우리가 진정으로 통신 할 수 있어야하는 특정 웹 사이트의 경우, 일반적인 SSL 핸드 셰이크 오류가 발생하기 시작합니다.
ERR_SSL_VERSION_OR_CIPHER_MISMATCH
그러나 SSLv3 문제가 아니라는 것을 이미 확인했습니다. 이 사이트는 PCI 호환이므로 매우 최신 SSL 설정을 사용하고 있습니다. openssl
다음을보고합니다.
SSL-Session:
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES128-SHA256
최근에 만들어진 유일한 변경 사항은 암호 모음에서 몇 가지 암호를 제거하는 것입니다. 그들은 특별히 장애인이다. TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
과 TLS_RSA_WITH_AES_128_CBC_SHA
서버 측에서.
내가 알아 내지 못한 것은 Chrome이이 특정 프로토콜 버전과 암호 제품군에 대해 불평하는 이유입니다. 그것은 나에게 완벽하게 좋아 보인다. 이 사이트는 최근 IE에서 아무런 문제없이 열립니다 (IE 페이지 정보는 openssl
ios보고)하지만 Chrome 및 Firefox에서는 실패합니다.
어떤 프로토콜 / 암호 설정 Chrome을 찾을 수있는 방법이 있나요? 생각해. 서버에서 가져온 것입니까, 아니면 왜 그들이 잘못되었다고 결정한 것입니까?
답변
Chrome이 서버에서 가져온 것으로 생각하는 프로토콜 / 암호 설정을 알아낼 수 있습니까?
TLS는 이와 같이 작동하지 않습니다. TLS에서 클라이언트는 핸드 셰이크를 시작하고 서버에서 받아 들일 수있는 모든 암호를 포함합니다. 서버가 자신의 암호와 중첩되지 않는 경우 가장 좋은 경우 클라이언트에게이 특정 문제를 알리고 최악의 경우 연결을 닫습니다.
귀하의 경우에는 ERR_SSL_VERSION_OR_CIPHER_MISMATCH가 표시됩니다. 이는 서버가 클라이언트가 제공하는 암호를 지원하지 않음을 의미합니다. 서버에서 구성한 암호는 모르지만 SSLLabs는 암호는 Chrome에서 제공합니다. . 그리고 ECDHE-RSA-AES128-SHA256 (TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256)은이 중 하나가 아닙니다.
다른 브라우저에서는 서버와 다른 암호를 제공하기 때문에 다른 브라우저에서도 사용할 수 있습니다. Windows 10의 IE 11 이 특정 암호를 지원하는 동안 Firefox 지원하지 않습니다. Chrome과 Firefox는 모두 서버의 암호 세트에서 제거 된 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA를 제공하므로 이전에 작동했습니다.
문제를 해결하려면 가능한 한 많이 받아들이도록 서버를 구성해야합니다. 안전한 암호. 만나다 권장 구성 모질라 위키에서.