS1.1 и TLS1.2. Така че, през повечето време Firefox може да намери общ шифър за TLS1.1/1.2 връзки (Уеб сървърът е на ядрото на Ubuntu с OpenSSL1.0.1f.)
Избрано решение
Най-накрая разбрах какво става.
Корекцията наистина е в конфигурирането на OpenSSL; тъй като обаче Firefox е браузърът, който най-лесно показва проблема, ще публикувам отговора тук.
Както и да е, проблемът е разделянето в OpenSSL на поддържаните протоколи спрямо. списъкът с шифри.
В приложение, използващо OpenSSL, ако използвате нещо по-старо от OpenSSL 1.1.0, ще трябва да деактивирате всеки протокол, по-стар от TLSv1. Направете това с:
SSL_CTX_set_options(ctx, SSL_OP_NO_SSLv2 | SSL_OP_NO_SSLv3);
(Имайте предвид, че последните версии на OpenSSL преди версия 1.1.0 имат SSLv2 изключен по подразбиране, но не е зле да го деактивирате изрично с това извикване. Също така имайте предвид, че ако деактивирате TLSv1, ще нарушите съвместимостта с някои приложения, които правете HTTPS повиквания; изглежда, че Firefox използва TLSv1 за обмен на сертификати, преди да премине към по-силни протоколи за сесията).
Ключът към разбирането на грешката SSL_NO_CYPHER_OVERLAP е, че TLSv1 използва само SSLv3 шифри.
Така че се сблъсках с този проблем, защото когато деактивирах SSLv3, деактивирах и SSLv3 шифрите. За да зададете OpenSSL шифри, използвайте нещо като:
SSL_CTL_set_cipher_list(ctx, "TLSv1.2:TLSv1:SSLv3:!SSLv2:ВИСОКО:!СРЕДНО:!НИСКО");
Ако използвате вместо това (както използвах първоначално):
SSL_CTL_set_cipher_list(ctx, "TLSv1.2:TLSv1:!SSLv3:!SSLv2:ВИСОКО:!СРЕДНО:!НИСКО");
Ефективно ще деактивирате TLSv1, тъй като няма специфични за TLSv1 шифри (поне в OpenSSL), а с деактивираните SSLv3 шифри не е възможно да се установи TLSv1 връзка.
При деактивиран SSLv3, но активирани шифри TLSv1/SSLv3, Firefox може да получи сертификатите. След това виждам, че Firefox след това установява TLSv1.2 връзка.
Повечето от горните решения не са необходими за OpenSSL 1.1.0, тъй като това изобщо няма поддръжка за SSLv3.
Прочетете този отговор в контекст 4Въпрос собственик
Благодаря за вашия отговор.
За съжаление, разработвам зад защитна стена, така че споменатият сайт не може да го сканира.
Има ли начин да разберете какви шифри е опитал Firefox?
(Все още изглежда странно, че ако накарам Firefox да приеме сертификата, чрез временно намаляване на защитата, тогава Firefox може да се споразумее за шифър с висока степен на сигурност.)
Благодаря за вашия отговор. За съжаление, аз разработвам зад защитна стена, така че споменатият сайт не може да го сканира. Има ли начин да разберете какви шифри е опитал Firefox? (Все още изглежда странно, че ако накарам Firefox да приеме сертификата, чрез временно намаляване на защитата, тогава Firefox може да се споразумее за шифър с висока степен на сигурност.)
Какви настройки за връзка използва Firefox, ако разрешите по-ниска защита?
Можете да проверите това в раздела Сигурност в Мрежовия монитор.
Какви настройки за връзка използва Firefox, ако разрешите по-ниска защита? Можете да проверите това в раздела Сигурност в Мрежовия монитор. *https://developer.mozilla.org/Tools/Network_Monitor
Въпрос собственик
Не знам дали щраквам на правилното място.
При отворен мрежов монитор, ако щракна върху заявката GET, разделът за сигурност казва само, че сертификатът за сигурност е невалиден (което очаквам, тъй като е невалиден).
При експериментиране с различни настройки за сигурност на сървъра изглежда, че когато получа „невалиден сертификат“, той използва SSLv3, докато ако настроя сървъра само за TLS, получавам „без припокриване на шифри“ (въпреки че не виждам предупреждение за SSLv3 в раздела за защита).
Ако отида на about:config и потърся по security*ssl, виждам голям брой активирани шифри в списъка. Ако търся по security*tls, не виждам изброени шифри.
Прикачих екранни снимки. Тази с „без припокриване на шифри“ е това, което получавам, когато деактивирам SSLv3 на моя уеб сървър, а тази с „неизвестен издател“ е това, което получавам, когато активирам SSLv3 на моя уеб сървър.
(Както Chrome, така и IE само ми дават грешката „невалиден сертификат“, но иначе ще се свържат.)
Не знам дали щраквам на правилното място. При отворен мрежов монитор, ако щракна върху заявката GET, разделът за сигурност казва само, че сертификатът за сигурност е невалиден (което очаквам, тъй като е невалиден). При експериментиране с различни настройки за сигурност на сървъра изглежда, че когато получа „невалиден сертификат“, той използва SSLv3, докато ако задам сървъра само за TLS, получавам „без припокриване на шифри“ (въпреки че не виждам предупреждение за SSLv3 в раздела за сигурност). изброени шифри. Прикачих екранни снимки. Тази с „без припокриване на шифри“ е това, което получавам, когато деактивирам SSLv3 на моя уеб сървър, а тази с „неизвестен издател“ е това, което получавам, когато активирам SSLv3 на моя уеб сървър. ( И Chrome, и IE само ми дават грешката „невалиден сертификат“, но иначе ще се свържат.)
Променено на 18 май 2016 г. в 9:55:13 ч. PDT от gshonle
Въпрос собственик
Направих tcpdump трасиране; 10.1.233.67 е системата, работеща с Firefox; 10.1.85.41 е Linux сървърът. Вижте приложеното изображение.
Ето TLSv1.2 шифрите, поддържани от Linux OpenSSL:
ECDHE-RSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA384 ECDHE-ECDSA-AES256-SHA384 DHE-DSS-AES256-GCM-SHA384 DHE-RSA-AES256-GCM-SHA384 Dhe -rsa-aes256-sha256 DHE-DSS-AES256-SHA256 ECDH-ASA256-GCM-SHA384 ECDH-ECDSA-AAS256-GCM-SHA384 ECDH-AIS-AS AES256-SHA384 AES256-GCM- SHA384 AES256-SHA256 ECDHE-RSA- AES128-GCM-SHA256 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-ECDSA-AES128-SHA256 DHE-DSS-AES128-GCM-SHA256 DHE-RSA-A ES128 -GCM-SHA256 DHE-RSA -AES128-SHA256 DHE-DSS-AES128-SHA256 ECDH -ASA-ASA128-GCM-SHA256 ECDH-ECDSA-AAS128-GCM-SHA256 ECDH-ECDSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA256
И така, изглежда, че почти се припокриват...
Направих tcpdump трасиране; 10.1.233.67 е системата, работеща с Firefox; 10.1.85.41 е Linux сървърът. Вижте приложеното изображение. Ето шифрите TLSv1.2, поддържани от Linux OpenSSL: ECDHE-RSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA384 ECDHE-ECDSA-AES256-SHA384 DHE-DSS-AES256 -GCM-SHA384 DHE-RSA-AES256-GCM-SHA384 DHE-RSA-AES256-SHA256 DHE-DSS-AES256-SHA256 ECDH-RSA-AES256-GCM-SHA384 ECDH-ECDSA-AES256-GCM-SHA384 ECDH-RSA-AES256 -SHA384 ECDH-ECDSA-AES256-SHA384 AES256-GCM-SHA384 AES256-SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-ECDSA-AES12 8-SHA256 DHE -DSS-AES128-GCM-SHA256 DHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES128-SHA256 DHE-DSS-AES128-SHA256 ECDH-RSA-AES128-GCM-SHA256 ECDH-ECDSA-AES128-GCM-SHA256 ECDH -RSA-AES128-SHA256 ECDH-ECDSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA256 И така, изглежда, че почти се припокриват...
SSL ръкостискането е над главата ми, но две неща:
(1) При никакви обстоятелства последните версии на Firefox няма да използват SSLv3 като протокол. Най-ниският поддържан протокол е TLS 1.0.
(2) В about:config имената на предпочитанията за шифрисъдържат ssl3, но това е исторически артефакт и няма отношение към протоколкойто се използва. Тези шифри трябва да бъдат активирани, за да бъдат достъпни за TLS връзки.
Има два шифъра, които препоръчвам да зададете на false, тъй като те са свързани с проблема с Logjam:
security.ssl3.dhe_rsa_aes_128_sha security.ssl3.dhe_rsa_aes_256_sha
Някои потребители може да предпочетат да настроят и двата RC4 шифъра на false, но това може да създаде проблеми с по-старите IIS сървъри на Microsoft.
Трябва да можете да се свържете сигурно, като използвате тези шифри (вашият списък => име на предпочитание за Firefox):
ECDHE-RSA-AES128-GCM-SHA256 => сигурност.ssl3.ecdhe_rsa_aes_128_gcm_sha256
ECDHE-ECDSA-AES128-GCM-SHA256 =>
SSL ръкостискането е над главата ми, но две неща: (1) При никакви обстоятелства последните версии на Firefox няма да използват SSLv3 като ""протокол"". Най-ниският поддържан протокол е TLS 1.0. (2) В about:config имената на предпочитанията за ""шифрите"" съдържат ssl3, но това е исторически артефакт и няма отношение към ""протокола"", който се използва. Тези шифри трябва да бъдат активирани, за да бъдат достъпни за TLS връзки. Има два шифъра, които препоръчвам да зададете на false, тъй като те са свързани с проблема с Logjam: security.ssl3.dhe_rsa_aes_128_sha security.ssl3.dhe_rsa_aes_256_sha Някои потребители може да предпочетат да настроят двата RC4 шифъра също на false, но това може да създаде проблеми с по-стари Microsoft IIS сървъри. Трябва да можете да се свържете сигурно, като използвате тези шифри (вашият списък => име на предпочитание за Firefox): ECDHE-RSA-AES128-GCM-SHA256 => security.ssl3.ecdhe_rsa_aes_128_gcm_sha256 ECDHE-ECDSA-AES128-GCM-SHA256 => security.ssl3 .ecdhe_ecdsa_aes_128_gcm_sha256
Въпрос собственик
Security.ssl3.ecdhe_rsa_aes_128_gcm_sha256 и security.ssl3.ecdhe_ecdsa_aes_128_gcm_sha256 са активирани във Firefox (използвам настройките по подразбиране за всичко).
И така... Все още съм озадачен какво се случва...
И security.ssl3.ecdhe_rsa_aes_128_gcm_sha256, и security.ssl3.ecdhe_ecdsa_aes_128_gcm_sha256 са активирани във Firefox (използвам настройките по подразбиране за всичко). Така че... Все още съм озадачен какво се случва...
Вижте следващата публикация
"Вижте следващата публикация" Гледайки последната ви екранна снимка („Клиент Здравей“), съм малко объркан. Това ли е списъкът с шифри на клиентската машина? Не съответства на списъка на Firefox - по-специално, доколкото ми е известно, Firefox не поддържа никакви CBC шифри, които включват почти всички изброени. Имате ли прокси пред Firefox на клиента?
Променено на 18 май 2016 г. в 11:47:47 ч. PDT от jscher2000
Ами сега, греша въз основа на този сайт: https://www.ssllabs.com/ssltest/viewMyClient.html -- CBC се появява в няколко от имената на шифъра там, дори ако не се появяват в about:config.
Cipher Suites (за предпочитане) TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b) Forward Secrecy 128 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f _256 _cbc_sha (0xc00a) напред секретност 256 tls_ecdhe_ecdsa_with_aes_128_cbc_sha (0xc009) forward secrecy 128 tls_ecdhe_rsa_with_aes_128_cbc_she A_with_ aes_256_cbc_sha (0xc014) напред Секретност 256 TLS_RSA_WITH_AES_128_CBC_SHA (0x2f) 128 TLS_RSA_WITH_AES_256_CBC_SHA (0x35) 256 TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa) 112
Тези две не се появяват в нормалния ми списък, тъй като ги деактивирах, както споменах по-рано:
TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x33) Секретност на препращане 128 TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x39) Секретност на препращане 256
С тях има 11, както видяхте в Client Hello.
Ами сега, греша въз основа на този сайт: https://www.ssllabs.com/ssltest/viewMyClient.html -- CBC се появява в няколко от имената на шифъра там, дори ако не се показват в about:config. Cipher Suites (in order of preference) TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b) Forward Secrecy 128 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) Forward Secrecy 128 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_ SHA (0xc00a) Forward Secrecy 256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (0xc009) Forward Secrecy 128 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) Forward Secrecy 128 TLS_ECDHE_RSA_WITH_AES_2 56_CBC_SHA (0xc014) Forward Secrecy 256 TLS_RSA_WITH_AES_128_CBC_SHA (0x2f) 128 TLS_RSA_WITH_AES_256_CBC_SHA (0x35) 256 TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa) 112 Тези две не се появяват в нормалния ми списък, тъй като ги деактивирах, както споменах по-рано: TLS_DHE_RSA_WITH_ AES_128_CBC_SHA (0x33) Препращане на секретност 128 TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x39) Препращане на секретност 256 С те са 11, както видяхте в Client Hello.
Въпрос собственик
ЗдравейтеКлиентският пакет е това, което е изпратено от системата, работеща с Firefox; беше изпратено, когато Firefox се опита да установи връзка.
Проверих два пъти и нямам прокси пред Firefox.
Да цитирам Алис: Любопитно и още по-любопитно...
Пакетът Hello Client е това, което е изпратено от системата, работеща с Firefox; беше изпратено, когато Firefox се опита да установи връзка. Проверих два пъти и нямам прокси пред Firefox. Да цитирам Алис: Все по-любопитно и по-любопитно...
Въпрос собственик
Да, OpenSSL 1.0.1f е от януари 2014 г. и бих предпочел да преминем към по-нова версия. За съжаление текущият план е да не преминавам към по-нов OpenSSL в момента (не е мой избор).
Някакви идеи за следваща стъпка?
Да, OpenSSL 1.0.1f е от януари 2014 г. и бих предпочел да преминем към по-нова версия. За съжаление текущият план е да не преминавам към по-нов OpenSSL в момента (не е мой избор). Всякакви идеи за Следваща стъпка?
Какво се случва, ако щракнете върху връзката „(Не е защитено) Опитайте да заредите“?
Ако също трябва да замените лошия сертификат, приемете временно изключение.
След това приемете, че получавате защитена връзка, проверете протокола и шифъра, посочени в диалоговия прозорец Информация за страницата, панела за сигурност, към дъното, които можете да видите, като използвате:
- щракнете с десния бутон (на Mac Ctrl+щракване) върху празна област на страницата и изберете Преглед на информация за страницата > Защита
- (лента с менюта) Инструменти > Информация за страницата > Сигурност
- щракнете върху иконата на катинар или "i" в адресната лента, след това върху бутона ">", след това върху Още информация
Какво показва като използвано там?
Какво се случва, ако щракнете върху връзката „(Не е защитено) Опитайте да заредите“? Ако също трябва да замените лошия сертификат, приемете временно изключение. След това приемете, че получавате защитена връзка, проверете протокола и шифъра, посочени в диалоговия прозорец Информация за страницата, панела за сигурност, към дъното, който можете да видите, като използвате или: * щракнете с десния бутон (на Mac Ctrl+щракнете) върху празна област от страницата и изберете Преглед на информация за страницата > Сигурност * (лента с менюта) Инструменти > Информация за страницата > Сигурност * щракнете върху иконата на катинар или „i“ в адресната лента, след това бутона „>“, след това Повече информация Какво показва като използвано там?
Въпрос собственик
Вижте приложеното какво се случва, ако щракна върху връзката (Не е защитено). Тъй като сървърът ми е настроен да не използва SSLv3, Firefox не може да се свърже.
Ако временно активирам SSLv3 на моя сървър, мога да приема невалидния сертификат. След това връзката използва TLS 1.2 (шифърът е TLS_RSA_WITH_AES_128_CBC_SHA, 128-битови ключове). (Ако приема сертификата за постоянно, винаги мога да се свържа незабавно, дори когато SSLv3 е деактивиран на моя сървър.)
Вижте приложеното какво се случва, ако щракна върху връзката (Не е защитено). Тъй като сървърът ми е настроен да не използва SSLv3, Firefox не може да се свърже. Ако временно активирам SSLv3 на моя сървър, мога да приема невалидния сертификат. След това връзката използва TLS 1.2 (Шифърът е TLS_RSA_WITH_AES_128_CBC_SHA, 128-битови ключове). ( Ако приемам сертификата за постоянно, винаги мога да се свържа незабавно, дори когато SSLv3 е деактивиран на моя сървър.)
Не мисля, че това има нещо общо с SSLv3, тъй като Firefox 46 изобщо не поддържа SSLv3 при никакви обстоятелства. Когато активирате SSLv3 на сървъра, мисля, че това трябва да промени нещо друго в същото време.
Грешката, която получихте, беше SSL_ERROR_INAPPROPRIATE_FALLBACK_ALERT, което показва, че сървърът се е опитал да премине от TLS1.2 към по-нисък протокол. Това всъщност няма смисъл от това, което описвате, но може да се види с RC4 шифри.
Както и да е, няма смисъл да отстранявате повече проблеми с тази стара версия на OpenSSL.
Не мисля, че това има нещо общо с SSLv3, тъй като Firefox 46 изобщо не поддържа SSLv3 при никакви обстоятелства. Когато активирате SSLv3 на сървъра, мисля, че това трябва да промени нещо друго в същото време. Грешката, която получавате беше SSL_ERROR_INAPPROPRIATE_FALLBACK_ALERT, което показва, че сървърът се е опитал да премине от TLS1.2 към по-нисък протокол. Това всъщност няма смисъл от това, което описвате, но може да се види с шифри RC4, няма смисъл да се отстранява проблема с тази стара версия на OpenSSL повече.
Въпрос собственик
Продуктът, върху който работя, има вградена Linux система с уеб сървър като част от целия продукт. Тъй като не работи на стандартен хардуер, ние сме ограничени в това кои Linux дистрибуции можем да използваме. Най-новият OpenSSL deb пакет за тази дистрибуция е 1.0.1f. По причини извън обхвата на тази дискусия ние използваме само актуализации, които имат deb пакети.
Така че, за съжаление, изглежда, че ще трябва да документираме, че се поддържат само Chrome и IE и да не използваме Firefox.
Продуктът, върху който работя, има вградена Linux система с уеб сървър като част от целия продукт. Тъй като не работи на стандартен хардуер, ние сме ограничени в това кои Linux дистрибуции можем да използваме. Най-новият OpenSSL deb пакет за тази дистрибуция е 1.0.1f. По причини извън обхвата на тази дискусия ние използваме само актуализации, които имат deb пакети. Така че, за съжаление, изглежда, че ще трябва да документираме, че се поддържат само Chrome и IE и да не използваме Firefox.
Променено на 24 май 2016 г. в 13:07:42 ч. PDT от gshonle
Полезен отговор
Може да го обърнете на вниманието на вашия доставчик, тъй като в крайна сметка той ще бъде обвинен за неспособността на вашия продукт да направи защитена връзка с Firefox.
Не съм сигурен дали е приложимо за вашия продукт, но за някои уебсайтове можете да активирате резервен вариант, като добавите име на хост към това предпочитание:
(1) Въведете или поставете в нов раздел about:configв адресната лента и натиснете Enter/Return. Кликнете върху бутона, обещаващ да бъдете внимателни.
(2) Въведете или поставете в полето за търсене над списъка TLSи пауза, докато списъкът се филтрира
(3) Щракнете два пъти върху security.tls.insecure_fallback_hostsпредпочитание и или:
(A) Ако е празно, въведете или поставете името на хоста и щракнете върху OK
(B) Ако едно или повече други имена на хост вече са изброени, натиснете клавиша End, за да отидете до края, въведете запетая, след това въведете или поставете допълнителното име на хост и щракнете върху OK
Може да го обърнете на вниманието на вашия доставчик, тъй като в крайна сметка той ще бъде обвинен за неспособността на вашия продукт да направи защитена връзка с Firefox. Не съм сигурен дали е приложимо за вашия продукт, но за някои уебсайтове можете да активирате резервен вариант, като добавите име на хост към това предпочитание: (1) В нов раздел въведете или поставете """about:config" "" в адресната лента и натиснете Enter/Return. Кликнете върху бутона, обещаващ да бъдете внимателни. (2) В полето за търсене над списъка въведете или поставете ""TLS""" и направете пауза, докато списъкът е филтриран (3) Щракнете двукратно върху предпочитанието """security.tls.insecure_fallback_hosts""" и или : (A) Ако е празно, въведете или поставете името на хоста и щракнете върху OK (B) Ако едно или повече други имена на хост вече са в списъка, натиснете клавиша End, за да отидете до края, въведете запетая, след това въведете или поставете допълнителното име на хост и щракнете върху OK
Въпрос собственик
Ако добавя хоста към insecure_fallback_hosts, сега получавам: „Сървърът отхвърли ръкостискането, тъй като клиентът премина към по-ниска TLS версия от поддържаната от сървъра. Код на грешка: SSL_ERROR_INAPPROPRIATE_FALLBACK_ALERT“
В момента сървърът е конфигуриран за TLSv1.2, TLSv1.1 и TLSv1.
Ако добавя хоста към insecure_fallback_hosts, сега получавам: „Сървърът отхвърли ръкостискането, тъй като клиентът е понижен до по-ниска TLS версия от поддържаната от сървъра. Код на грешка: SSL_ERROR_INAPPROPRIATE_FALLBACK_ALERT“ Сървърът в момента е конфигуриран за TLSv1.2, TLSv1 .1 и TLSv1.
Е, TLS 1.0 е най-ниският TLS от двете страни, така че тази грешка няма смисъл. Наистина не знам какво се случва там. Не се държи така, както са докладвали други потребители на сървъри (не че мога да прочета всичко, публикувано тук).
Доброволецът във форума може да репликира резервна грешка при свързване към сървър, който поддържа TLS1.1 и TLS1.0, но не и TLS1.2
Проблем с конфигурацията на защитната стена, причиняващ резервно съобщение за грешка
Сървърът предпочита RC4 шифри (проблем във Firefox 36+):
Не е ясно дали е решен
BitDefender възможен виновник
BitDefender беше виновникът
Е, TLS 1.0 е най-ниският TLS от двете страни, така че тази грешка няма смисъл. Наистина не знам какво се случва там. Не се държи като другите сървъри, за които са докладвали потребителите (не че мога да прочета всичко публикувано тук)..] - доброволец във форума може да възпроизведе резервна грешка при свързване към сървър, който поддържа TLS1. 1 и TLS1.0, но не и TLS1..0.2] - проблем с конфигурацията на защитната стена, причиняващ съобщение за резервна грешка Сървърът предпочита RC4 шифри (проблем във Firefox 36+): - неясно дали е решен - BitDefender възможен виновник - BitDefender беше виновникът
Можете да опитате да увеличите security.tls.version.min временно до 2 (или 3), за да видите какъв ефект има това.
Съвременните браузъри имат наистина ефективни антивирусни възможности. Дори и без различни програми на трети страни, те ще могат да защитят вашия компютър от шпионски троянски коне. Но именно поради такива прекомерни мерки потребителите получават безпричинно блокиране на надеждни интернет страници. Едно от тези блокирания е „ssl_error_no_cypher_overlap“. Един добър уебсайт, който беше само вчера (например zakupki.gov), внезапно спира да се зарежда. Това е много често срещано в браузърите Firefox и Internet Explorer.
Причини за грешката
От самата грешка можете да разберете, че протоколът SSLv3 вече не се поддържа и без това ниво на сигурност браузърът не може да осъществи връзка. Тоест никой не може да гарантира за вашата безопасност, така че най-доброто решение е да блокирате интернет връзката.
Код на грешка „ssl_error_no_cypher_overlap“ в Mozilla Firefox
Причината е да актуализирате браузъра Firefox до последна версия, по неизвестни причини, от версия 34 започва да се възмущава много при свързване на подозрителни SSL. Браузърът намира някои добавки, скриптове и хакнати протоколи за сигурност на посетения ресурс, които могат да събират информация за потребителя, и блокира достъпа до уебсайта. Друг възможен проблем е антивирусен или троянски кон (похитител на браузър), работещ във вашата система.
Коригиране на грешка при свързване
Нека веднага да отбележа, че ще премахнем проблема със заразен компютър; потребителят трябва постоянно да сканира системата с антивируси и скенери за наличие на зловреден софтуер. Той се бори добре срещу похитители - AdwCleaner, например.
Така че, първо, нека изброим няколко прости съвета за бързо решение:
- Използвайки Firefox, изчистете всички бисквитки и кеша, както и историята.
- Деактивирайте защитата на ОС и антивирусния екран за известно време.
- Използвайте различен браузър, след като първо деинсталирате Firefox и рестартирате компютъра си.
- Заменете файла hosts с препоръчания от Microsoft. Ще го намерите на официалната страница на корпорацията.
Промяна на настройките на Firefox
По-трудна опция е да промените настройките на браузъра си. Трябва да отидете в основното му меню и да промените няколко необходими елемента:
- Нека отворим нова страница във Firefox. Въведете в колоната за търсене: about:config
- От няколко точки избираме само две: security.tls.version.fallback-limitИ security.tls.version.min
Имайте предвид, че като зададете нулеви стойности, вие сте направили браузъра уязвим, така че опитайте незабавно да върнете всички стойности обратно. Би било препоръчително администраторът на сайта да посочи проблема.
Това в повечето случаи помага да се коригира кодът за грешка ssl_error_no_cypher_overlap в браузъра. Но има много важен момент, който трябва да имате предвид: сега сте по-малко защитени от зловреден софтуер. Затова е по-добре да помислите многократно дали този сайт си заслужава повишения риск от заразяване на вашия компютър с вирусни програми. Може да е по-лесно да смените браузъра си или да намерите друг източник в интернет.
Смятан за най-стабилния браузър, някои потребители могат да срещнат различни грешки по време на употреба. Тази статия ще обсъди грешката „Грешка при установяване на защитена връзка“ и по-специално как да я разрешите.
Съобщението „Грешка при установяване на защитена връзка“ може да се появи в два случая: когато отидете на защитен сайт и съответно, когато отидете на незащитен сайт. По-долу ще разгледаме и двата вида проблеми.
В повечето случаи потребителят среща грешка при установяване на защитена връзка, когато навигира към защитен сайт.
На потребителя може да се каже, че сайтът е защитен с „https“ в адресната лента преди името на самия сайт.
Ако срещнете съобщението „Грешка при установяване на защитена връзка“, тогава под него можете да видите обяснение на причината за проблема.
Причина 1: Сертификатът няма да е валиден до датата [дата]
Когато отидете на защитен уебсайт, Mozilla Firefox трябва да провери дали сайтът има сертификати, които ще гарантират, че вашите данни ще бъдат прехвърлени само там, където са предназначени.
Обикновено този тип грешка показва, че датата и часът са зададени неправилно на вашия компютър.
В този случай ще трябва да промените датата и часа. За да направите това, щракнете върху иконата за дата в долния десен ъгъл и изберете елемента в прозореца, който се показва „Настройки за дата и час“ .
Причина 2: Сертификатът е изтекъл [дата]
Тази грешка може също така да показва, че часът е зададен неправилно или може да е сигурен знак, че сайтът не е актуализирал своите сертификати навреме.
Ако датата и часът са зададени на вашия компютър, тогава проблемът вероятно е в сайта и докато не актуализира сертификатите, достъпът до сайта може да бъде получен само чрез добавяне към изключенията, което е описано в края на статията .
Причина 3: Сертификатът не е надежден, защото сертификатът на издателя му е неизвестен
Грешка като тази може да възникне в два случая: на сайта наистина не трябва да се вярва или проблемът е във файла cert8.db, намиращ се в папката на профила на Firefox, която е повредена.
Ако сте уверени, че сайтът е защитен, тогава проблемът вероятно все още е в повреден файл. И за да реши проблема, Mozilla Firefox ще трябва да създаде нов такъв файл, което означава, че трябва да изтриете старата версия.
За да стигнете до папката на профила, щракнете върху бутона на менюто на Firefox и в прозореца, който се показва, щракнете върху иконата с въпросителен знак.
В същата област на прозореца ще се появи допълнително меню, в което ще трябва да кликнете върху елемента "Информация за решаване на проблеми" .
В прозореца, който се отваря, щракнете върху бутона "Покажи папка" .
След като папката с профила се появи на екрана, трябва да затворите Mozilla Firefox. За да направите това, щракнете върху бутона на менюто на браузъра и в прозореца, който се показва, щракнете върху бутона "изход" .
Сега да се върнем към папката на профила. Намерете файла cert8.db в него, щракнете с десния бутон върху него и изберете "Изтрий" .
След като файлът бъде изтрит, можете да затворите папката на профила и да стартирате Firefox отново.
Причина 4: сертификатът не е надежден, защото липсва верига от сертификати
Такава грешка обикновено възниква поради антивируси, които имат активирана функция за SSL сканиране. Отидете в настройките на вашата антивирусна програма и деактивирайте функцията за мрежово (SSL) сканиране.
Как да разрешите грешката, когато отидете на незащитен сайт?
Ако съобщението „Грешка при превключване към защитена връзка“ се появи, когато отидете на незащитен сайт, това може да означава конфликт между настройки, добавки и теми.
Първо отворете менюто на браузъра и отидете в секцията "Екстри" . В лявата част на прозореца отворете раздела "Разширения" , деактивирайте максималния брой разширения, инсталирани за вашия браузър.
След това отидете на раздела « Външен вид» и премахнете всички теми на трети страни, като оставите и приложите стандартната за Firefox.
След като изпълните тези стъпки, проверете за грешки. Ако продължава, опитайте да деактивирате хардуерното ускорение.
За да направите това, щракнете върху бутона на менюто на браузъра и отидете в секцията "Настройки" .
В левия панел на прозореца отидете на раздела "Допълнителен" , а в горната част отворете подраздела "Обичайни са" . В този прозорец ще трябва да премахнете отметката от квадратчето „Използвайте хардуерно ускорение, когато е възможно“ .
Заобиколно решение
Ако все още не можете да разрешите съобщението „Грешка при установяване на защитена връзка“, но сте уверени, че сайтът е защитен, можете да коригирате проблема, като заобиколите постоянното предупреждение на Firefox.
За да направите това, в прозореца за грешка щракнете върху бутона „Или можете да добавите изключение“ , след което щракнете върху бутона, който се показва „Добавяне на изключение“ .
На екрана ще се появи прозорец, в който щракнете върху бутона "Вземете сертификат" , след което щракнете върху бутона „Проверка на изключение за сигурност“ .
Видео урок:
Надяваме се, че тази статия ви е помогнала да отстраните проблеми с Mozilla Firefox.
Постоянно прекарвайки време в интернет, човек увеличава вероятността от заразяване на използваното оборудване от различни зловреден софтуер. Не е изненадващо, че днес има много начини за защита срещу подобни проблеми.
Компютърът на средностатистическия потребител е защитен от специализиран софтуер, вграден в самата система, антивирусна програма, както и специални протоколи за сигурност, които използват самите браузъри. За съжаление, понякога последната опция може да доведе до появата на грешка ssl error no cypher overlap на екрана.
Особено досадно е, когато кодът за грешка ssl error no cypher overlap се появи, когато се опитате да посетите наистина добър и безопасен ресурс.
Естествено възниква въпросът - как да живеем по-нататък и какво да правим?
Защо е възможна такава ситуация?
Почти винаги такова неудобство възниква, ако потребителят използва интернет браузъра Firefox за достъп до мрежата.
Програма, актуализирана до версия 34+, по някаква причина може вече да не приема SSLv3 протокола, използван на сайтове, като по този начин забранява достъпа до него.
Освен това възможна основна причина понякога е антивирусна програма, работеща на компютъра, или троянски кон, въведен поради небрежност.
Как да поправя ssl грешка без припокриване на шифри? Първоначално е препоръчително да използвате следните инструкции:
- Инсталирайте ефективен софтуер, който работи добре срещу троянски коне. Например, можете да опитате AdwCleaner или негов еквивалент.
- Временно деактивирайте включената антивирусна програма, за да проверите дали може да бъде предоставен достъп.
- Превключете към алтернативен интернет браузър и опитайте да го използвате, за да извършите прекъснатата преди това операция. В този случай е силно препоръчително да деинсталирате напълно Firefox и не забравяйте да рестартирате компютъра след това.
- Отидете в настройките на вашия интернет браузър, за да изтриете историята, бисквитките и кеша.
Ако собственикът на компютъра категорично откаже да премине към други версии на наличните днес браузъри и нито една от горните точки не доведе до необходимия резултат, тогава има друг начин да го поправите - да промените настройките на FireFox:
- Активирайте главната страница на този софтуер.
- Отидете в лентата за търсене на програмата, където трябва да въведете „about:config“.
- Съгласете се с по-нататъшни действия, като поемете отговорност за направените промени.
- След като на екрана се появи доста впечатляващ списък, отново използвайте вградените възможности за търсене, като напишете „security.tls.version“ в него.
- От всички предложени опции спрете само на две: „security.tls.version.min“ и „security.tls.version.fallback-limit“.
- Като щракнете с десния бутон върху тях един по един, отидете на опцията „Промяна“. Задайте числовите стойности на „0“.
- Рестартирайте оборудването. Проверете резултата.
Ако няма положителен резултат от горните инструкции, препоръчително е да ги повторите напълно, само задайте единица вместо нула.