Informații suplimentare ssl error cypher overlap. Remedierea unei erori la stabilirea unei conexiuni securizate în Mozilla Firefox. Remedierea erorii de conectare

Browserele moderne au capacități antivirus cu adevărat eficiente. Chiar și fără diverse programe terțe, acestea vor putea să vă protejeze computerul de troienii spyware. Cu toate acestea, tocmai din cauza unor astfel de măsuri excesive utilizatorii primesc blocarea paginilor de internet fiabile fără motiv. Una dintre aceste blocări este „ssl_error_no_cypher_overlap”. Un site web bun care a fost chiar ieri (de exemplu, zakupki.gov) se oprește brusc din încărcare. Acest lucru este foarte frecvent pe browserele Firefox și Internet Explorer.

Motivele erorii

Din eroarea în sine, puteți înțelege că protocolul SSLv3 nu mai este acceptat și, fără acest nivel de securitate, browserul nu poate face o conexiune. Adică, nimeni nu poate garanta siguranța ta, așa că cea mai buna solutie— blocați conexiunea la internet.

Cod de eroare „ssl_error_no_cypher_overlap” în Mozilla Firefox

Motivul este actualizarea browserului Firefox la cea mai recentă versiune din motive necunoscute, de la versiunea 34 începe să devină foarte indignat la conectarea SSL-urilor suspecte. Browserul găsește unele pluginuri, scripturi și protocoale de securitate piratate pe resursa vizitată care pot colecta informații despre utilizator și blochează accesul la site. O altă posibilă problemă este un antivirus sau un troian (pirater de browser) care funcționează pe sistemul dumneavoastră.

Remedierea unei erori de conexiune

Permiteți-mi să notez imediat că vom elimina problema cu un computer infectat, utilizatorul trebuie să scaneze în mod constant sistemul cu antivirusuri și scanere pentru prezența malware. Se luptă bine împotriva piratatorilor - AdwCleaner, de exemplu.

Deci, pentru început, să indicam sfaturi simple pentru o solutie rapida:

• Folosind Firefox, ștergeți toate modulele cookie și memoria cache, precum și istoricul.
• Dezactivează protecția sistemului de operare și ecranul antivirus pentru o perioadă.
• Utilizați un browser diferit după dezinstalarea Firefox și repornirea computerului.
• Înlocuiți fișierul hosts cu cel recomandat de Microsoft. Il vei gasi la pagina oficiala corporatii.

Modificarea setărilor Firefox

Mai mult varianta dificila Mai rămâne doar să schimbi setările browserului. Ar trebui să accesați meniul rădăcină și să modificați mai multe elemente necesare:

• Să deschidem o pagină nouă în Firefox. Introduceți în coloana de căutare: about:config

• Din mai multe puncte, selectăm doar două: securitate.tls.versiune.limită de rezervăŞi securitate.versiunea.tls.min

Rețineți că, setând valori zero, ați făcut browserul vulnerabil, așa că încercați să returnați imediat toate valorile înapoi. Ar fi indicat ca administratorul site-ului să sublinieze problema.

În majoritatea cazurilor, acest lucru ajută la remedierea codului de eroare ssl_error_no_cypher_overlap în browser. Dar există un punct foarte important de luat în considerare: acum ești mai puțin protejat de malware. Prin urmare, este mai bine să vă gândiți de multe ori dacă acest site merită riscul crescut de a vă infecta computerul cu programe viruși. Poate fi mai ușor să vă schimbați browserul sau să găsiți o altă sursă pe Internet.

Dezvolt o aplicație web. În prezent, folosesc un certificat autosemnat (semnarea corectă a acestuia vine mai târziu).

Când am serverul web setat astfel încât să accepte doar TLS1.1 și TLS1.2, primesc o eroare SSL_ERROR_NO_CYPHER_OVERLAP. Și, desigur, încercarea linkului „utilizați securitatea învechită” nu funcționează, deoarece serverul web nu va permite acele conexiuni.

Dacă permit temporar conexiuni nesigure pe serverul web, Firefox îmi va permite apoi să accept certificatul. După ce certificatul este acceptat, Firefox se poate conecta numai prin TLS1.1 și TLS1.2. Deci, de cele mai multe ori, Firefox poate găsi un cod comun pentru conexiunile TLS1.1/1.2.

(Serverul web se află pe un nucleu Ubuntu, cu OpenSSL1.0.1f.)

Dezvolt o aplicație web. În prezent, folosesc un certificat autosemnat (semnarea corectă a acestuia vine mai târziu). Când am serverul web setat astfel încât să accepte doar TLS1.1 și TLS1.2, primesc o eroare SSL_ERROR_NO_CYPHER_OVERLAP. Și, desigur, încercarea linkului „utilizați securitatea învechită” nu funcționează, deoarece serverul web nu va permite acele conexiuni. Dacă permit temporar conexiuni nesigure pe serverul web, Firefox îmi va permite apoi să accept certificatul. După ce certificatul este acceptat, Firefox se poate conecta numai prin TLS1.1 și TLS1.2. Deci, de cele mai multe ori, Firefox poate găsi un cod comun pentru conexiunile TLS1.1/1.2 (serverul web se află pe un kernel Ubuntu, cu OpenSSL1.0.1f.)

Soluția aleasă

În sfârșit mi-am dat seama ce se întâmplă.

Remedierea este într-adevăr în configurarea OpenSSL; totuși, deoarece Firefox este browserul care afișează cel mai ușor problema, voi posta răspunsul aici.

Oricum, în discuție este separarea în OpenSSL a protocoalelor acceptate vs. lista de cifrare.

Într-o aplicație care utilizează OpenSSL, dacă utilizați ceva mai vechi decât OpenSSL 1.1.0, va trebui să dezactivați orice protocol mai vechi decât TLSv1. Faceți asta cu:

SSL_CTX_set_options(ctx, SSL_OP_NO_SSLv2 | SSL_OP_NO_SSLv3);

(Rețineți că versiunile recente de OpenSSL înainte de versiunea 1.1.0 au SSLv2 dezactivat în mod implicit, dar nu strică să îl dezactivați în mod explicit cu acest apel. De asemenea, rețineți că dacă dezactivați TLSv1 , veți întrerupe compatibilitatea cu unele aplicații care efectuați apeluri HTTPS, de exemplu, Firefox pare să folosească TLSv1 pentru a face schimbul de certificate, înainte de a trece la protocoale mai puternice pentru sesiune).

Cheia pentru înțelegerea erorii SSL_NO_CYPHER_OVERLAP este că TLSv1 utilizează doar cifrurile SSLv3.

Deci, m-am confruntat cu această problemă pentru că atunci când am dezactivat SSLv3, dezactivam și cifrurile SSLv3. Pentru a seta cifrurile OpenSSL, utilizați ceva de genul:

SSL_CTL_set_cipher_list(ctx, "TLSv1.2:TLSv1:SSLv3:!SSLv2:HIGH:!MEDIUM:!LOW");

Dacă folosești în schimb (cum foloseam inițial):

SSL_CTL_set_cipher_list(ctx, "TLSv1.2:TLSv1:!SSLv3:!SSLv2:HIGH:!MEDIUM:!LOW");

Veți dezactiva efectiv TLSv1, deoarece nu există cifruri specifice TLSv1 (cel puțin în OpenSSL), iar cu cifrurile SSLv3 dezactivate, nu este posibilă stabilirea unei conexiuni TLSv1.

Cu SSLv3 dezactivat, dar cifrurile TLSv1/SSLv3 activate, Firefox poate obține certificatele. După aceasta, văd că Firefox stabilește apoi o conexiune TLSv1.2.

Majoritatea soluției de mai sus nu este necesară pentru OpenSSL 1.1.0, deoarece nu are suport pentru SSLv3.

Citiți acest răspuns în contextul 4

Proprietarul întrebării

Multumesc pentru raspuns.

Din păcate, mă dezvolt în spatele unui firewall, așa că site-ul respectiv nu îl poate scana.

Există vreo modalitate de a afla ce criptări a încercat Firefox?

(Încă mi se pare ciudat că, dacă am Firefox să accepte certificatul, reducând temporar securitatea, că Firefox este apoi capabil să convină asupra unui cifr de înaltă securitate.)

Multumesc pentru raspuns. Din păcate, mă dezvolt în spatele unui firewall, așa că site-ul respectiv nu îl poate scana. Există vreo modalitate de a afla ce criptări a încercat Firefox? (Încă mi se pare ciudat că, dacă am Firefox să accepte certificatul, reducând temporar securitatea, că Firefox este apoi capabil să convină asupra unui cifr de înaltă securitate.)

Ce setări de conexiune folosește Firefox dacă permiteți o securitate mai scăzută?

Puteți verifica acest lucru în fila Securitate din Monitorul rețelei.

Ce setări de conexiune folosește Firefox dacă permiteți o securitate mai scăzută? Puteți verifica acest lucru în fila Securitate din Monitorul rețelei. *https://developer.mozilla.org/Tools/Network_Monitor

Proprietarul întrebării

Nu știu dacă dau clic pe locul potrivit.

Cu Network Monitor deschis, dacă dau clic pe cererea GET, fila de securitate spune doar că certificatul de securitate este invalid (la care mă aștept, deoarece este invalid).

Experimentând cu diferite setări de securitate pe server, se pare că atunci când primesc „certificat invalid”, acesta folosește SSLv3, în timp ce dacă setez serverul numai pentru TLS, primesc „nicio suprapunere cifră” (deși nu văd un avertisment SSLv3 în fila de securitate).

Dacă merg la about:config și caut pe security*ssl, văd un număr mare de cifruri activate în listă. Dacă caut pe security*tls, nu văd nicio cifră listată.

Am atașat capturi de ecran. Cea cu „fără suprapunere cifră” este ceea ce primesc când dezactivez SSLv3 pe serverul meu web, iar cea cu „emitent necunoscut” este ceea ce primesc când activez SSLv3 pe serverul meu web.

(Atât Chrome, cât și IE îmi dau doar eroarea „certificat nevalid”, dar se vor conecta altfel.)

Nu știu dacă dau clic pe locul potrivit. Cu Network Monitor deschis, dacă dau clic pe cererea GET, fila de securitate spune doar că certificatul de securitate este invalid (la care mă aștept, deoarece este invalid). Experimentând cu diferite setări de securitate pe server, se pare că atunci când primesc „certificat invalid”, acesta folosește SSLv3, în timp ce dacă setez serverul numai pentru TLS, primesc „nicio suprapunere cifră” (deși nu văd un avertisment SSLv3 în fila de securitate). Dacă merg la about:config și caut pe security*ssl, văd un număr mare de cifruri activate în listă. Dacă caut pe security*tls, nu văd niciunul cifrurile enumerate. Am atașat capturi de ecran. Cea cu „fără suprapunere cifră” este ceea ce primesc când dezactivez SSLv3 pe serverul meu web, iar cea cu „emitent necunoscut” este ceea ce primesc când activez SSLv3 pe serverul meu web. ( Atât Chrome, cât și IE îmi dau doar eroarea „certificat nevalid”, dar se vor conecta altfel.)

Modificat 18 mai 2016 la 9:55:13 PDT de gshonle

Proprietarul întrebării

Am făcut o urmă tcpdump; 10.1.233.67 este sistemul care rulează Firefox; 10.1.85.41 este serverul Linux. Vezi imaginea atașată.

Iată cifrurile TLSv1.2 acceptate de Linux OpenSSL:

ECDHE-RSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA384 ECDHE-ECDSA-AES256-SHA384 DHE-DSS-AES256-GCM-SHA384-DCMHESHA4-SHA384 Dhe -rsa-aes256-sha256 DHE-DSS-AES256-SHA256 ECDH-ASA256-GCM-SHA384 ECDH-ECDSA-AAS256-GCM-SHA384 ECDH-AIS-AS AES256-SHA384 AES256-SHA384 AES256-CDSA256-CDSA2564 AES128-GCM-SHA256 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-ECDSA-AES128-SHA256 DHE-DSS-AES128-GCM-SHA256 ECDHE-RSA-SHA256 ECDHE-ECDSA-AES128-SHA256 DHE-DSS-AES128-GCM-SHA256 DHESHA28 -AES128-SHA256 DHE-DSS-AES128-SHA256 ECDH -ASA-ASA128-GCM-SHA256 ECDH-ECDSA-AAS128-GCM-SHA256 ECDH-ECDSA-AES128-SHA256 AES128-GCM-SHA256 AES128-GCM-SHA256

Deci, se pare că aproape se suprapun...

Am făcut o urmă tcpdump; 10.1.233.67 este sistemul care rulează Firefox; 10.1.85.41 este serverul Linux. Vezi imaginea atașată. Iată cifrurile TLSv1.2 acceptate de Linux OpenSSL: ECDHE-RSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA384 ECDHE-ECDSA-AES256-DHE563846-SHA384 -GCM-SHA384 DHE-RSA-AES256-GCM-SHA384 DHE-RSA-AES256-SHA256 DHE-DSS-AES256-SHA256 ECDH-RSA-AES256-GCM-SHA384 ECDH-ECDSA-AES2563-GCM-AES2563-GCM-AES256-SHA384 -SHA384 ECDH-ECDSA-AES256-SHA384 AES256-GCM-SHA384 AES256-SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES128-GCM-SHA256-SHACDHE25-SHA256-ECDSA-ESHAES-256 8-SHA256 DHE -DSS-AES128-GCM-SHA256 DHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES128-SHA256 DHE-DSS-AES128-SHA256 ECDH-RSA-AES128-GCM-SHA-SHA258-CMGES-ECDH-ECCA256 ECDH -RSA-AES128-SHA256 ECDH-ECDSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA256 Deci, se pare că aproape se suprapun...

SSL-ul de mână este peste cap, dar două lucruri:

(1) În niciun caz versiunile recente ale Firefox nu vor folosi SSLv3 ca protocol. Cel mai mic protocol acceptat este TLS 1.0.

(2) În about:config, numele preferințelor pentru cifruri conține ssl3, dar acesta este un artefact istoric și nu are nicio legătură cu protocol care este folosit. Aceste cifruri trebuie să fie activate pentru a fi disponibile pentru conexiunile TLS.

Există două cifruri pe care le recomand să setați la false, deoarece sunt asociate cu problema Logjam:

security.ssl3.dhe_rsa_aes_128_sha security.ssl3.dhe_rsa_aes_256_sha

Unii utilizatori pot prefera să seteze și cele două cifruri RC4 la false, dar acest lucru poate crea probleme cu serverele Microsoft IIS mai vechi.

Ar trebui să vă puteți conecta în siguranță folosind aceste cifruri (lista dvs. => numele preferinței Firefox):

ECDHE-RSA-AES128-GCM-SHA256 => security.ssl3.ecdhe_rsa_aes_128_gcm_sha256

ECDHE-ECDSA-AES128-GCM-SHA256 =>

SSL-ul de mână este peste cap, dar două lucruri: (1) În niciun caz versiunile recente ale Firefox nu vor folosi SSLv3 ca „protocol”. Cel mai mic protocol acceptat este TLS 1.0. (2) În about:config, numele preferințelor pentru „”cifre”” conțin ssl3, dar acesta este un artefact istoric și nu are nicio legătură cu „”protocolul”” care este utilizat. Aceste cifruri trebuie să fie activate pentru a fi disponibile pentru conexiunile TLS. Există două cifruri pe care le recomand să setați la false, deoarece sunt asociate cu problema Logjam: security.ssl3.dhe_rsa_aes_128_sha security.ssl3.dhe_rsa_aes_256_sha Unii utilizatori ar putea prefera să seteze și cele două cifruri RC4 la false, dar acest lucru poate crea probleme cu servere Microsoft IIS mai vechi. Ar trebui să vă puteți conecta în siguranță folosind aceste cifruri (lista dvs. => numele preferinței Firefox): ECDHE-RSA-AES128-GCM-SHA256 => security.ssl3.ecdhe_rsa_aes_128_gcm_sha256 ECDHE-ECDSA-AES128-GCM-SHA256 => security.ssl3.ecdhe_rsa_aes_128_gcm_sha256 .ecdhe_ecdsa_aes_128_gcm_sha256

Proprietarul întrebării

Atât security.ssl3.ecdhe_rsa_aes_128_gcm_sha256 cât și security.ssl3.ecdhe_ecdsa_aes_128_gcm_sha256 sunt activate în Firefox (folosesc setările implicite pentru toate).

Deci... încă nedumerit despre ce se întâmplă...

Atât security.ssl3.ecdhe_rsa_aes_128_gcm_sha256 cât și security.ssl3.ecdhe_ecdsa_aes_128_gcm_sha256 sunt activate în Firefox (folosesc setările implicite pentru toate). Deci... Sunt încă nedumerit despre ce se întâmplă...

Vezi postarea următoare

""Vezi postarea următoare"" Privind ultima ta captură de ecran („Client Bună ziua”), sunt puțin nedumerit. Asta este lista de criptare a computerului client? Nu se potrivește cu lista Firefox -- în special, după cunoștințele mele, Firefox nu acceptă niciun cod CBC, care cuprinde aproape tot ceea ce este listat. Aveți un proxy în fața Firefox pe client?

Modificat 18 mai 2016 la 11:47:47 PDT de jscher2000

Hopa, mă înșel pe baza acestui site: https://www.ssllabs.com/ssltest/viewMyClient.html -- CBC apare în mai multe nume de cifr de acolo chiar dacă nu apar în about:config.

Cipher Suites (în ordinea preferințelor) TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b) Forward Secrecy 128 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) Forward Secrecy_128 TLS_ECDHE_128 CBC_SHA (0xc00a) Redirecționare secretă 256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (0xc009) Redirecționare secretă 128 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc0128_CBC_SHA) 56_CBC_SHA (0xc014) Înainte Secret 256 TLS_RSA_WITH_AES_128_CBC_SHA (0x2f) 128 TLS_RSA_WITH_AES_256_CBC_SHA (0x35) 256 TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa) 112

Acestea două nu apar pe lista mea normală, deoarece le-am dezactivat așa cum am menționat mai devreme:

TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x33) Redirecționare secretă 128 TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x39) Redirecționare secretă 256

Cu acestea, sunt 11 așa cum ați văzut în Client Hello.

Hopa, mă înșel pe baza acestui site: https://www.ssllabs.com/ssltest/viewMyClient.html -- CBC apare în mai multe nume de cifr de acolo chiar dacă nu apar în about:config. Cipher Suites (în ordinea preferințelor) TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b) Forward Secrecy 128 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) Forward Secrecy 128 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) Forward Secrecy 128 (0xc00a) Redirecționare secretă 256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (0xc009) Redirecționare secretă 128 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) Redirecționare TLS_ECDHE_RSA_SHA_5_128 Redirecționare BC_SHA (0xc014) Forward Secret 256 TLS_RSA_WITH_AES_128_CBC_SHA ( 0x2f) 128 TLS_RSA_WITH_AES_256_CBC_SHA (0x35) 256 TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa) 112 Acestea două nu apar pe lista mea normală, așa cum le-am menționat mai devreme A_WITH_AES_128_CBC_SHA (0x33) Redirecționare secretă 128 TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x39) Redirecționare secretă 256 Cu acestea, sunt 11 așa cum ați văzut în Client Hello.

Proprietarul întrebării

Pachetul Hello Client este ceea ce a fost trimis de sistemul care rulează Firefox; a fost trimis când Firefox a încercat conectarea.

Am verificat de două ori și nu am un proxy în fața Firefox.

Ca să o citez pe Alice: Curios și mai curioasă...

Pachetul Hello Client este ceea ce a fost trimis de sistemul care rulează Firefox; a fost trimis când Firefox a încercat conectarea. Am verificat de două ori și nu am un proxy în fața Firefox. Ca să o citez pe Alice: Mai curios și mai curios...

Proprietarul întrebării

Da, OpenSSL 1.0.1f este din ianuarie 2014 și aș prefera să mergem la o versiune mai nouă. Din păcate, planul actual este să nu trecem la un OpenSSL mai nou acum (nu alegerea mea).

Aveți idei despre următorul pas?

Da, OpenSSL 1.0.1f este din ianuarie 2014 și aș prefera să mergem la o versiune mai nouă. Din păcate, planul actual este să nu trecem la un OpenSSL mai nou chiar acum (nu este alegerea mea). Orice idee despre un următorul pas?

Ce se întâmplă dacă faceți clic pe linkul „(Nu este sigur) Încercați să încărcați”?

Dacă, de asemenea, trebuie să înlocuiți certificatul prost, acceptați o excepție temporară.

Apoi, presupunând că obțineți o conexiune securizată, verificați protocolul și cifrul enumerate în dialogul Info pagină, panoul de securitate, în partea de jos, pe care le puteți vizualiza folosind:

• faceți clic dreapta (pe Mac Ctrl+clic) pe o zonă goală a paginii și alegeți Vizualizare informații despre pagină > Securitate
• (bara de meniu) Instrumente > Informații pagină > Securitate
• faceți clic pe pictograma lacăt sau „i” din bara de adrese, apoi pe butonul „>”, apoi pe Mai multe informații

Ce arată ca în uz acolo?

Ce se întâmplă dacă faceți clic pe linkul „(Nu este sigur) Încercați să încărcați”? Dacă, de asemenea, trebuie să înlocuiți certificatul prost, acceptați o excepție temporară. Apoi, presupunând că obțineți o conexiune securizată, verificați protocolul și cifrul enumerate în dialogul Info pagină, panoul de securitate, în partea de jos, pe care le puteți vizualiza folosind fie: * clic dreapta (pe Mac Ctrl+clic) o zonă goală de ​​pagina și alegeți Vizualizare informații despre pagină > Securitate * (bara de meniu) Instrumente > Informații pagină > Securitate * faceți clic pe pictograma lacăt sau „i” din bara de adrese, apoi butonul „>”, apoi Mai multe informații Ce se afișează ca în uz Acolo?

Proprietarul întrebării

Vezi atașat ce se întâmplă dacă dau clic pe linkul (Nesecurizat). Deoarece serverul meu este setat să nu folosească SSLv3, Firefox nu se poate conecta.

Dacă activez temporar SSLv3 pe serverul meu, pot accepta certificatul nevalid. Apoi, conexiunea folosește TLS 1.2 (Cipher este TLS_RSA_WITH_AES_128_CBC_SHA, chei de 128 de biți). (Dacă accept permanent certificatul, mă pot conecta întotdeauna imediat, chiar și cu SSLv3 dezactivat pe serverul meu.)

Vezi atașat ce se întâmplă dacă dau clic pe linkul (Nesecurizat). Deoarece serverul meu este setat să nu folosească SSLv3, Firefox nu se poate conecta. Dacă activez temporar SSLv3 pe serverul meu, pot accepta certificatul nevalid. Apoi, conexiunea folosește TLS 1.2 (Cipher este TLS_RSA_WITH_AES_128_CBC_SHA, chei de 128 de biți). ( Dacă accept permanent certificatul, mă pot conecta întotdeauna imediat, chiar și cu SSLv3 dezactivat pe serverul meu.)

Nu cred că acest lucru are vreo legătură cu SSLv3, deoarece Firefox 46 nu acceptă deloc SSLv3 în nicio circumstanță. Când activați SSLv3 pe server, cred că trebuie să schimbe altceva la aceeași timp.

Eroare pe care ați primit-o a fost SSL_ERROR_INAPPROPRIATE_FALLBACK_ALERT, ceea ce a indicat că serverul a încercat să treacă de la TLS1.2 la un protocol inferior. Acest lucru nu are sens din ceea ce descrii, dar s-ar putea vedea cu cifrurile RC4.

Oricum, nu are rost să mai depanezi această versiune veche a OpenSSL.

Nu cred că acest lucru are vreo legătură cu SSLv3, deoarece Firefox 46 nu acceptă deloc SSLv3 sub nicio formă. Când activați SSLv3 pe server, cred că trebuie să schimbe altceva în același timp. Eroarea pe care ați primit-o a fost SSL_ERROR_INAPPROPRIATE_FALLBACK_ALERT care a indicat că serverul a încercat să treacă de la TLS1.2 la un protocol inferior. Asta nu are sens din ceea ce descrii, dar s-ar putea vedea cu cifrurile RC4. Oricum, nu are rost să depanezi această versiune veche a OpenSSL mai departe.

Proprietarul întrebării

Produsul la care lucrez are un sistem Linux încorporat, cu un server web ca parte a produsului total. Deoarece nu rulează pe hardware standard, suntem limitati la ce distribuții Linux putem folosi. Cel mai recent pachet deb OpenSSL pentru acea distribuție este 1.0.1f. Din motive care nu fac obiectul acestei discuții, folosim doar actualizări care au pachete deb.

Deci, din păcate, se pare că va trebui să documentăm că doar Chrome și IE sunt acceptate și să nu folosim Firefox.

Produsul la care lucrez are un sistem Linux încorporat, cu un server web ca parte a produsului total. Deoarece nu rulează pe hardware standard, suntem limitati la ce distribuții Linux putem folosi. Cel mai recent pachet deb OpenSSL pentru acea distribuție este 1.0.1f. Din motive care nu fac obiectul acestei discuții, folosim doar actualizări care au pachete deb. Deci, din păcate, se pare că va trebui să documentăm că doar Chrome și IE sunt acceptate și să nu folosim Firefox.

Modificat 24 mai 2016 la 13:07:42 PDT de gshonle

Răspuns util

S-ar putea să-l aduceți în atenția furnizorului dvs., deoarece aceștia vor fi în cele din urmă acuzați de incapacitatea produsului dvs. de a realiza o conexiune sigură cu Firefox.

Nu sunt sigur dacă se aplică produsului dvs., dar pentru unele site-uri web, puteți activa alternativă adăugând un nume de gazdă la această preferință:

(1) Într-o filă nouă, tastați sau lipiți despre:configîn bara de adrese și apăsați Enter/Return. Faceți clic pe butonul care promite să fiți atent.

(2) În caseta de căutare de deasupra listei, tastați sau lipiți TLSși întrerupeți în timp ce lista este filtrată

(3) Faceți dublu clic pe security.tls.insecure_fallback_hosts preferință și, fie:

(A) Dacă este gol, tastați sau lipiți numele gazdei și faceți clic pe OK

(B) Dacă unul sau mai multe alte nume de gazdă sunt deja listate, apăsați tasta End pentru a merge la sfârșit, tastați o virgulă, apoi tastați sau lipiți numele de gazdă suplimentar și faceți clic pe OK

S-ar putea să-l aduceți în atenția furnizorului dvs., deoarece aceștia vor fi în cele din urmă acuzați de incapacitatea produsului dvs. de a realiza o conexiune sigură cu Firefox. Nu sunt sigur dacă este aplicabil produsului dvs., dar pentru unele site-uri web, puteți activa alternativă adăugând un nume de gazdă la această preferință: (1) Într-o filă nouă, tastați sau inserați „""about:config" „” în bara de adrese și apăsați Enter/Return. Faceți clic pe butonul care promite să fiți atent. (2) În caseta de căutare de deasupra listei, tastați sau inserați „""TLS""" și întrerupeți în timp ce lista este filtrată (3) Faceți dublu clic pe preferința „""security.tls.insecure_fallback_hosts""" și, fie : (A) Dacă este gol, tastați sau inserați numele gazdei și faceți clic pe OK (B) Dacă unul sau mai multe alte nume de gazdă sunt deja listate, apăsați tasta Sfârșit pentru a merge la sfârșit, tastați o virgulă, apoi tastați sau inserați numele de gazdă suplimentar și faceți clic pe OK

Proprietarul întrebării

Dacă adaug gazda la insecure_fallback_hosts, acum primesc: „Serverul a respins strângerea de mână deoarece clientul a retrogradat la o versiune TLS mai mică decât o acceptă serverul. Cod de eroare: SSL_ERROR_INAPPROPRIATE_FALLBACK_ALERT”

Serverul este configurat în prezent pentru TLSv1.2, TLSv1.1 și TLSv1.

Dacă adaug gazda la insecure_fallback_hosts, acum primesc: „Serverul a respins strângerea de mână deoarece clientul este retrogradat la o versiune TLS inferioară decât o acceptă serverul. Cod de eroare: SSL_ERROR_INAPPROPRIATE_FALLBACK_ALERT” Serverul este configurat în prezent pentru TLSv1.2, TLSv1 1 și TLSv1.

Ei bine, TLS 1.0 este cel mai scăzut TLS de ambele părți, așa că această eroare nu are sens. Chiar nu știu ce se întâmplă acolo. Nu se comportă ca pe alte servere pe care utilizatorii le-au raportat (nu că pot citi tot ce este postat aici).

Voluntarul forumului poate replica eroarea de rezervă de conectare la server care acceptă TLS1.1 și TLS1.0, dar nu TLS1.2

Problemă de configurare a firewall-ului care provoacă un mesaj de eroare de rezervă

Serverul preferă cifrurile RC4 (problema în Firefox 36+):

Nu este clar dacă s-a rezolvat

BitDefender posibil vinovat

BitDefender a fost vinovat

Ei bine, TLS 1.0 este cel mai scăzut TLS de ambele părți, așa că această eroare nu are sens. Chiar nu știu ce se întâmplă acolo. Nu se comportă ca pe alte servere pe care utilizatorii le-au raportat (nu că pot citi tot ce este postat aici)..] - voluntarul de forum poate replica eroarea de rezervă de conectare la serverul care acceptă TLS1. 1 și TLS1.0, dar nu TLS1..0.2] - problemă de configurare a firewall-ului care provoacă un mesaj de eroare de rezervă Serverul preferă cifrurile RC4 (problema în Firefox 36+): - nu este clar dacă a fost rezolvat - BitDefender posibil vinovat - BitDefender a fost vinovat

Puteți încerca să creșteți temporar security.tls.version.min la 2 (sau 3) pentru a vedea ce efect are acest lucru.

Considerat cel mai stabil browser, unii utilizatori pot întâmpina diverse erori în timpul utilizării. Acest articol va discuta despre eroarea „Eroare la stabilirea unei conexiuni securizate” și în special despre cum să o rezolvi.

Mesajul „Eroare la stabilirea unei conexiuni securizate” poate apărea în două cazuri: când accesați un site securizat și, în consecință, când mergeți pe un site nesecurizat. Vom analiza ambele tipuri de probleme mai jos.

În cele mai multe cazuri, utilizatorul întâmpină o eroare la stabilirea unei conexiuni securizate atunci când navighează către un site securizat.

Utilizatorului i se poate spune că site-ul este protejat de „https” în bara de adrese înainte de numele site-ului în sine.

Dacă întâlniți mesajul „Eroare la stabilirea unei conexiuni securizate”, atunci sub acesta puteți vedea o explicație a cauzei problemei.

Motivul 1: certificatul nu va fi valabil până la data [data]

Când accesați un site web securizat, Mozilla Firefox trebuie să verifice site-ul pentru certificate, ceea ce se va asigura că datele dumneavoastră vor fi transferate numai acolo unde au fost destinate.

De obicei, acest tip de eroare indică faptul că data și ora sunt setate incorect pe computer.

În acest caz, va trebui să schimbați data și ora. Pentru a face acest lucru, faceți clic pe pictograma dată din colțul din dreapta jos și selectați elementul din fereastra care apare „Setări pentru dată și oră” .

Motivul 2: certificatul a expirat pe [data]

Această eroare poate indica, de asemenea, că ora a fost setată incorect sau poate fi un semn sigur că site-ul nu și-a actualizat certificatele la timp.

Dacă data și ora sunt setate pe computer, atunci problema este probabilă cu site-ul și până când acesta nu actualizează certificatele, accesul la site poate fi obținut doar adăugând excepții, care este descrisă la sfârșitul articolului .

Motivul 3: certificatul nu este de încredere, deoarece certificatul emitentului său este necunoscut

O eroare ca aceasta poate apărea în două cazuri: site-ul chiar nu ar trebui să fie de încredere sau problema se află în fișier cert8.db, situat în folderul de profil Firefox care a fost corupt.

Dacă sunteți sigur că site-ul este securizat, atunci problema este probabil încă un fișier corupt. Și pentru a rezolva problema, Mozilla Firefox va trebui să creeze un nou astfel de fișier, ceea ce înseamnă că trebuie să ștergeți versiunea veche.

Pentru a ajunge la folderul de profil, faceți clic pe butonul de meniu Firefox și în fereastra care apare, faceți clic pe pictograma cu un semn de întrebare.

Un meniu suplimentar va apărea în aceeași zonă a ferestrei, în care va trebui să faceți clic pe element „Informații pentru rezolvarea problemelor” .

În fereastra care se deschide, faceți clic pe butonul „Afișează folderul” .

După ce folderul de profil apare pe ecran, trebuie să închideți Mozilla Firefox. Pentru a face acest lucru, faceți clic pe butonul meniului browser și în fereastra care apare, faceți clic pe butonul "Ieșire" .

Acum să revenim la folderul de profil. Găsiți fișierul cert8.db în el, faceți clic dreapta pe el și selectați "Şterge" .

Odată ce fișierul este șters, puteți închide folderul de profil și puteți lansa Firefox din nou.

Motivul 4: certificatul nu este de încredere deoarece lanțul de certificate lipsește

O astfel de eroare apare de obicei din cauza antivirusurilor care au funcția de scanare SSL activată. Accesați setările antivirus și dezactivați caracteristica de scanare a rețelei (SSL).

Cum se rezolvă eroarea când accesați un site nesecurizat?

Dacă mesajul „Eroare la trecerea la o conexiune securizată” apare când accesați un site nesecurizat, acest lucru poate indica un conflict în setări, suplimente și teme.

Mai întâi de toate, deschideți meniul browserului și accesați secțiunea „Extra” . În zona din stânga a ferestrei, deschideți fila „Extensii” , opriți cantitate maxima extensii instalate pentru browserul dvs.

Apoi accesați fila « Aspect» și eliminați toate temele terțe, lăsând și aplicând cea standard pentru Firefox.

După parcurgerea acestor pași, verificați dacă există erori. Dacă persistă, încercați să dezactivați accelerarea hardware.

Pentru a face acest lucru, faceți clic pe butonul meniului browserului și accesați secțiunea „Setări” .

În panoul din stânga al ferestrei, accesați fila "Adiţional" , iar în partea de sus deschideți subfila "General" . În această fereastră va trebui să debifați caseta „Folosiți accelerarea hardware ori de câte ori este posibil” .

Soluție

Dacă încă nu reușiți să rezolvați mesajul „Eroare la stabilirea unei conexiuni securizate”, dar sunteți sigur că site-ul este securizat, puteți rezolva problema ocolind avertismentul persistent Firefox.

Pentru a face acest lucru, în fereastra de eroare, faceți clic pe butonul „Sau puteți adăuga o excepție” , apoi faceți clic pe butonul care apare „Adăugați o excepție” .

Pe ecran va apărea o fereastră, în care faceți clic pe butonul „Obțineți certificat” , apoi faceți clic pe butonul „Verificați excepția de securitate” .

Tutorial video:

Sperăm acest articol v-a ajutat să depanați problemele cu Mozilla Firefox.

Petrecând în mod constant timp pe Internet, o persoană crește probabilitatea de infectare a echipamentului utilizat de diferite programe malware. Nu este surprinzător că astăzi există multe modalități de a vă proteja împotriva unor astfel de probleme.

Computerul utilizatorului obișnuit este protejat de software specializat încorporat în sistemul propriu-zis, un program antivirus, precum și protocoale speciale de securitate pe care browserele le folosesc. Din păcate, uneori, aceasta este ultima opțiune care poate cauza eroarea eroare ssl fără suprapunere cifră să apară pe ecran.

Este deosebit de enervant când apare eroarea codului de eroare ssl fără suprapunere cifră atunci când încercați să vizitați o resursă foarte bună și sigură.
Desigur, apare întrebarea - cum să trăiești mai departe și ce să faci?

De ce este posibilă o astfel de situație?

Aproape întotdeauna, o astfel de neplăcere apare dacă utilizatorul folosește browserul de internet Firefox pentru a accesa rețeaua.

Un program actualizat la versiunea 34+, din anumite motive, poate să nu mai accepte protocolul SSLv3 utilizat pe site-uri, interzicând astfel accesul la acesta.

De asemenea, o posibilă cauză principală este uneori un program antivirus care rulează pe computer sau un troian introdus din neglijență.

Cum se remediază eroarea ssl fără suprapunere cifră? Inițial, este recomandabil să utilizați următoarele instrucțiuni:

1. Instalați software eficient care funcționează bine împotriva troienilor. De exemplu, puteți încerca AdwCleaner sau echivalentul acestuia.
2. Dezactivați temporar programul antivirus implicat pentru a verifica dacă accesul poate fi acordat.
3. Comutați la un browser de internet alternativ și încercați să îl utilizați pentru a efectua operațiunea întreruptă anterior. În acest caz, este recomandat să dezinstalați complet Firefox și să reporniți computerul după aceea.
4. Accesați setările browserului dvs. de internet pentru a șterge istoricul, cookie-urile și memoria cache.

Dacă proprietarul PC-ului refuză categoric să treacă la alte versiuni ale browserelor disponibile astăzi și niciunul dintre punctele de mai sus nu a adus rezultatul necesar, atunci există o altă modalitate de a o remedia - efectuarea de modificări la setările FireFox:

1. Activați pagina principală a acestui software.
2. Accesați bara de căutare a programului, unde trebuie să introduceți „about:config”.
3. De acord cu acțiunile ulterioare, asumându-și responsabilitatea pentru modificările efectuate.
4. După ce pe ecran apare o listă destul de impresionantă, utilizați din nou capacitățile de căutare încorporate tastând „security.tls.version” în ea.
5. Dintre toate opțiunile propuse, opriți-vă la doar două: „security.tls.version.min” și „security.tls.version.fallback-limit”.
6. Făcând clic dreapta pe ele unul câte unul, accesați opțiunea „Schimbare”. Expune valori numerice la „0”.
7. Reporniți echipamentul. Verificați rezultatul.
   Dacă nu există un rezultat pozitiv din instrucțiunile de mai sus, se recomandă să îl repetați complet, setați doar unul în loc de zero.