在部署SSL证书中,会遇到一种特殊的错误,其一般于最新版win10操作系统中会出现,此时访问已部署了证书的站点,会显示如下:
Chrome 显示如下
此网站无法提供安全连接
xxx.com 使用了不受支持的协议。
ERR_SSL_VERSION_OR_CIPHER_MISMATCH
Firefox浏览器显示如下:
建立安全连接失败
连接到 xxx.com 时发生错误。 无法安全地与对等端通信:没有双方共用的加密算法。 错误代码: SSL_ERROR_NO_CYPHER_OVERLAP
由于不能验证所收到的数据是否可信,无法显示您想要查看的页面。
建议向此网站的管理员反馈这个问题。
微软IE和Edge浏览器显示如下:
无法安全地连接到此页面
这可能是因为该站点使用过期的或不安全的 TLS 安全设置。如果这种情况持续发生,请与网站的所有者联系。
根据索引,官方指向的问题是,此错误因为SSL证书因为基于老旧的SSL3.0协议才会出现,应该更新此证书。
(这样的错误,在win7\win8\win2012等旧系统上可能不会出现,在360等“包壳”浏览器最新版本上可能会出现直接站点打不开现象)。
然而,实际造成此问题的原因,是因为国内特殊的上网环境和域名解析造成的。
国内百度、阿里、360、腾讯等云服务商,为了更好的把控下端资源,提供名为“云解析”、“域名防护”、“网站云盾”之类的工具,此类工具使用前要求域名必须先解析别名到其提供的一个地址上去,然而这个地址并不支持443端口,这样就使SSL证书前后加密返回信息不一致,从而造成了这样的错误。
以下为典型域名解析表现(注意其域名是解析到了.360cloudwaf.com),其提供服务平台可能是http://wangzhan.360.com/:
同样的百度云也有这样的问题,在百度云中添加域名解析的时候默认开启了百度CDN,关闭CDN后https即可正常访问(这样的cdn事实上,只是针对解析的CDN,对于稳定的国内并无太大意义--只有站点的CDN才是真正的CDN,搜索引擎希望所有站长数据都通过自己的“网关”走一次,自然有其流量获取的考虑)。
解决方法:
1、云解析设为SSL支持,可寻求云解析服务商解决。
2、关闭此云解析,直接解析到服务器IP。
*注:自2017年始苹果、Google、微软等厂商都在推进SSL证书安全升级工作,加上中国政府网站安全审查等配套需求,站点如舍弃SSL安全加密,而依托于旧版“云解析”,是远远满足于企业安全需求,也无法实现诸如Google Pay、Google 移动、Apple应用市场等环境要求。
作者也是经过很多坑,花了九牛二虎之力找到答案,在此整理以飨来人。