售前咨询
技术支持
渠道合作

如何修复SSL / TLS协议错误?

众所周知SSL证书能在客户端和服务器建立安全连接,网站升级HTTPS访问。然而令人沮丧的是,SSL错误时而发生,这可能是从客户端和服务器端触发的,因此有时它可以由常规互联网用户修复,有时则需要网站所有者修改配置。数安时代GDCA综合分析了所有SSL/TLS协议错误的原因,并提供有效的解决方法。

一、什么是SSL / TLS协议?

SSL证书就是遵守SSL/TLS协议,使得客户端和服务器相互验证并开始加密连接。SSL/TLS 握手协议完成三件事:

– 将服务器认证为非对称公钥/私钥对的合法所有者

– 确定将用于连接的TLS版本和密码套件

– 交换将用于通信的对称会话密钥

在HTTPS连接期间,通信实际上是通过客户端生成的对称会话密钥完成的。生成对称密钥时,双方都会获得一个副本,并可以使用它来加密和解密。数安时代GDCA就是采用2048位RSA密钥,128-256位自适应加密,安全性非常强大。

二、SSL / TLS协议错误概述

考虑到SSL/TLS协议中移动部件的数量,如果网站或设备配置错误,可能会出现大量错误。那么数安时代GDCA就来谈谈SSL/TLS协议可能出现什么问题,以及需要采取哪些措施来解决它。为了大家更容易理解,数安时代列了一个表:

接下来让我们深入了解并解决这些问题:

1、系统时间不正确

如果系统时钟从通用时间选项中被删除,或者时间设置意外地改变了,使得你的系统时间错误,可能会导致SSL错误问题。

互联网用户将系统时间设置回到正确的日期和时间,那就可以继续正确连接。
2、浏览器错误

有时你的浏览器可能会出错配置,或者插件可能会导致某些方面的工作方式有所不同,从而导致连接到其他合法网站时出现SSL错误问题。

需要准确诊断当前浏览器需要调整的内容,此外最快方法是:将浏览器重置为默认设置并禁用所有插件。当然,有更简单的方法:只需尝试其他浏览器即可。

3、中间人

中间人(MITM)不只是黑客,许多程序和设备拦截流量以进行检查,然后将其发送到应用程序服务器。这也构成了MITM,都可能导致SSL/TLS协议错误。它可能类似于阻止连接的网络防火墙,或者可能是服务器端网络上边缘设备上的配置。

如果是客户端问题,通常应该可以将相关网站列入白名单或创建例外,注意永远不要放弃你的防火墙。如果是服务器端问题,可以将其缩小到一个单一的修复程序,但如果有设备检查或拦截流量,那就从修复这个问题开始。

4、协议不匹配

如果由于协议不匹配而导致SSL / TLS握手失败错误,则意味着客户端和服务器不支持相同的TLS版本。例如:

没有相互支持的TLS协议,而服务器可能不支持向后版本控制,所以客户端应升级其浏览器,或者在浏览器是最新的情况下将其配置为支持最新的TLS版本。

5、密码套件不匹配

这与协议不匹配非常类似。不同的行业和政府机构有不同的加密标准,提出不同的密码套件。如果设备和应用程序服务器不共享相互支持的密码套件,则会导致SSL错误。处理方法与上一条类似,就是使用最新且相互匹配的密码套件。

6、SSL证书不正确

SSL证书不正确也会导致SSL协议错误,其中又有几种可能:

① 主机名不正确

这曾经是www和非www版本的网站的问题,但这通常由证书颁发机构社区减轻,允许一个免费列为SAN。通常可以通过重新颁发证书或有时使用通配符证书来解决此问题。

② 证书链不正确

根证书用于对中间根进行数字签名,这些中间证书又用于签署其他中间体或最终的用户证书。这就是证书链。浏览器收到SSL证书时,会检查其签名的真实性,从中间证书追溯到根证书。直到最终它到达其信任列表中的一个根证书。

要解决此问题,需要找到并安装缺少的中间证书。联系你购买证书的CA,以获得中间证书。

③ 已过期/已吊销的证书

SSL证书过期或吊销,也会发生SSL协议错误。目前,SSL证书的最大有效期为两年,所以需要定期更换证书。重新申请有效的SSL证书并安装,就可以解决了。

④ 自签名证书

在内部网络上,自签名证书相当普遍。大多数浏览器都会缓存证书,以便在返回网站时使SSL握手速度更快,但如果您定期生成新证书,则不断将所有这些新生成的证书添加到本地数据库会导致混淆,最终浏览器将难以进行路径构建和崩溃。

7、启用S​​NI的服务器

这更多是设备之间存在的内部问题,但有时客户端在未启用SNI时与服务器名称指示服务器通信可能是SSL / TLS协议错误的原因。 您需要做的第一件事是确定有问题的服务器的主机名和端口号,并确保它已启用SNI以及它正在传达它需要的所有内容。

 

以上是修复SSL/ TL协议错误的方法,问题通常都是在服务器端,这意味着作为常规互联网用户,你的选择是有限的。最好的办法是通知网站所有者问题,并等待他们解决问题。如果网站无法提供安全的浏览体验,则不应访问。

数安时代GDCA提供全球受信任的SSL证书,其根证书已置入微软、Mozilla、谷歌、苹果全球四大根证书库,受所有主流浏览器信任。正确安装和部署后,网站地址栏将展示https和绿色安全锁标识,有效避免出现SSL协议错误问题,给用户提供安全的浏览体验。数安时代除了拥有自主品牌GDCA,还有SymantecGeoTrustGlobalsign等国际品牌的DV/OV/EV全线SSL证书,品牌和价格选择多样。此外,数安时代还提供免费安装部署服务,1对1远程指导,7x24h专家级服务,售后服务百分百满意。

上一篇:

下一篇:

相关新闻