În eroare lipsesc algoritmii obișnuiți de criptare. Remedierea unei erori la stabilirea unei conexiuni securizate în Mozilla Firefox. Schimbați setările Firefox

Este considerat cel mai stabil browser, în timp ce îl folosesc, unii utilizatori pot întâmpina diverse erori. Acest articol va discuta despre eroarea „Eroare la stabilirea unei conexiuni securizate”, și anume cum să o remediați.

Mesajul „Eroare la stabilirea unei conexiuni securizate” poate apărea în două cazuri: când intri pe un site securizat și, în consecință, când mergi pe un site nesecurizat. Ambele tipuri de probleme vor fi discutate mai jos.

În cele mai multe cazuri, utilizatorul întâmpină o eroare la stabilirea unei conexiuni securizate atunci când merge la un site securizat.

Utilizatorul poate spune „https” în bara de adrese înainte de numele site-ului în sine că site-ul este protejat.

Dacă întâlniți mesajul „A apărut o eroare la stabilirea unei conexiuni securizate”, atunci sub acesta puteți vedea o explicație a cauzei problemei.

Motivul 1: certificatul nu va fi valabil până la data [data]

Când accesați un site web securizat, Mozilla Firefox se asigură că site-ul are certificate pentru a se asigura că datele dumneavoastră sunt transferate numai acolo unde au fost destinate.

De regulă, acest tip de eroare indică faptul că data și ora greșite sunt setate pe computer.

În acest caz, va trebui să schimbați data și ora. Pentru a face acest lucru, faceți clic pe pictograma dată din colțul din dreapta jos și selectați elementul din fereastra care apare. „Opțiuni pentru dată și oră” .

Motivul 2: Certificatul a expirat [data]

Această eroare poate indica, de asemenea, o oră setată incorect sau poate fi un semn sigur că site-ul încă nu și-a reînnoit certificatele la timp.

Dacă data și ora sunt setate pe computerul dvs., atunci probabil site-ul este problema, iar până reînnoiește certificatele, accesul la site poate fi obținut doar adăugând la excepții, care este descris spre finalul articolului.

Motivul 3: certificatul nu este de încredere, deoarece certificatul emitentului său este necunoscut

O eroare similară poate apărea în două cazuri: site-ul chiar nu merită să aveți încredere sau problema se află în fișier cert8.db situat în folderul de profil Firefox care a fost corupt.

Dacă sunteți sigur că site-ul este securizat, atunci problema este probabil încă un fișier corupt. Și pentru a rezolva problema, Mozilla Firefox va trebui să creeze un nou astfel de fișier, ceea ce înseamnă că trebuie să ștergeți versiunea veche.

Pentru a ajunge la folderul de profil, faceți clic pe butonul de meniu Firefox și în fereastra care apare, faceți clic pe pictograma cu un semn de întrebare.

Un meniu suplimentar va fi afișat în aceeași zonă a ferestrei, în care va trebui să faceți clic pe element „Informații de rezolvare a problemelor” .

În fereastra care se deschide, faceți clic pe butonul „Afișați folderul” .

După ce folderul de profil apare pe ecran, trebuie să închideți Mozilla Firefox. Pentru a face acest lucru, faceți clic pe butonul meniului browser și în fereastra care apare, faceți clic pe butonul "Ieșire" .

Acum înapoi la folderul de profil. Găsiți fișierul cert8.db în el, faceți clic dreapta pe el și selectați "Șterge" .

Odată ce fișierul este șters, puteți închide folderul de profil și puteți porni din nou Firefox.

Motivul 4: certificatul nu este de încredere deoarece lipsește lanțul de certificate

O eroare similară apare, de regulă, din cauza antivirusurilor în care este activată funcția de scanare SSL. Accesați setările antivirus și dezactivați funcția de scanare în rețea (SSL).

Cum să rezolvi eroarea când accesezi un site nesigur?

Dacă apare mesajul „A apărut o eroare la trecerea la o conexiune sigură” dacă accesați un site nesecurizat, aceasta poate indica un conflict între setări, suplimente și teme.

Mai întâi de toate, deschideți meniul browserului și navigați la secțiune „Adăugiri” . În zona stângă a ferestrei, prin deschiderea filei „Extensii” , dezactivați numărul maxim de extensii instalate pentru browserul dvs.

Apoi accesați fila « Aspect» și eliminați toate temele terțe, lăsând și aplicând cea standard pentru Firefox.

După parcurgerea acestor pași, verificați dacă există o eroare. Dacă rămâne, încercați să dezactivați accelerarea hardware.

Pentru a face acest lucru, faceți clic pe butonul meniului browserului și accesați secțiunea „Setări” .

În partea stângă a ferestrei, accesați fila "Adiţional" , iar în partea de sus, deschideți subfila "Sunt comune" . În această fereastră, va trebui să debifați caseta. „Folosiți accelerarea hardware ori de câte ori este posibil” .

Soluție de eroare

Dacă tot nu reușiți să rezolvați mesajul „Conexiune securizată eșuată”, dar sunteți sigur că site-ul este securizat, puteți remedia problema ocolind avertismentul persistent al Firefox.

Pentru a face acest lucru, în fereastra cu eroarea, faceți clic pe butonul „Sau puteți adăuga o excepție” , apoi faceți clic pe butonul care apare „Adăugați o excepție” .

Pe ecran va apărea o fereastră, în care faceți clic pe butonul „Obțineți un certificat” și apoi faceți clic pe butonul „Confirmați excepția de securitate” .

Lecție video:

Sperăm că acest articol v-a ajutat să remediați problemele Mozilla Firefox.

Când încearcă să se conecteze la un site, utilizatorul poate primi un mesaj de eroare ssl_error_no_cypher_overlap. În acest articol, vă voi spune care este acest cod de eroare, vă voi explica motivele apariției sale și, de asemenea, vă voi spune cum să remediați eroarea ssl_error_no_cypher_overlap pe computer.

Ce este această eroare SSL

După cum se vede din redactare erori ssl _error_no_cypher_overlap, această problemă apare atunci când anumite site-uri nu acceptă anumite protocoale de criptare (no_cypher_overlap). De obicei vorbim despre utilizarea de către site a protocolului SSL versiunea 3.0 (creat încă din 1996), lucru cu care în vremea noastră poate afecta cel mai trist securitatea generală a conexiunii și siguranța datelor transmise.

În ciuda faptului că protocolul SSL a supraviețuit dezvoltării sale ulterioare, obiectivat în protocoalele TLS, unele site-uri continuă să solicite utilizatorilor să folosească SSL-ul moștenit. Prin urmare, activarea și utilizarea SSL în browser-ul dvs. va fi efectuată de dvs. pe propriul risc și risc.

Cauzele unei erori în browser

După cum sa menționat deja, principalul motiv pentru apariția erorii SSL Error este utilizarea unui protocol învechit de către site, iar activitatea programelor antivirus și antivirus care blochează sau modifică conexiunea la internet în rețea poate cauza, de asemenea, problema.

În același timp, eroarea în cauză este cel mai adesea remediată pe browserul Mozilla Firefox (mai ales după actualizarea nr. 34), pe alte browsere este extrem de rară.

Cum se remediază eroarea ssl_error_no_cypher_overlap

Iată o listă de metode pentru a remedia eroarea în cauză:

1. Reporniți computerul. Acest sfat clișeu ajută uneori;
2. Verificați computerul pentru viruși cu un antivirus de încredere;
3. Încercați să dezactivați temporar antivirusul și firewallul, apoi încercați să vizitați site-ul cu probleme;
4. Utilizați un browser diferit. Deoarece această eroare apare cel mai adesea pe Firefox, schimbarea browserului poate rezolva problema;
5. Schimbați setările Firefox. Pentru a face acest lucru, deschideți o nouă fereastră în Mozilla, tastați about:config în bara de adrese și apăsați Enter. Confirmați acceptarea riscului, apoi introduceți security.tls.version în bara de căutare. După ce primiți rezultate de la mai multe valori, modificați valoarea parametrilor security.tls.version.fallback-limit și security.tls.version.min la 0. După aceste inovații, încercați să vizitați din nou site-ul cu probleme, ar trebui să se încarce.
6. Dezactivează https. Instruire.

Concluzie

Cea mai frecventă cauză a problemei ssl_error_no_cypher_overlap este protocolul criptografic SSL învechit pe care îl folosesc unele site-uri. Dacă utilizați Fox, atunci modificați valoarea unor setări ale browserului așa cum este indicat mai sus, în alte cazuri, dezactivarea temporară a antivirusului și a firewall-ului, precum și schimbarea browserului, vă pot ajuta.

apache de securitate (8)

Eu și colegii mei avem probleme cu utilizarea Firefox 3.0.6 pentru a accesa o aplicație web Java 1.6.0 ___ 11 pe care o dezvoltăm. Totul funcționează bine de la 1 la 30 de minute în sesiune... dar în cele din urmă conexiunea eșuează și apare următoarea eroare:

Conexiunea securizata a esuat

A apărut o eroare în timpul conexiunii la 10.xxx

Nu se poate comunica în siguranță cu peer-ul: nu există algoritm(i) de criptare obișnuit.

(Cod de eroare: ssl_error_no_cypher_overlap)

IE funcționează bine. Firefox afișează o eroare atât pe Windows, cât și pe Fedora, deci problema nu este legată de sistemul de operare. Aplicația Java EE rulează pe un server Tomcat 6.0.16. Toate paginile sunt criptate folosind TLS 1.0 printr-un server HTTP Apache 2.2.8 cu mod_nss.

Serverul nostru Apache este configurat să respingă conexiunile SSL 3.0. O ipoteză este că Firefox ar putea încerca să stabilească o conexiune SSL 3.0... dar de ce?

Pe baza unor căutare pe Google, am încercat următoarele lucruri fără succes:

folosind Firefox 2.x (unii oameni au raportat cazuri în care 2.x a funcționat, dar 3.x nu):

activarea SSL2

dezactivați SSL3

dezactivarea OCSP (Instrument > Opțiuni > Avansat > Criptare > Validare)

că antivirusul/firewall-ul computerului client nu blochează sau scanează portul 443 (portul https)

Vreo idee?

Primul lucru pe care aș dori să verific este configurația pentru mod_nss. E ciudat pentru că îți aparține și nu există așa ceva pe lume :-) Dacă ai avut o eroare uriașă în Firefox sau mod_nss, aș presupune că ai aflat deja despre asta în căutarea ta pe google. Faptul că ați profitat de o setare (cum ar fi dezactivarea SSL3 și diverse alte setări aleatoare) este de asemenea suspect.

Mă voi întoarce la modificarea configurației vanilla mod_nss și voi vedea dacă funcționează. Apoi schimbați sistematic situația la configurația curentă până când puteți reproduce problema. Se pare că sursa erorii se află undeva în configurația de criptare mod_nss și protocoalele aferente. Deci, poate ați schimbat din greșeală ceva acolo în timp ce încercați să dezactivați SSLv3 (btw, de ce să dezactivați SSL3? Oamenii dezactivează de obicei V2?).

Încă un lucru de verificat dacă sunteți pe cel mai recent mod_nss și nu este un bug cunoscut. Un fapt interesant este că reușește să înceapă o sesiune și apoi nu reușește mai târziu - acest lucru sugerează că poate încearcă să renegocieze sesiunea și nu poate fi de acord asupra cifrurilor în acel moment. Astfel, acestea pot fi cifruri simetrice. Sau ar putea fi doar o eroare de implementare în versiunea dvs. de mod_nss care deformează într-un fel protocolul.

O altă idee, și aceasta este o presupunere sălbatică, este că browserul încearcă să reia o sesiune care a fost negociată cu SSLv3 înainte de a o opri și ceva se întrerupe atunci când încearcă să reia acea sesiune când V3 este oprit, sau poate mod_nss pur și simplu nu o face corect .

Chestia cu java/tomcat arată ca un hering roșu, deoarece dacă nu v-am înțeles descrierea, nimic nu are legătură cu protocolul handshake/SSL.

În setările avansate ale Firefox, puteți seta criptarea. În mod implicit, SSL3.0 și TLS1.0 ar trebui să fie bifate, așa că dacă firefox încearcă să creeze ssl 3.0, încercați să debifați ssl 3.0s.

dacă nu funcționează, încercați să căutați pagina about:config pentru „ssl2”. Setările mele pentru Firefox cu setări ssl2 sunt false în mod implicit...

Dacă te uiți la procesul de negociere SSL de pe Wikipedia, vei ști că la început, mesajele ClientHello și ServerHello sunt trimise între browser și server.

Numai dacă cifrurile furnizate în ClientHello au elemente suprapuse pe server, mesajul ServerHello va conține un cifr suportat de ambele părți. În caz contrar, conexiunea SSL nu va fi inițiată deoarece lipsește cifrul partajat.

Pentru a rezolva acest lucru, trebuie să instalați cifruri (de obicei la nivelul sistemului de operare), în loc să încercați să lucrați în browser (de obicei, browserul folosește sistemul de operare). Sunt familiarizat cu Windows și IE, dar nu știu multe despre Linux și Firefox, așa că pot doar să subliniez ce este în neregulă, dar nu vă pot oferi o soluție.

Am avut aceeasi problema; a fost suficient ca soluția să activeze toate schemele SSL în „about:config”. Le-am gasit prin filtrare cu ssl. În primul rând, am activat toate opțiunile pentru a le dezactiva pe cele inutile.

Mesajul de eroare „Eroare: ssl_error_no_cypher_overlap” după conectare când este așteptat un ecran de bun venit - folosind browserul Firefox. Soluția 1: Introduceți „about:config” în bara de adrese a browserului 2: Căutați/Selectați „security.ssl3.rsa_rc4_40_md5” 3: Setați booleanul la TRUE

Mesaj de eroare „Cod de eroare: ssl_error_no_cypher_overlap” după conectare când este așteptat un ecran de bun venit - folosind browserul Firefox

Activați suportul pentru criptarea RSA pe 40 de biți în browserul Firefox: 1: tastați „about:config” în bara de adrese a browserului 2: căutați/selectați „security.ssl3.rsa_rc4_40_md5” 3: setați booleanul la TRUE

Ce a funcționat pentru mine, eu:

1. Am mers pe: config.
2. Tastați „securitate” în caseta de căutare.
3. Setați toate intrările returnate la valorile implicite.
4. Am tastat „ssl” în caseta de căutare.
5. Setați toate rezultatele returnate la valorile implicite.
6. SSL2 activat.
7. Ssl3 dezactivat.
8. Firefox reîncărcat.

O notă despre repornirea Firefox: când îl pornesc foarte curând după ce îl închid, deseori are o problemă de acces la fișiere care necesită să șterg locuri.sqliteȘi locuri.sqlite-jurnal V C:\WINDOWS\Application Data\Mozilla\Firefox\Profiles\n18091xv.default. Acest lucru mă face să-mi pierd istoricul, marcajele fiind întotdeauna restaurate dintr-o copie de rezervă de fiecare dată când se întâmplă acest lucru. Aștept cinci până la zece minute sau mai mult pentru a evita această bătaie de cap.

Rulează Firefox v3.5.1 pe WinMe

Am avut probleme cu probleme similare cu site-urile securizate (https://) când folosesc Burp (sau cel puțin problema care vă va duce la această pagină când căutați pe Google):

• ssl_error_no_cypher_overlap în Firefox
• ERR_SSL_VERSION_OR_CIPHER_MISMATCH în Chrome

Aceasta sa dovedit a fi o problemă când utilizați Java 8. Când am trecut la Java 7, problema a încetat.

Petrecând în mod constant timp pe Internet, o persoană crește probabilitatea de infectare a echipamentului utilizat de diferite programe rău intenționate. Nu este surprinzător, astăzi există multe modalități de a vă proteja împotriva unor astfel de probleme.

Computerul utilizatorului obișnuit este protejat de software specializat încorporat în sistemul însuși, un program antivirus, precum și protocoale speciale de securitate pe care browserele le folosesc. Din păcate, uneori, această din urmă opțiune poate cauza eroarea ssl, eroare de suprapunere a cifrului, să apară pe ecran.

Este deosebit de ofensator când apare eroarea codului de eroare ssl fără suprapunere cifră atunci când încercați să vizitați o resursă foarte bună și sigură.
Desigur, apare întrebarea - cum să trăiești și ce să faci?

De ce este posibilă această situație?

Aproape întotdeauna, o astfel de pacoste este observată dacă utilizatorul folosește browserul de internet Firefox pentru a accesa rețeaua.

Un program actualizat la versiunea 34+, din anumite motive, poate înceta să accepte protocolul SSLv3 utilizat pe site-uri, interzicând astfel accesul la acesta.

De asemenea, o posibilă cauză principală este uneori un program antivirus care rulează pe un computer sau un troian introdus din neglijență.

Cum se remediază eroarea ssl fără suprapunere cifră? Inițial, este recomandabil să utilizați următoarele instrucțiuni:

1. Instalați software eficient care se ocupă bine de troienii. De exemplu, puteți încerca AdwCleaner sau echivalentul acestuia.
2. Dezactivați temporar antivirusul afectat pentru a verifica dacă accesul poate fi acordat.
3. Accesați un browser de internet alternativ și încercați să îl utilizați pentru a efectua operația întreruptă anterior. În acest caz, este recomandat să demolați complet Firefox și să reporniți computerul după aceea.
4. Accesați setările browserului dvs. de internet pentru a șterge istoricul, cookie-urile și memoria cache.

Dacă proprietarul PC-ului refuză categoric să treacă la alte opțiuni pentru browserele disponibile astăzi și niciunul dintre punctele de mai sus nu a adus rezultatul dorit, atunci există o altă modalitate de a o remedia - efectuarea de modificări la setările Firefox:

1. Activați pagina principală a acestui software.
2. Accesați linia de căutare a programului, unde doriți să conduceți „despre: config”.
3. De acord cu acțiunile ulterioare, asumându-și responsabilitatea pentru modificările efectuate.
4. După ce pe ecran apare o listă destul de impresionantă, utilizați din nou capacitățile de căutare încorporate tastând „security.tls.version” în ea.
5. Dintre toate opțiunile propuse, opriți-vă la doar două: „security.tls.version.min” și „security.tls.version.fallback-limit”.
6. Făcând clic dreapta pe ele unul câte unul, accesați propunerea „Schimbare”. Setați valorile numerice la „0”.
7. Reporniți echipamentul. Verificați rezultatul.
   În absența unui rezultat pozitiv din instrucțiunile propuse mai sus, se recomandă să îl repetați complet, setați doar unul în loc de zero.

„Dezvolt o aplicație web. În prezent,” folosesc un certificat autosemnat (semnarea corectă a acestuia vine mai târziu).

Când am serverul web setat astfel încât să accepte doar TLS1.1 și TLS1.2, primesc o eroare SSL_ERROR_NO_CYPHER_OVERLAP. Și, desigur, încercarea linkului „utilizați securitatea învechită” nu funcționează, deoarece serverul web nu va permite acele conexiuni.

Dacă permit temporar conexiuni nesigure pe serverul web, Firefox îmi va permite apoi să accept certificatul. După ce certificatul este acceptat, Firefox se poate conecta numai prin TLS1.1 și TLS1.2. Deci, de cele mai multe ori, Firefox poate găsi un cod comun pentru conexiunile TLS1.1/1.2.

(Serverul web se află pe un nucleu Ubuntu, cu OpenSSL1.0.1f.)

„Dezvolt o aplicație web. În prezent,” folosesc un certificat autosemnat (semnarea corectă a acestuia vine mai târziu). Când am serverul web setat astfel încât să accepte doar TLS1.1 și TLS1.2, primesc o eroare SSL_ERROR_NO_CYPHER_OVERLAP. Și, desigur, încercarea linkului „utilizați securitatea învechită” nu funcționează, deoarece serverul web Nu va permite acele conexiuni. Dacă permit temporar conexiuni nesigure pe serverul web, Firefox îmi va permite apoi să accept certificatul. După ce certificatul este acceptat, Firefox se poate conecta numai prin TLS1.1 și TLS1.2. Deci, de cele mai multe ori, Firefox poate găsi un cod comun pentru conexiunile TLS1.1/1.2. (Serverul web se află pe un kernel Ubuntu, cu OpenSSL1.0.1f.)

Soluția aleasă

În sfârșit mi-am dat seama ce se întâmplă.

Remedierea este într-adevăr în configurarea OpenSSL; totuși, deoarece Firefox este browserul care afișează cel mai ușor problema, voi posta răspunsul aici.

Oricum, în discuție este separarea în OpenSSL a protocoalelor acceptate vs. lista de cifrare.

Într-o aplicație care utilizează OpenSSL, dacă utilizați ceva mai vechi decât OpenSSL 1.1.0, va trebui să dezactivați orice protocol mai vechi decât TLSv1. Faceți asta cu:

SSL_CTX_set_options(ctx, SSL_OP_NO_SSLv2 | SSL_OP_NO_SSLv3);

(Rețineți că versiunile recente de OpenSSL înainte de versiunea 1.1.0 au SSLv2 dezactivat în mod implicit, dar nu strica să îl dezactivați în mod explicit cu acest apel. De asemenea, rețineți că dacă dezactivați TLSv1 , veți întrerupe compatibilitatea cu unele aplicații care efectuați apeluri HTTPS; de exemplu, Firefox pare să folosească TLSv1 pentru a face schimbul de certificate, înainte de a trece la protocoale mai puternice pentru sesiune).

Cheia pentru înțelegerea erorii SSL_NO_CYPHER_OVERLAP este că TLSv1 utilizează doar cifrurile SSLv3.

Deci, m-am confruntat cu această problemă pentru că atunci când am dezactivat SSLv3, dezactivam și cifrurile SSLv3. Pentru a seta cifrurile OpenSSL, utilizați ceva de genul:

SSL_CTL_set_cipher_list(ctx, "TLSv1.2:TLSv1:SSLv3:!SSLv2:HIGH:!MEDIUM:!LOW");

Dacă folosești în schimb (cum foloseam inițial):

SSL_CTL_set_cipher_list(ctx, "TLSv1.2:TLSv1:!SSLv3:!SSLv2:HIGH:!MEDIUM:!LOW");

Veți dezactiva efectiv TLSv1, deoarece nu există cifruri specifice TLSv1 (cel puțin în OpenSSL), iar cu cifrurile SSLv3 dezactivate, nu este posibilă stabilirea unei conexiuni TLSv1.

Cu SSLv3 dezactivat, dar cifrurile TLSv1/SSLv3 activate, Firefox poate obține certificatele. După aceasta, văd că Firefox stabilește apoi o conexiune TLSv1.2.

Cea mai mare parte a soluției de mai sus nu este necesară pentru OpenSSL 1.1.0, deoarece nu are deloc suport pentru SSLv3.

Citiți acest răspuns în contextul 4

Proprietarul întrebării

Multumesc pentru raspuns.

Din păcate, „dezvolt în spatele unui firewall, așa că site-ul menționat nu poate să-l scaneze.

Există vreo modalitate de a afla ce criptări a încercat Firefox?

(Încă mi se pare ciudat că, dacă am Firefox să accepte certificatul, reducând temporar securitatea, că Firefox este apoi capabil să convină asupra unui cifr de înaltă securitate.)

Multumesc pentru raspuns. Din păcate, „dezvolt în spatele unui firewall, așa că site-ul menționat nu poate să-l scaneze. Există vreo modalitate de a afla ce criptări a încercat Firefox? (Încă mi se pare ciudat că, dacă am Firefox să accepte certificatul, reducând temporar securitatea, că Firefox este apoi capabil să convină asupra unui cifr de înaltă securitate.)

Ce setări de conexiune folosește Firefox dacă permiteți o securitate mai scăzută?

Puteți verifica acest lucru în fila Securitate din Monitorul rețelei.

Ce setări de conexiune folosește Firefox dacă permiteți o securitate mai scăzută? Puteți verifica acest lucru în fila Securitate din Monitorul rețelei. *https://developer.mozilla.org/Tools/Network_Monitor

Proprietarul întrebării

„Nu știu dacă” dau clic pe locul potrivit.

Cu Network Monitor deschis, dacă dau clic pe cererea GET, fila de securitate spune doar că certificatul de securitate este invalid (la care mă aștept, deoarece este invalid).

Experimentând cu diferite setări de securitate pe server, se pare că atunci când primesc „certificat invalid”, acesta folosește SSLv3, în timp ce dacă setez serverul numai pentru TLS, primesc „nicio suprapunere cifră” (deși nu văd un avertisment SSLv3 în fila de securitate).

Dacă merg la about:config și caut pe security*ssl, văd un număr mare de cifruri activate în listă. Dacă caut pe security*tls, nu văd nicio cifră listată.

Am atașat capturi de ecran. Cea cu „fără suprapunere cifră” este ceea ce primesc când dezactivez SSLv3 pe serverul meu web, iar cea cu „emitent necunoscut” este ceea ce primesc când activez SSLv3 pe serverul meu web.

(Atât Chrome, cât și IE îmi dau doar eroarea „certificat nevalid”, dar se vor conecta altfel.)

„Nu știu dacă” dau clic pe locul potrivit. Cu Network Monitor deschis, dacă dau clic pe cererea GET, fila de securitate spune doar că certificatul de securitate este invalid (la care mă aștept, deoarece este invalid). Experimentând cu diferite setări de securitate pe server, se pare că atunci când primesc „certificat invalid”, acesta folosește SSLv3, în timp ce dacă setez serverul numai pentru TLS, primesc „nicio suprapunere cifră” (deși nu văd un avertisment SSLv3 în fila de securitate).Dacă merg la about:config și caut pe security*ssl, văd un număr mare de cifruri activate în listă. Am atașat capturi de ecran. Cea cu „fără suprapunere cifră” este ceea ce primesc când dezactivez SSLv3 pe serverul meu web, iar cea cu „emitent necunoscut” este ceea ce primesc când activez SSLv3 pe serverul meu web. ( Atât Chrome, cât și IE îmi dau doar eroarea „certificat nevalid”, dar se vor conecta altfel.)

Modificat 18 mai 2016 la 9:55:13 PDT de gshonle

Proprietarul întrebării

Am făcut o urmă tcpdump; 10.1.233.67 este sistemul rulează Firefox; 10.1.85.41 este serverul Linux. Vezi imaginea atașată.

Iată cifrurile TLSv1.2 acceptate de Linux OpenSSL:

ECDHE-RSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA384 ECDHE-ECDSA-AES256-SHA384 DHE-DSS-AES256-GCM-SHA384-DCMHESHA4-SHA384 DHE-RSA-AES256-SHA256 DHE-DSS-AES256-SHA256 ECDH-RSA-AES256-GCM-SHA384 ECDH-ECDSA-AES256-GCM-SHA384 ECDH-RSA-AES256-SHA386-SHA384-ECHAS-ECA384 SHA384 AES256-SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-ECDSA-AES128-SHA256-DASHES128-SHA256-DASHES128-SHA256-DSHA12-256 -GCM-SHA256 DHE-RSA-AES128-SHA256 DHE-DSS-AES128-SHA256 ECDH-RSA-AES128-GCM-SHA256 ECDH-ECDSA-AES128-GCM-SHA256 ECDH-RSA-SHAESHAES-AESHADS1268-SHA256-256 AES128-GCM-SHA256 AES128-SHA256

Deci, se pare că aproape se suprapun...

Am făcut o urmă tcpdump; 10.1.233.67 este sistemul care rulează Firefox; 10.1.85.41 este serverul Linux. Vezi imaginea atașată. Iată cifrurile TLSv1.2 acceptate de Linux OpenSSL: ECDHE-RSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES256-GCM- SHA384 -GCM-SHA384 DHE-RSA-AES256-GCM-SHA384 DHE-RSA--AES256-- SHA256 DHE-DSS-AES256-SHA256 ECDH-RSA-AES256-GCM-SHA384 ECDH-ECDSA-AES256-GCM-SHA384 ECDH-RSA-AES256 -SHA384 ECDH-ECDSA-AES2565-AESHA256-384 RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES128-SHA256-SHA28-SHA256-DHS128-SHA256 -GCM-SHA256 ECDH-ECDSA-AES128-GCM-SHA256 ECDH -RSA-AES128-SHA256 ECDH-ECDSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA256 Așadar, arata aproape...

SSL-ul de mână este peste cap, dar două lucruri:

(1) În niciun caz versiunile recente ale Firefox nu vor folosi SSLv3 ca protocol. Cel mai mic protocol acceptat este TLS 1.0.

(2) În about:config, numele preferințelor pentru cifruri conține ssl3, dar acesta este un artefact istoric și nu are nicio legătură cu protocol care este folosit. Aceste cifruri trebuie să fie activate pentru a fi disponibile pentru conexiunile TLS.

Există două cifruri pe care le recomand să setați la false, deoarece sunt asociate cu problema Logjam:

security.ssl3.dhe_rsa_aes_128_sha security.ssl3.dhe_rsa_aes_256_sha

Unii utilizatori pot prefera să seteze și cele două cifruri RC4 la false, dar acest lucru poate crea probleme cu serverele Microsoft IIS mai vechi.

Ar trebui să vă puteți conecta în siguranță folosind aceste cifruri (lista dvs. => numele preferinței Firefox):

ECDHE-RSA-AES128-GCM-SHA256 => security.ssl3.ecdhe_rsa_aes_128_gcm_sha256

ECDHE-ECDSA-AES128-GCM-SHA256 =>

SSL-ul de mână este peste cap, dar două lucruri: (1) În niciun caz versiunile recente ale Firefox nu vor folosi SSLv3 ca „protocol”. Cel mai mic protocol acceptat este TLS 1.0. (2) În about:config, numele preferințelor pentru „„cifre”” conțin ssl3, dar acesta este un artefact istoric și nu are nicio legătură cu „”protocolul”” care este utilizat. Aceste cifruri trebuie să fie activate pentru a fi disponibile pentru conexiunile TLS. Există două cifruri pe care le recomand să setați la false, deoarece sunt asociate cu problema Logjam: security.ssl3.dhe_rsa_aes_128_sha security.ssl3.dhe_rsa_aes_256_sha Unii utilizatori ar putea prefera să seteze și cele două cifruri RC4 la false, dar acest lucru poate crea probleme cu servere Microsoft IIS mai vechi. Ar trebui să vă puteți conecta în siguranță folosind aceste cifruri (lista dvs. => numele preferinței Firefox): ECDHE-RSA-AES128-GCM-SHA256 => security.ssl3.ecdhe_rsa_aes_128_gcm_sha256 ECDHE-ECDSA-AES128-GCM-SHA256 => security.ssl3.ecdhe_rsa_aes_128_gcm_sha256 .ecdhe_ecdsa_aes_128_gcm_sha256

Proprietarul întrebării

Atât security.ssl3.ecdhe_rsa_aes_128_gcm_sha256 cât și security.ssl3.ecdhe_ecdsa_aes_128_gcm_sha256 sunt activate în Firefox (folosesc setările implicite pentru toate).

Deci... Sunt încă nedumerit despre ce se întâmplă...

Atât security.ssl3.ecdhe_rsa_aes_128_gcm_sha256 cât și security.ssl3.ecdhe_ecdsa_aes_128_gcm_sha256 sunt activate în Firefox (folosesc setările implicite pentru toate). Deci... Sunt încă nedumerit despre ce se întâmplă...

vezi postarea urmatoare

""Vezi postarea următoare"" Privind ultima ta captură de ecran („Client Bună ziua”), „sunt puțin nedumerit. Asta este lista de criptare a computerului client? Nu se potrivește cu lista Firefox -- în special, după cunoștințele mele, Firefox nu acceptă nicio cifră CBC, care cuprinde aproape tot ceea ce este listat. Aveți un proxy în fața Firefox pe client?

Modificat 18 mai 2016 la 11:47:47 PDT de jscher2000

Hopa, mă înșel pe baza acestui site: https://www.ssllabs.com/ssltest/viewMyClient.html -- CBC apare în mai multe nume de cifr de acolo chiar dacă nu apar în about:config.

Cipher Suites (in order of preference) TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b) Forward Secrecy 128 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) Forward Secrecy 128 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA (0xc00a) Forward Secrecy 256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (0xc009) Forward Secrecy 128 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) Forward Secrecy 128 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014) Forward Secrecy 256 TLS_RSA_WITH_AES_128_CBC_SHA (0x2f) 128 TLS_RSA_WITH_AES_256_CBC_SHA (0x35) 256 TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa) 112

Acestea două nu apar pe lista mea normală, deoarece le-am dezactivat așa cum am menționat mai devreme:

TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x33) Redirecționare secretă 128 TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x39) Redirecționare secretă 256

Cu acestea, sunt 11 așa cum ați văzut în Client Hello.

Hopa, mă înșel pe baza acestui site: https://www.ssllabs.com/ssltest/viewMyClient.html -- CBC apare în mai multe nume de cifr de acolo chiar dacă nu apar în about:config. Cipher Suites (in order of preference) TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b) Forward Secrecy 128 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) Forward Secrecy 128 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA (0xc00a) Forward Secrecy 256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (0xc009) Forward Secrecy 128 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) Forward Secrecy 128 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014) Forward Secrecy 256 TLS_RSA_WITH_AES_128_CBC_SHA ( 0x2f) 128 TLS_RSA_WITH_AES_256_CBC_SHA (0x35) 256 TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa) 112 These two do not appear on my normal list, as I have disabled them as mentioned earlier: TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x33) Forward Secrecy 128 TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x39) Forward Secrecy 256 With those, there sunt 11 așa cum ați văzut în Client Hello.

Proprietarul întrebării

Pachetul Hello Client este ceea ce a fost trimis de sistemul care rulează Firefox; a fost trimis când Firefox a încercat conectarea.

Am verificat de două ori și nu am un proxy în fața Firefox.

Ca să o citez pe Alice: Din ce în ce mai curios și mai curios...

Pachetul Hello Client este ceea ce a fost trimis de sistemul care rulează Firefox; a fost trimis când Firefox a încercat conectarea. Am verificat de două ori și nu am un proxy în fața Firefox. Ca să o citez pe Alice: Mai curios și mai curios...

Proprietarul întrebării

Da, OpenSSL 1.0.1f este din ianuarie 2014 și aș prefera să mergem la o versiune mai nouă. Din păcate, planul actual este să nu trecem la un OpenSSL mai nou acum (nu alegerea mea).

Aveți idei despre următorul pas?

Da, OpenSSL 1.0.1f este din ianuarie 2014 și aș prefera să mergem la o versiune mai nouă. Din păcate, planul actual este să nu trecem la un OpenSSL mai nou chiar acum (nu alegerea mea). Orice idee despre un urmatorul pas?

Ce se întâmplă dacă faceți clic pe linkul „(Nu este sigur) Încercați să încărcați”?

Dacă, de asemenea, trebuie să înlocuiți certificatul prost, acceptați o excepție temporară.

Apoi, presupunând că obțineți o conexiune securizată, verificați protocolul și cifrul enumerate în dialogul Info pagină, panoul de securitate, în partea de jos, pe care le puteți vizualiza folosind:

• faceți clic dreapta (pe Mac Ctrl+clic) pe o zonă goală a paginii și alegeți Vizualizare informații despre pagină > Securitate
• (bara de meniu) Instrumente > Informații pagină > Securitate
• faceți clic pe pictograma lacăt sau „i” din bara de adrese, apoi pe butonul „>”, apoi pe Mai multe informații

Ce arată ca în uz acolo?

Ce se întâmplă dacă faceți clic pe linkul „(Nu este sigur) Încercați să încărcați”? Dacă, de asemenea, trebuie să înlocuiți certificatul prost, acceptați o excepție temporară. Apoi, presupunând că obțineți o conexiune securizată, verificați protocolul și cifrarea listate în dialogul Info pagină, panoul de securitate, în partea de jos, pe care le puteți vizualiza folosind fie: * clic dreapta (pe Mac Ctrl+clic) o zonă goală de ​​pagina și alegeți Vizualizare informații despre pagină > Securitate * (bara de meniu) Instrumente > Informații pagină > Securitate * faceți clic pe pictograma lacăt sau „i” din bara de adrese, apoi butonul „>”, apoi Mai multe informații Ce se afișează ca în uz Acolo?

Proprietarul întrebării

Vezi atașat ce se întâmplă dacă dau clic pe linkul (Nesecurizat). Deoarece serverul meu este setat să nu folosească SSLv3, Firefox nu se poate conecta.

Dacă activez temporar SSLv3 pe serverul meu, pot accepta certificatul nevalid. Apoi, conexiunea folosește TLS 1.2 (Cipher este TLS_RSA_WITH_AES_128_CBC_SHA, chei de 128 de biți). (Dacă accept permanent certificatul, mă pot conecta întotdeauna imediat, chiar și cu SSLv3 dezactivat pe serverul meu.)

Vezi atașat ce se întâmplă dacă dau clic pe linkul (Nesecurizat). Deoarece serverul meu este setat să nu folosească SSLv3, Firefox nu se poate conecta. Dacă activez temporar SSLv3 pe serverul meu, pot accepta certificatul nevalid. Apoi, conexiunea folosește TLS 1.2 (Cipher este TLS_RSA_WITH_AES_128_CBC_SHA, chei de 128 de biți). ( Dacă accept permanent certificatul, mă pot conecta întotdeauna imediat, chiar și cu SSLv3 dezactivat pe serverul meu.)

Nu cred că acest lucru are legătură cu SSLv3, deoarece Firefox 46 nu acceptă deloc SSLv3 în nicio circumstanță. Când activați SSLv3 pe server, cred că trebuie să schimbe altceva în același timp.

Eroare pe care ați primit-o a fost SSL_ERROR_INAPPROPRIATE_FALLBACK_ALERT, ceea ce a indicat că serverul a încercat să treacă de la TLS1.2 la un protocol inferior. Acest lucru nu are sens din ceea ce descrii, dar s-ar putea vedea cu cifrurile RC4.

Oricum, nu are rost să mai depanezi această versiune veche a OpenSSL.

Nu cred că acest lucru are vreo legătură cu SSLv3, deoarece Firefox 46 nu acceptă deloc SSLv3 în nicio circumstanță. Când activați SSLv3 pe server, cred că trebuie să schimbe altceva în același timp. Eroarea pe care ați primit-o a fost SSL_ERROR_INAPPROPRIATE_FALLBACK_ALERT, care a indicat că serverul a încercat să treacă de la TLS1.2 la un protocol inferior. Acest lucru nu are sens din ceea ce descrii, dar s-ar putea vedea cu cifrurile RC4. Oricum, nu are rost să depanezi această versiune veche a OpenSSL mai departe.

Proprietarul întrebării

Produsul la care „lucrez are un sistem Linux încorporat, cu un server web ca parte a produsului total. Deoarece nu rulează pe hardware standard, suntem” limitati la ce distribuții Linux putem folosi. Cel mai recent pachet deb OpenSSL pentru acea distribuție este 1.0.1f. Din motive care nu fac obiectul acestei discuții, folosim doar actualizări care au pachete deb.

Deci, din păcate, se pare că va trebui să documentăm că doar Chrome și IE sunt acceptate și să nu folosim Firefox.

Produsul la care „lucrez are un sistem Linux încorporat, cu un server web ca parte a produsului total. Deoarece nu rulează pe hardware standard, suntem” limitati la ce distribuții Linux putem folosi. Cel mai recent pachet deb OpenSSL pentru acea distribuție este 1.0.1f. Din motive care nu fac obiectul acestei discuții, folosim doar actualizări care au pachete deb. Deci, din păcate, se pare că va trebui să documentăm că doar Chrome și IE sunt acceptate și să nu folosim Firefox.

Modificat 24 mai 2016 la 13:07:42 PDT de gshonle

Răspuns util

L-ați putea aduce în atenția furnizorului dvs., deoarece aceștia vor fi în cele din urmă acuzați de incapacitatea produsului dvs. de a realiza o conexiune sigură cu Firefox.

„Nu sunt sigur dacă se aplică produsului dvs., dar pentru unele site-uri web, puteți activa alternativă adăugând un nume de gazdă la această preferință:

(1) Într-o filă nouă, tastați sau lipiți despre:configîn bara de adrese și apăsați Enter/Return. Faceți clic pe butonul care promite să fiți atent.

(2) În caseta de căutare de deasupra listei, tastați sau lipiți TLSși întrerupeți în timp ce lista este filtrată

(3) Faceți dublu clic pe security.tls.insecure_fallback_hosts preferință și, fie:

(A) Dacă este gol, tastați sau lipiți numele gazdei și faceți clic pe OK

(B) Dacă unul sau mai multe alte nume de gazdă sunt deja listate, apăsați tasta Sfârșit pentru a merge la sfârșit, tastați o virgulă, apoi tastați sau lipiți numele de gazdă suplimentar și faceți clic pe OK

L-ați putea aduce în atenția furnizorului dvs., deoarece aceștia vor fi în cele din urmă acuzați de incapacitatea produsului dvs. de a realiza o conexiune sigură cu Firefox. Nu sunt sigur dacă este aplicabil produsului dvs., dar pentru unele site-uri web, puteți activa alternativă adăugând un nume de gazdă la această preferință: (1) Într-o filă nouă, tastați sau inserați „""about:config" „” în bara de adrese și apăsați Enter/Return. Faceți clic pe butonul care promite să fiți atent. (2) În caseta de căutare de deasupra listei, tastați sau inserați „""TLS""" și întrerupeți în timp ce lista este filtrată (3) Faceți dublu clic pe preferința „""security.tls.insecure_fallback_hosts""" și, fie : (A) Dacă este gol, tastați sau inserați numele gazdei și faceți clic pe OK (B) Dacă unul sau mai multe alte nume de gazdă sunt deja listate, apăsați tasta Sfârșit pentru a merge la sfârșit, tastați o virgulă, apoi tastați sau lipiți nume de gazdă suplimentar și faceți clic pe OK

Proprietarul întrebării

Dacă adaug gazda la insecure_fallback_hosts, acum primesc: „Serverul a respins strângerea de mână deoarece clientul a retrogradat la o versiune TLS mai mică decât o acceptă serverul. Cod de eroare: SSL_ERROR_INAPPROPRIATE_FALLBACK_ALERT”

Serverul este configurat în prezent pentru TLSv1.2, TLSv1.1 și TLSv1.

Dacă adaug gazda la insecure_fallback_hosts, acum primesc: „Serverul a respins strângerea de mână deoarece clientul a retrogradat la o versiune TLS mai mică decât o acceptă serverul. Cod de eroare: SSL_ERROR_INAPPROPRIATE_FALLBACK_ALERT” Serverul este configurat în prezent pentru TLSv1.2, TLSv1. 1 și TLSv1.

Ei bine, TLS 1.0 este cel mai scăzut TLS de ambele părți, așa că această eroare nu are sens. Chiar nu știu ce se întâmplă acolo. Nu este așa cum au raportat utilizatorii altor servere (nu că pot citi tot ce este postat aici).

Voluntarul forumului poate replica eroarea de rezervă de conectare la server care acceptă TLS1.1 și TLS1.0, dar nu TLS1.2

Problemă de configurare a firewall-ului care provoacă un mesaj de eroare de rezervă

Serverul preferă cifrurile RC4 (problema în Firefox 36+):

Nu este clar dacă s-a rezolvat

BitDefender posibil vinovat

BitDefender a fost vinovat

Ei bine, TLS 1.0 este cel mai scăzut TLS de ambele părți, așa că această eroare nu are sens. Chiar nu știu ce se întâmplă acolo. Nu se comportă ca pe alte servere pe care utilizatorii le-au raportat (nu că pot citi tot ce este postat aici)..] - voluntarul forumului poate replica eroarea de rezervă de conectare la serverul care acceptă TLS1. 1 și TLS1.0, dar nu TLS1..0.2] - problemă de configurare a firewall-ului care provoacă un mesaj de eroare de rezervă Serverul preferă cifrurile RC4 (problema în Firefox 36+): - nu este clar dacă a fost rezolvat - BitDefender posibil vinovat - BitDefender a fost vinovat

Puteți încerca să creșteți temporar security.tls.version.min la 2 (sau 3) pentru a vedea ce efect are acest lucru.