客户端和服务器不支持一般 ssl 协议版本或加密套件。_搞定客户端证书错误,看这篇就够了...

最新推荐文章于 2024-03-20 15:30:00 发布
VIP文章 最新推荐文章于 2024-03-20 15:30:00 发布
阅读量7.1k 收藏
点赞数 1
文章标签: 客户端和服务器不支持一般 ssl 协议版本或加密套件。 服务器如何判断某一个请求来自哪个客户端

ee3224f5bc41f50f6ff481389b85d9cf.png

1.TLS/SSL 握手基本流程

0b916f7f2bc97132b28b339b91e8841b.png
图片来源于网络

2.案例分享

2.1 CFCA 证书的历史问题

2.1.1背景

某客户为其生产环境的站点申请了一张由 CFCA 签发的证书。相关域名正确配置该证书且启用 HTTPS 后,经测试发现他们的客户端 App 在低版本手机上( iOS < 10.0,Android < 6.0)无法连接到相关站点。

客户端调试发现,控制台会看到证书无效的错误信息(Invalid Certificate 或 Certificate Unknown )。

2.1.2 排查

起初,工程师并不知道客户的证书是由哪个机构签发以及有什么问题。而对于这类问题,一般均需要客户端网络包做进一步的分析与判断。因此安排客户在受影响的设备上进行问题复现及客户端抓包操作。

获取到网络包后,首先确认了客户端连接失败的直接原因为 TLS 握手过程异常终止,见下:

4976d5e657d69e3f6848ec4742280a61.png

查看 Encrypted Alert 内容,错误信息为 0x02 0x2E。根据 TLS 1.2 协议(RFC5246 )的定义, 该错误为因为 certificate_unknown。

继续查看该证书的具体信息,根据 Server Hello 帧中携带的证书信息得知该证书由证书机构 China Financial Certification Authority(CFCA) 签发。再根据证书信息中的 Authority Information Access (AIA) 信息确认 Intermediate CA 和 Root CA 证书。确认该证书签发机构的根证书为 CFCA EV ROOT。

回到存在问题的手机设备上(Android 5.1),检查系统内置的受信任 CA 根证书列表,未能找到 CFCA EV ROOT

最低0.47元/天 解锁文章
weixin_39607837
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
客户端服务器支持一般 ssl 协议版本加密套件。_一篇文章让你彻底弄懂SSL/TLS协议...
weixin_39683863的博客
11-18 2万+
SSL/TLS是一种密码通信框架,他是世界上使用最广泛的密码通信方法。SSL/TLS综合运用了密码学中的对称密码,消息认证码,公钥密码,数字签名,伪随机数生成器等,可以说是密码学中的集大成者。SSL(Secure Socket Layer)安全套接层,是1994年由Netscape公司设计的一套协议,并与1995年发布了3.0版本。TLS(Transport Layer Security)传输层安...
搞定客户端证书错误,看这篇
移动开发平台 mPaaS 的博客
10-19 4282
TLS/SSL 握手失败引起的连接异常问题怎么搞?阿里云 SRE 工程师手把手带你排查解决。
谷歌浏览器提示客户端服务器支持一般 SSL 协议版本加密套件(亲测有效)
热门推荐
Blueeyedboy521的博客
05-25 11万+
目录一、定位问题二、升级TLS1.21、原理之前架构调整架构2、配置nginx3、配置tomcat三、访问nginx即可 最近访问一部分网站时,出现如下图所示 “ 此网站无法提供案例连接,客户端服务器支持一般 SSL 协议版本加密套件 ” 的问题。 一、定位问题 点击浏览器中网址上面锁头出现如下: 然后点击网站安全链接,出现如下: 通过对比,可以看到,该域名因为使用的是 TLS 1.0,所以会出现问题,因为谷歌等大部分浏览器已经开始全面禁止TLS1.0了。所以我们需要升级我们的服务端支持TLS1
SSL 和windows及浏览器等兼容性报告
11-29
本报告就如何配置SSL/TLS以提供最先进的身份验证和加密技术提出了一般性建议。ssl引擎提供的选项是从 自从Netscape开发SSL2.0以来的早期。TLS的引入使问题变得更具有挑战性,因为服务器客户端根据各个ssl引擎提供不同的可用选项。 (OpenSSL、NSS、SChannel等)他们用。事实证明,找到中间地带是很困难的,特别是因为支持协议和密码套件大多没有文档化。
运维系列:此站点的连接不安全,使用不受支持协议。ERR_SSL_VERSION_OR_CIPHER_MISMATCH(不支持协议 客户端服务器支持常用的 SSL 协议版本或密码套件。)
最新发布
Karka_的博客
03-20 1549
之前自己的电脑未更新系统或者浏览器的时候使用的是IE浏览器,更新后变成了Microsoft Edge浏览器。导致之前很多访问的地址无法法访问了如图所示报错![在这里插入图片描述](https://img-
ssl.rar_SSL 证书_ssl_ssl证书_证书生成
09-19
ssl通信的客户端代码,里面含有自己生成的证书文件
Nginx+SSL搭建 HTTPS 网站
01-20
一、HTTPS 是什么? 根据维基百科的解释: 代码如下: 超文本传输安全协议(缩写:HTTPS,英语:Hypertext Transfer Protocol Secure)是超文本传输协议SSL/TLS的组合,用以提供加密通讯及对网络服务器身份的鉴定。HTTPS连接经常被用于万维网上的交易支付和企业信息系统中敏感信息的传输。HTTPS不应与在RFC 2660中定义的安全超文本传输协议(S-HTTP)相混。 HTTPS 目前已经是所有注重隐私和安全的网站的首选,随着技术的不断发展,HTTPS 网站已不再是大型网站的专利,所有普通的个人站长和博客均可以自己动手搭建一个安全的加密的网站。 如
https.zip_https_https ssl_https 证书_site:www.pudn.com_ssl
09-21
文档主要介绍https的安全浏览机制,以及如何通过安全证书SSL编程来保证url安全
解决客户端服务器支持一般SSL协议版本加密套件问题
Habo_的博客
02-24 7万+
SSL(Secure Socket Layer)连接过程中,客户端服务器需要协商一种相同的加密协议版本加密套件,以确保数据的安全传输。2.加密套件不匹配:客户端服务器可能支持不同的加密套件,导致加密套件不匹配。3.协议配置不正确:客户端服务器SSL 协议配置可能不正确,例如使用不安全的协议版本加密套件,导致连接失败。1.协议版本不兼容:客户端服务器可能支持不同版本SSL 协议,导致协议版本不匹配。2.然后在TLS1.1和TLS1.2项中再分别新增两个项。5.ssl协议检测网站。
客户端服务器支持一般SSL协议版本加密套件解决方法
富朝阳的博客
05-13 9946
网站使用了阿里云CDN加速,因为免费版阿里云(百度云)加速是不支持SSL的,也就是说免费版阿里云加速是不支持HTTPS的,HTTPS是单独按量计费的,如果你的预算不充足,流量较少。可以暂时关闭阿里云加速,关闭后等一会儿,网站再去访问HTTPS就已经正常了。问题的根本原因是访问域名携带了证书,而我们的解析CDN是没有配置证书的,因此我们只需要在服务商配置开启HTTPS加速即可,以阿里云为例,找到CDN配置的地方(根据提示完成配置证书的秘钥。我们可以单独购买服务商提供的流量包,以阿里云为例,如下是购买配置图(
mPaaS 客户端证书错误避坑指南
AlifinTamSRE的博客
08-28 904
1. 背景 HTTPS 作为站点安全的最佳实践之一,已经得到了最广泛的支持。然而在实际生产过程中,由 TLS/SSL 握手失败引起的连接异常问题依然十分常见。本文将结合 mPaaS 客户端实际排查案例,介绍这类问题在移动领域的排查和解决方案。 2. TLS/SSL 握手基本流程 HTTPS 的主要作用是在不安全的网络上创建一个基于 TLS/SSL 协议安全信道,对窃听和中间人攻击提供一定程度的合理防护。TLS/SSL 握手的基本流程如下图描述: 3. 案例分...
SSL MakeCert / pvk2pfx&客户端服务器证书生成
04-07
创建完整的SSL证书套件以进行开发
ssl加密协议通信.rar_SSL安全通信_client server_linux c ssl_linux ssl_认证
09-19
ssl加密通信的客户端和服务端程序,包括安全证书的认证(linux)
SSL.gz_SSL加密通信_SSL实现_ssl_ssl通信_通信加密
09-19
SSL通信,实现简单的ssl加密通信,有客户端和服务端口,以及实现脚本
SSL代理客户端.rar
04-05
SSL代理客户端.rar
ssl_socket.zip_SSL SOCKET_ca证书验证 ssl套接字通信_sSLSocket和socket_ssl通信
07-15
ssl套接字通信服务端和客户段 ssl单向认证、双向认证
ssl.rar_client ssl_linux s_ssl 程序_ssl server_证书
09-23
linux下的ssl客户端服务器端源码,包含了自己生成的证书和私钥。
SSL.gz_ssl_ssl java_ssl证书
09-23
简单的SSL实现 包含证书的交换和文件的传输
ssl.zip_c ssl_c语言 openssl_linux openssl_site:www.pudn.com
09-19
openssl客户端服务器端的程序,C语言编写
SSL证书客户端服务器支持一般 SSL 协议版本加密套件
09-28
SSL证书客户端服务器支持一般SSL协议版本加密套件可能是由于协议版本不兼容导致的。在SSL连接过程中,客户端服务器需要协商一种相同的加密协议版本加密套件,以确保数据的安全传输。如果客户端服务器支持SSL协议版本加密套件不匹配,就会出现这个错误。 在具体的情况中,可能是由于配置CDN加速时选择的SSL协议版本加密套件客户端服务器之间不兼容导致的。可以通过检查所选择的SSL协议版本加密套件是否与客户端服务器支持情况相匹配来解决这个问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值