客户端和服务器不支持一般 ssl 协议版本或加密套件。_mPaaS 客户端证书错误避坑指南

最新推荐文章于 2024-07-06 09:13:57 发布
最新推荐文章于 2024-07-06 09:13:57 发布
阅读量5.3k 收藏
点赞数
文章标签: 客户端和服务器不支持一般 ssl 协议版本或加密套件。 证书信任列表用什么方式3d打开
本文针对移动客户端在HTTPS连接中遇到的TLS/SSL握手失败问题,结合mPaaS实际案例,探讨了CFCA证书历史问题、证书链信任模式问题和加密套件协商问题的排查与解决方案,强调理解协议和掌握分析工具的重要性。
摘要由CSDN通过智能技术生成

1. 背景

HTTPS 作为站点安全的最佳实践之一,已经得到了最广泛的支持。然而在实际生产过程中,由 TLS/SSL 握手失败引起的连接异常问题依然十分常见。本文将结合 mPaaS 客户端实际排查案例,介绍这类问题在移动领域的排查和解决方案。

2. TLS/SSL 握手基本流程

HTTPS 的主要作用是在不安全的网络上创建一个基于 TLS/SSL 协议安全信道,对窃听和中间人攻击提供一定程度的合理防护。TLS/SSL 握手的基本流程如下图描述:

1a15d78bc1dc5f6b9a4e5959e1941a5d.png

3. 案例分享

2.1 CFCA 证书的历史问题

2.1.1 背景

某客户为其生产环境的站点申请了一张由 CFCA 签发的证书。相关域名正确配置该证书且启用 HTTPS 后,经测试发现他们的客户端 App 在低版本手机上( iOS < 10.0,Android < 6.0)无法连接到相关站点。
客户端调试发现,控制台会看到证书无效的错误信息(Invalid CertificateCertificate Unknown )。

2.1.2 排查

起初,工程师并不知道客户的证书是由哪个机构签发以及有什么问题。而对于这类问题,一般均需要客户端网络包做进一步的分析与判断。因此安排客户在受影响的设备上进行问题复现及客户端抓包操作。

  1. 获取到网络包后,首先确认了客户端连接失败的直接原因为 TLS 握手过程异常终止,见下:

6ded4542a2358da26761295daba1b358.png
  1. 查看 Encrypted Alert 内容,错误信息为 0x02 0x2E。根据 TLS 1.2 协议(RFC5246 )的定义, 该错误为因为 certificate_unknown
  2. 继续查看该证书的具体信息,根据 Server Hello 帧中携带的证书信息得知该证书由证书机构 China Financial Certification Authority(CFCA) 签发。再根据证书信息中的 Authority Information Access (AIA) 信息确认 Intermediate CA 和 Root CA 证书。确认该证书签发机构的根证书为 CFCA EV ROOT
  3. 回到存在问题的手机
最低0.47元/天 解锁文章
weixin_39692253
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mPaaS 客户端证书错误避坑指南
AlifinTamSRE的博客
08-28 962
1. 背景 HTTPS 作为站点安全的最佳实践之一,已经得到了最广泛的支持。然而在实际生产过程中,由 TLS/SSL 握手失败引起的连接异常问题依然十分常见。本文将结合 mPaaS 客户端实际排查案例,介绍这类问题在移动领域的排查和解决方案。 2. TLS/SSL 握手基本流程 HTTPS 的主要作用是在不安全的网络上创建一个基于 TLS/SSL 协议安全信道,对窃听和中间人攻击提供一定程度的合理防护。TLS/SSL 握手的基本流程如下图描述: 3. 案例分...
搞定客户端证书错误,看这篇就够了
移动开发平台 mPaaS 的博客
10-19 4485
TLS/SSL 握手失败引起的连接异常问题怎么搞?阿里云 SRE 工程师手把手带你排查解决。
运维系列:此站点的连接不安全,使用不受支持协议。ERR_SSL_VERSION_OR_CIPHER_MISMATCH(不支持协议 客户端服务器支持常用的 SSL 协议版本或密码套件。)
最新发布
dzqxwzoe的博客
07-06 1015
之前自己的电脑未更新系统或者浏览器的时候使用的是IE浏览器,更新后变成了Microsoft Edge浏览器。导致之前很多访问的地址无法法访问了如图所示报错![在这里插入图片描述](https://img-
网络安全入门笔记(共327页),助你步入安全门槛
Spontaneous_0的博客
01-31 424
网络安全入门笔记(共327页),助你步入安全门槛
谷歌浏览器提示客户端服务器支持一般 SSL 协议版本加密套件(亲测有效)
Blueeyedboy521的博客
05-25 12万+
目录一、定位问题二、升级TLS1.21、原理之前架构调整架构2、配置nginx3、配置tomcat三、访问nginx即可 最近访问一部分网站时,出现如下图所示 “ 此网站无法提供案例连接,客户端服务器支持一般 SSL 协议版本加密套件 ” 的问题。 一、定位问题 点击浏览器中网址上面锁头出现如下: 然后点击网站安全链接,出现如下: 通过对比,可以看到,该域名因为使用的是 TLS 1.0,所以会出现问题,因为谷歌等大部分浏览器已经开始全面禁止TLS1.0了。所以我们需要升级我们的服务端支持TLS1
客户端服务器支持一般 ssl 协议版本加密套件。_一篇文章让你彻底弄懂SSL/TLS协议...
weixin_39683863的博客
11-18 2万+
SSL/TLS是一种密码通信框架,他是世界上使用最广泛的密码通信方法。SSL/TLS综合运用了密码学中的对称密码,消息认证码,公钥密码,数字签名,伪随机数生成器等,可以说是密码学中的集大成者。SSL(Secure Socket Layer)安全套接层,是1994年由Netscape公司设计的一套协议,并与1995年发布了3.0版本。TLS(Transport Layer Security)传输层安...
客户端服务器支持一般 ssl 协议版本加密套件。_SSL:握手过程详解
weixin_39969143的博客
12-01 1万+
1. client--->server:Client helloVersion: TLS 1.2:客户端使用的 TLS 版本号。Session ID:会话 ID,首次连接时该字段为空,即 Session ID Length 为 0。表示客户端告诉服务器是新的会话,没有其他会话要恢复。在后续的连接中,这个字段可以保存会话的唯一标识。服务器可以借助会话ID在自己的缓存中找到对应的会话状态。在会话...
phpstudy 配置ssl证书开启https 遇到无法客户端服务器支持一般 SSL 协议版本加密套件
November2013的专栏
01-18 4351
phpstudy 配置ssl证书开启https 【准备】 (1)phpstudy下载:http://phpstudy.php.cn/ (2)phpstudy集成环境下正常运行的网站 (3)避免意外请先备份(复制)好httpd.conf配置文件 【开始】 (1)开启apache的编译ssl模块,如图打开phpstudy—其它选项设置—PHP扩张及设置—php扩展—php-openssl前面打勾 (2)如图点击打开修改httpd.conf配置文件,打开找到#LoadModule ssl_.
Nginx+SSL搭建 HTTPS 网站
01-20
超文本传输安全协议(缩写:HTTPS,英语:Hypertext Transfer Protocol Secure)是超文本传输协议SSL/TLS的组合,用以提供加密通讯及对网络服务器身份的鉴定。HTTPS连接经常被用于万维网上的交易支付和企业信息系统...
SSL 和windows及浏览器等兼容性报告
11-29
本报告就如何配置SSL/TLS以提供最先进的身份验证和加密技术提出了一般性建议。ssl引擎提供的选项是从 自从Netscape开发SSL2.0以来的早期。TLS的引入使问题变得更具有挑战性,因为服务器客户端根据各个ssl引擎提供...
ssl协议客户端服务器认证,SSL认证详细讲解
weixin_30895003的博客
08-12 2991
SSL协议的通俗理解SSL协议加密方式因为对称加密和非对称加密都有对应存在的优缺点对称加密:需要把密钥在网络上传输,这样的方式并不安全,但是同样速度快,可加密内容较大,适合用来加密会话过程中的消息非对称加密:公钥对所有人公开,私钥只是自己保留,不会在网络上传输,能提供更好的身份认证技术但是加密速度较慢,SSL用来加密对称加密的密钥基于以上的问题,SSL在进行认证的时候使用了在认证阶段使用非对称加密...
客户端服务器支持一,客户端服务器支持常用的 SSL 协议版本加密套件。导致此问题的原因通常是服务器要求使用 SSLv3...
热门推荐
weixin_36418862的博客
07-30 16万+
您的问题是:“客户端服务器支持常用的 SSL 协议版本加密套件。导致此问题的原因通常是服务器要求使用 SSLv3服务器加密别的网站都可以正常打开打开这样的网站需要怎么设置 工具 Internet 高级 安全 里面 SSL1 SSL2点对号 也不行 原理的少说 结果我能打开网站就好”回答:你好,这是chrome内核的浏览器的实验性功能设置不正确导致的。下面附上完美解决方案。请按以下步骤...
客户端服务器支持一般SSL协议版本加密套件解决方法
富朝阳的博客
05-13 1万+
网站使用了阿里云CDN加速,因为免费版阿里云(百度云)加速是不支持SSL的,也就是说免费版阿里云加速是不支持HTTPS的,HTTPS是单独按量计费的,如果你的预算不充足,流量较少。可以暂时关闭阿里云加速,关闭后等一会儿,网站再去访问HTTPS就已经正常了。问题的根本原因是访问域名携带了证书,而我们的解析CDN是没有配置证书的,因此我们只需要在服务商配置开启HTTPS加速即可,以阿里云为例,找到CDN配置的地方(根据提示完成配置证书的秘钥。我们可以单独购买服务商提供的流量包,以阿里云为例,如下是购买配置图(
毕业一年,从事运维感觉没有出路,如何转型更有前景?
Python_0011的博客
07-08 731
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
HTTPS学习笔记(一):密码&协议
10-10 369
参考书籍:《HTTPS权威指南》http://pan.baidu.com/s/1i5CaUpv 一,加密介绍 1. 对称加密 对称加密(symmetric encryption)又称私钥加密(private-key cryptography)同一个密钥既用来加密同时也用来解密,安全性完全取决于密钥,如果密钥是从某个非常大的密钥空间中选取出来的,那么破解也需要遍历所有这些可能的密钥,...
此网站无法提供安全连接(客户端服务器支持一般 SSL 协议版本加密套件。)
No8g攻城狮的博客
11-28 12万+
最近访问一部分网站时,出现如下图所示 “ 此网站无法提供案例连接,客户端服务器支持一般 SSL 协议版本加密套件 ” 的问 题。 注意这里显示了非常关键的一句话,xxx使用了不受支持协议。从这句话入手,很快就查到了原因。原来是网站不支持HTTPS协 议,我将HTTPS改为HTTP访问,问题得到解决。 ...
客户端服务器支持一般 ssl 协议版本加密套件。_SSL/TLS 协议
weixin_39753211的博客
11-18 1万+
SSL/TLS 协议位于网络 OSI 七层模型的会话层,用来加密通信。SSL(Secure Sockets Layer,安全套接字层)是一种标准安全协议,用于在在线通信中建立Web服务器和浏览器之间的加密链接。SSL 通过互相认证、使用数字签名确保完整性、使用加密确保私密性,以实现客户端服务器之间的安全通讯。TLS(Transport Layer Security,传输层安全)是 IETF 在 ...
此站点的连接不安全,使用不受支持协议。ERR_SSL_VERSION_OR_CIPHER_MISMATCH(不支持协议 客户端服务器支持常用的 SSL 协议版本或密码套件。)
Karka_的博客
03-02 6854
之前自己的电脑未更新系统或者浏览器的时候使用的是IE浏览器,更新后变成了Microsoft Edge浏览器。导致之前很多访问的地址无法法访问了如图所示报错从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。
解决客户端服务器支持一般SSL协议版本加密套件问题
Habo_的博客
02-24 7万+
SSL(Secure Socket Layer)连接过程中,客户端服务器需要协商一种相同的加密协议版本加密套件,以确保数据的安全传输。2.加密套件不匹配:客户端服务器可能支持不同的加密套件,导致加密套件不匹配。3.协议配置不正确:客户端服务器SSL 协议配置可能不正确,例如使用不安全的协议版本加密套件,导致连接失败。1.协议版本不兼容:客户端服务器可能支持不同版本SSL 协议,导致协议版本不匹配。2.然后在TLS1.1和TLS1.2项中再分别新增两个项。5.ssl协议检测网站。
SSL证书客户端服务器支持一般 SSL 协议版本加密套件
09-28
SSL证书客户端服务器支持一般SSL协议版本加密套件可能是由于协议版本不兼容导致的。在SSL连接过程中,客户端服务器需要协商一种相同的加密协议版本加密套件,以确保数据的安全传输。如果客户端服务器支持SSL协议版本加密套件不匹配,就会出现这个错误。 在具体的情况中,可能是由于配置CDN加速时选择的SSL协议版本加密套件客户端服务器之间不兼容导致的。可以通过检查所选择的SSL协议版本加密套件是否与客户端服务器支持情况相匹配来解决这个问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值