Ошибка сессии SSL в POS-терминале — как исправить
С ошибками сессии SSL «0 -4», «0 -7» и «0 -19» часто сталкиваются владельцы банковских POS-терминалов Ingenico с GPRS/GSM модулем. В этой статье попробуем разобраться из-за чего возникают эти ошибки и как их исправить.
Ошибка сессии SSL: из-за чего возникает ошибка
Для начала разберемся, что вообще такое SSL и зачем он нужен в POS-терминалах. В «Википедии» написано следующее:
SSL (англ. Secure Sockets Layer — уровень защищённых сокетов) — криптографический протокол, который подразумевает более безопасную связь. Он использует асимметричную криптографию для аутентификации ключей обмена, симметричное шифрование для сохранения конфиденциальности, коды аутентификации сообщений для целостности сообщений. Протокол широко использовался для обмена мгновенными сообщениями и передачи голоса через IP (англ. Voice over IP — VoIP) в таких приложениях, как электронная почта, интернет-факс и др.
Всю статью сюда не буду копировать, если интересно почитайте на сайте «Википедии».
Если по нашей теме и простым языком, то SSL служит для обеспечения безопасной передачи данных о совершаемых платежах (сессия) между клиентским POS-терминалом, процессинговым центром и банком. Во время сессии SSL передаются такие данные, как идентификационный номер сессии (ID номер), сертификаты сторон, параметры шифрования и прочее.
Сам по себе протокол довольно «тяжелый» и для успешного завершения передачи данных требуется обеспечить надежный и стабильный канал связи, к которым GPRS 2G, к сожалению не относится. Высокая загруженность и маленькая ширина канала GPRS 2G (GSM) — это и есть основные проблемы из-за которой возникает ошибка сессии SSL.
Для лучшего понимания, — через сети GPRS 2G (GSM) передаются не только данные, но и почти весь голосовой трафик и ширины канала GPRS 2G (GSM) может попросту не хватить для успешного завершения обмена данными. А если в месте, где установлен терминал еще и сигнал слабый или сильно забитый канал, например крупный торговый центр, офисное здание или глухая деревенька, то обрывы связи почти гарантированы.
Такая же ошибка может возникнуть если у одной из сторон просрочен сертификат, но это крайне редкий случай — процессинг и банки строго следят за этим, к тому же процесс выпуска и перевыпуска сертификатов, как правило, полностью автоматизированы. С возникновением ошибки SSL из-за просроченного сертификата нам сталкиваться не приходилось.
Ошибка сессии SSL: как исправить
Самое главное — обеспечить стабильный канал связи для передачи данных. Других вариантов нет. Совсем нет. Но можно попробовать сделать следующее:
Переместить терминал в другое место. Если POS-терминал плохо работает в одном месте, попробуйте перенести его в другое помещение, — часто это помогает. Но не всегда есть такая возможность, например — касса в магазине, где терминал установлен в зоне кассира и перенести его можно только вместе с кассиром. Согласен, так себе вариант. Тогда переходим на следующий этап.
Меняем SIM-карту. Пробуем сим карты разных операторов сотовой связи, пока не найдем оптимальный вариант по качеству связи. Помучиться придется недолго, — вариантов у вас не особо много. Если что, у нас есть бесплатные сим карты МТС, вдруг подойдет.
Ставим усилитель сотового сигнала. Если предыдущий вариант не помог, то попробуйте установить усилитель сотового сигнала. Этот вариант для особо упорных. Правда это может только усилить сигнал, но если канал связи сильно забит, то вряд ли данный метод поможет исправить ситуацию.
Подключаем проводной интернет. Если в POS-терминале есть стандартный порт Ethernet для подключения интернет-кабеля, но сам проводной интернет в помещении не проведен, то покупаем роутер с USB разъемом, подключаем в него 4G модем (тоже придется докупить) любого оператора сотовой связи и подключаем терминал кабелем к роутеру. Метод рабочий и спасал не один раз. Только убедитесь, что сигнал 3G/4G выбранного оператора стабильно ловит в месте установки терминала, а то скажете, что не предупреждали.
Покупаем POS-терминал с 3G модулем. Если все предыдущие варианты не помогли или было лень делать, то просто сразу покупаем POS-терминал с встроенным 3G модулем и радуемся жизни. Ширина канала 3G больше и обеспечивает стабильную передачу данных на более высоких скоростях, чем GPRS 2G (GSM). Опять же, — сначала убедитесь, что связь 3G хорошо «ловит» в месте установки POS-терминала. Метод рабочий, но придется раскошелиться.
Вариант с роутером и 4G модемом часто выходит дешевле, если говорить о стационарных POS-терминалах. Если терминал переносной, то вариантов немного, — надеяться, что GPRS 2G (GSM) будет хорошо «ловить» или сразу доплатить и купить терминал с 3G. Кстати, может слышали такую поговорку: «Лучший способ не расстраиваться — это не надеяться».
***
Минуточку! А где вариант, что POS-терминал плохо работает или вообще сломался и поэтому часто выходит ошибка сессии SSL? Конечно же спросите вы. Не спорю, такой вариант возможен. Только вот если в терминале вышел из строя GPRS/GSM/3G модуль, то связи не будет вообще никакой, терминал даже сим карту не увидит.
А ошибка сессии SSL как бы намекает нам, что данные переданы и получены, но не все — из-за обрыва связи.Еще иногда помогает перезагрузка POS-терминала. Но это скорее временное решение проблемы. Расширить или освободить канал связи перезагрузка не поможет.
На этом вроде бы все. Благодарю за внимание. Если есть вопросы, — пишите в комментариях, обсудим.
Успехов в вашем бизнесе!
Исправление ошибки SSL-сессии в POS-терминале
Исправление ошибки SSL-сессии в пос-терминале
Частым возникновением ошибки SSL-сессии страдают пос-терминалы марки Ingenico, обладающие GPRS/GSM-модулями. Возникают следующие типы ошибок: «0 — 4», «0 -19» и «0 -7». Постараемся понять, в связи с чем данные неполадки появляются и как их устранить.
Что понимается под ошибкой сессии SSL?Первым делом, определим, что представляет собой SSL и для чего используется пос-устройствами. Википедия гласит:
SSL (с англ.
Говоря по-простому, SSL обеспечивает безопасность передачи информации о проходящих транзакциях между пос-аппаратом, процессинговым центром и банковским отделением. Передаваться может следующая информация: идентификационные номера сессии, сертификаты каждой из сторон, шифровальные параметры и др.
Протокол является тяжелым, чтобы успешно завершить передачу сведений необходимо обеспечение налаженным и бесперебойным каналом связи. GPRS 2G-канал такой надежностью не обладает, имеет маленькую ширину, в результате чего при большой загруженности появляется ошибка SSL-сессии.
Способы устранения ошибки сессии SSLСамым важным и главным выступает обеспечение стабильного канала связи, другие варианты отсутствуют, но возможно попытаться поэкспериментировать:
Перемещение пос-терминала в другую зону (место). Иногда, переместив терминал на новое место, устройство начинает работать лучше и без сбоев. Просто бывает так, что не имеется возможности осуществить такое действие.
Смена SIM-карты. Можно испробовать симки различных сотовых операторов, выбрав самую качественную и оптимальную мобильную связь.
Установка усилителя сотового сигнала. Если вышеупомянутый способ не помог, то особо настырные могут попробовать установить усилитель, но метод может оказаться недейственным при сильно забитом канале связи.
Подключение проводного интернета. Если пос-аппарат обладает Ethernet-портом, но самого проводного интернета в помещении нет, следует осуществить покупку роутера с USB-разъемом, в который подключается 4G-модем (его так же покупаем), принадлежащий любому сотовому оператору, далее терминал осуществляет коннект с роутером посредством кабеля. Способ является проверенным и успешным. Главное убедиться, что 3G/4G-сигнал стабилен в том месте, где стоит терминал.
Покупка пос-терминала с 3G-модулем. В том случае, если все вышеперечисленные способы оказались бестолковыми, или вы их не использовали, то проще всего купить пос-аппарат, обладающий внедренным 3G-модулем, после приобретения можно сразу приступать радоваться жизни, но перед этим убедиться в том, что 3G-связь стабильна, нужно обязательно. Этот способ безотказный, но более затратный.
У многих возникает вопрос: «Может ли возникать SSL-ошибка, если терминал вообще вышел из строя (сломался)?». Ответ прост: если в пос-аппарате сломались GPRS/GSM/3G-модули, то о наличии какой-либо связи можно вообще забыть, устройство не сможет увидеть и сим-карты. А само возникновение ошибки SSL-сессии дает намек на то, что информация была передана и принята, но не в полном объеме, потому что связь оборвалась.
Бывает, что помогает осуществление простой перезагрузки пос-аппарата, но, чаще всего, это служит временным решением, а сама проблема никуда не исчезает.
Благодарим за прочтение, надеемся, что статья была полезной, желаем процветания и безошибочности Вашему бизнесу!
Обращаем внимание, что на просторах нашего интернет-магазина Вы найдете большое количество различных POS-терминалов на любой вкус и кошелек: https://mirbeznala.ru/collection/kategoriya-1
Ошибка сессии SSL 0 -4 на терминале Ingenico iWL220: решение
Сегодня существует множество вариантов мобильных кассовых аппаратов, которые активно используются в сфере продажи или оказания разнообразных услугу. Один из них – Ingenico iWL220.
Особенности этого эквайрингового терминала заключаются в следующем:
- Предназначен для обслуживания клиентов, которые предпочитают использовать безналичный способ оплаты за оказанную услугу или приобретенный товар. То есть, применяют карточки для оплаты;
- Обладает небольшими, компактными размерами и легкостью. Это очень удобно, когда приходится терминал носить постоянно с собой;
- Для передачи данных Ingenico iWL220 используется технология Bluetooth или GPRS. Для второго варианта в оборудование изначально устанавливается Симка от Билайна, подключенная к максимально выгодному тарифу «М2М»;
- Внутри также можно обнаружить аккумуляторную батарею повышенной мощности, которая позволяет пользоваться кассовым оборудованием длительное время без постоянной подзарядки.
К сожалению, но как и все остальное оборудование такого типа, эксплуатация именно этого кассового аппарата не является гарантией отсутствия каких-либо сбоев. Например, люди часто жалуются на то, что на терминале периодически возникает непонятная им ошибка сессии SSL 0 -4. И они не знаю, как с ней бороться.
Проблема усложняется тем, что от официальных разработчиков так и не появилась какое-либо вразумительное объяснение этого состояния. Поэтому пользователям приходиться самостоятельно искать ответы на свои вопросы.
Мы тщательно прошерстили многочисленные специализированные форумы, где люди пишут о возникновении именно такой ошибки. После чего – собрали в одном месте, в этой статье все ответы, которые им дали другие пользователи. То есть, решения, которые могут помочь в избавлении от этого весьма неприятного сбоя.
Ошибка сессии SSL 0 -4 – возможные пути решения
Итак, данный сбой очень часто выглядит следующим образом:
- Пользователь уверен, что сим-карта присутствует, и она правильно установлена;
- Деньги на симке есть и достаточно количестве. Карточка находится в полностью активном состоянии;
- При попытке произвести оплату банковской картой на терминале высвечивается именно эта ошибка соединения.
Первое предположение, которое мы встретили на страницах специализированных форумов, было утверждение о том, что причиной такого состояния является отсутствие нужного сертификата. Но другие люди, которые достаточно долго используют это оборудование, сразу же отвергли его, так как, по их сообщениям, в таком случае на экране возникает совершенно иное уведомление. А именно – «Ошибка загрузки SSL-сертификата». Большинство же, в этой ситуации склоняются к тому, что причиной сбоя является качество сотовой связи.
Отзывы
Мы предлагаем ознакомиться с наиболее популярными рекомендациями и теми решениями, которые помогли – по утверждениям ответивших на описание проблемы людей:
- Даже если в системе индикатор сигнала связи показывается высоким, это не означает, что так на самом деле. Как вариант – попробуйте использоваться симку другого оператора, покрытие которого, в месте нахождения терминала, более качественное.
- Используемый в этой системе SSL/TLS-протокол относится к разряду «Тяжелых». На другом оборудовании, где используется классическое интернет-соединение, это не является проблемой. А вот здесь, в терминале, работающем на GPRS передаче данных, часто возникает подобная ситуация. Что можно сделать? Во-первых, можно полностью отказаться от шифрования такого трафика, так как такие программы, как SecureISO, еще больше его «утяжеляют». Но это приведет к снижению уровня защиты и безопасности. Тогда что? Постараться найти наиболее стабильный вариант передачи данных по GPRS в данном регионе.
- Да, иногда выделенный канал связи для передачи информации просто не справляется со своими обязанностями. Иногда даже небольшие препятствия способны привести к такому неприятному результату. Например, у нас в конторе однажды столкнулись с этой проблемой. Сидели, около часа разбирались, что не так. А потом решили перенести терминал в другое помещение, чтобы продолжить разбирательство. Как только оказались во второй комнате, ошибка сразу же исчезла!
- Не знаю, поможет ли вам мое решение. Лично на собственном оборудовании, после того, как его реализовал, больше ни разу не возникали проблемы со связью. Что нужно сделать: перейти через Telium/Initialization/Parametrs в network access. В этом разделе следует прописать для GPRS параметр «apn». Дальше – ввести пароль с логином. Затем выставить следующее: «gateway 0», «Start link PPP», «GPRS/GSM», «Provider – No». Выполнить сохранение новых настроек и перезагрузку устройства. Вернуться таким же образов в тот же раздел – network access. В нем выбрать Pstn – X25. Еще раз сохраниться и перезапустить оборудование. Мне этого оказалось достаточно.
- Я когда-то по работе сталкивался с этой неприятностью. Решали достаточно быстро. Меняли SIM-карту на другую. И обязательно в «Переменных» прописывали название нового оператора.
Итак, подведем итоги. Что чаще всего советуют пользователи, чтобы избавиться от этой проблемы:
- Обеспечить более качественную передачу данных с помощью нахождения в месте, где нет проблем с сигналом;
- Перейти на услуги другого оператора мобильной связи, если предоставляемое им покрытие в месте эксплуатации такого кассового терминала лучше;
- Изменить некоторые настройки в оборудовании;
- Постараться снизить нагрузку на канал GPRS.
Других вариантов избавления от этой ошибки, связанной с работой кассового аппарата Ingenico iWL220, мы пока не обнаружили. Если вам известны альтернативные решения, обязательно сообщите нам.
Руководство по эксплуатации терминала Ingenico ICT220
Настоящее руководство по эксплуатации терминала Ingenico ICT220 поможет обеспечить безопасный прием карточных платежей через терминал.
Настольные платежные терминалы ICT2хх оборудованы:
- клавиатурой из 19-ти клавиш (15 + 4 функциональные клавиши)
- графическим дисплеем с подсветкой (128 x 64)
- ридером смарт-карт
- ридером магнитных карт
- бесконтактным ридером карт (опционально)
- USB-портом для подключения к компьютеру
- принтером.
Терминалы ICT250 отличаются от ICT220 наличием цветного дисплея.
Устранение неисправностей терминала Ingenico ICT220
Терминал не включается или не подключается к телефонной линии
- Проверьте кабель питания и телефонные провода.
- Проверьте работу электросети.
Не удается установить телефонное подключение
- Проверьте, что линия свободна.
- Проверьте настройки телефонной линии и номер вызова.
- Вызовите службу поддержки.
Не читается карта
- Проверьте, что магнитная карта вставляется верно (магнитной полосой к терминалу).
- Проведите карту еще раз одним быстрым движением.
- Убедитесь, что магнитная полоса не повреждена и не поцарапана.
- Убедитесь, что Вы верно вставили смарт-карту в ридер и вытащили лишь после выполнения транзакции.
Не печатаются чеки
- Проверьте наличие и верное расположение бумаги для чеков. Расположите рулон, следуя инструкциям в руководстве.
- Проверьте тип используемой бумаги (должна быть использована термобумага).
Более подробную информацию вы можете найти в инструкции, которую можете скачать тут.
P.S. Если у Вас возникли проблемы с терминалом, выскакивают непонятные ошибки, не можете загрузить конфигурацию — Вы можете заказать у нас настройку терминалов Ingenico ! Условия — тут.
POS-терминал бесконтактный в Челябинске
Подключить терминал Ingenico iWL220/250 (228/258) к сети Wi-Fi чуть сложнее, чем подключить мобильный телефон, но порядо..
Идея о создании централизованной программы маркировки и отслеживания товаров на территории России начала обретать форму . .
Что такое электронная подпись? ЭЦП (электронная цифровая подпись) —полноценная, в юридическом плане, замена «.
Ситуацию, когда на терминале Ingenico не реагируют кнопки на нажатие, я не могу назвать сильно распространенной. Клиенты..
Поправки в Налоговый кодекс обещают оказаться губительными для представителей микробизнеса. Но полная отмена ЕНВД произо..
Электронный документооборот (ЭДО) — документооборот, который основан на передаче документов в электронном виде. До..
С ошибками сессии SSL «0 -4», «0 -7» и «0 -19» часто сталкиваются владельцы банковск..
Если терминалу не удается установить соединение с банком для проведения транзакции, то на экране появится надпись «.
Иногда к нам обращаются клиенты с проблемой замятия чековой ленты в терминале. Стоит отметить, что проблема касается тол..
Подключение POS-терминала Ingenico iPP320 к кассе Эвотор не займет много времени, — максимум 10-15 минут. Все, что..
Вопрос подключения банковского POS-терминала к онлайн-кассе становится все актуальнее ввиду стремительного распространен. .
Возможность подключение внешнего пин-пада к POS-терминалу изначально заложена производителем, в-первую очередь, для созд..
Вопрос регистрации POS-терминала в налоговой периодически возникает в умах наших покупателей, когда приобретают оборудов..
Мигающая надпись Unauthorized на экране POS-терминалов Ingenico означает только одно — самое время обратиться в се..
Изменение размера (переразбивка, разметка) системной памяти необходимо, когда во время прошивки на экране POS-терминалов..
А что такое CTLS (ктлс)? А как это расшифровывается? Как переводится Contactless? Что означает PayPass и payWave? Нашим ..
Я знал, что рано или поздно придется написать статью на эту тему. Подобный вопрос и раньше задавали клиенты, но до вскры..
Как говорится, дело было вечером, делать было нечего. Мне стало интересно, на каком максимальном расстоянии происходит с..
Статья будет особенно полезной для тех, кто хочет купить б/у POS-терминал для эквайринга в Крыму. На примере РНКБ и Генб..
Ошибка Alert Irruption в POS-терминалх Ingenico, пожалуй, самая неприятная из всех возможных. В этой статье постараюсь м..
Намедни к нам обратился клиент с вопросом: Можно ли перерегистрировать онлайн кассу, купленную с рук и если можно, то ка..
Собрали самые популярные ошибки при использовании онлайн касс. Обязательно посмотрите и внесите необходимые исправления,..
Написать эту инструкцию предложил один из наших клиентов, который обратился с вопросом: Как сделать возврат по терминалу..
Всем привет. Сегодня поговорим о налогах для продавца, касательно приема платежей через POS-терминал. Разберем два основ..
Для начала позвольте выразить вам свое сочувствие, ситуация довольно паршивая, понимаю. Я и сам проходил через это, но м..
Наши клиенты часто спрашивают нас: какие документы нужны для заключения договора эквайринга? Многие думают, что список д..
54-ФЗ об обязательном применении онлайн касс продавцами наделал много шуму и еще 2-3 месяца после принятия закона никто . .
Не все знают, что в POS-терминалах Ingenico iCT250 и iWL250 по умолчанию (за исключением совсем уж старых устройств) уст..
Прежде чем ответить на вопрос: чем отличаются терминалы Ingenico iCT220/250 A98 и C98? мы проведем небольшой ликбез..
Мы уже о многом вам рассказали, касаемо POS-терминалов. Но как-то упустили из виду такие устройства, как мобильные POS-т..
Наверное, каждый из нас хоть раз задумывался о том, чтобы начать работать на себя. Выбираешь нишу, открываешь ИП и впере..
А вы уже пробовали принимать оплату от ваших клиентов через POS-терминал с помощью платежных сервисов Apple Pay, Samsung..
В этой статье речь пойдет непосредственно об онлайн кассах, которые еще называют кассовый аппарат с фискальным накопител..
Хотите узнать, может ли ваш POS-терминал принимать карты национальной платежной системы МИР? Конечно хотите, а значит са..
Сегодня я хочу рассказать вам об одном очень важном моменте при покупке POS-терминалов Ingenico, б/у или новых, не имеет. .
Представим, что вы купили б/у POS-терминал Ingenico и после включения на экране ничего не увидели, кроме странной надпис..
На дворе 2020 год, а большинство покупателей до сих пор не знают, что их банковские карточки поддерживают бесконтактный ..
К нам очень часто обращаются клиенты, желающие купить б/у POS-терминал для торгового эквайринга в Сбербанке или ВТБ24. Н..
Покупатели часто путают эти два (а точнее сказать три) типа устройств и задают один и тот же вопрос: в чем разница между..
Продать POS-терминал или другое торговое оборудование — первая мысль, которая возникает после закрытия бизнес..
Один из самых популярных вопросов от наших клиентов, которые приобретают POS-терминал с GPRS модулем.
..
Хотите проверить баланс SIM-карты в вашем POS-терминале Ingenico/Verifone, но не знаете, как это сделать? Тогда читайте ..
Вот, что больше всего читали наши посетители в последнее время. Если пропустили — самое время наверстать.
..
Терминал пишет ошибка сессии ssl 0-4
терминал пишет ошибка сессии ssl 0-4С ошибками сессии SSL «0 -4», «0 -7» и «0 » часто сталкиваются владельцы банковских POS-терминалов Ingenico с GPRS/GSM модулем. В этой статье попробуем разобраться из-за чего возникают эти ошибки и как их исправить.
ВКонтакте – универсальное средство для общения и поиска друзей и одноклассников, которым ежедневно пользуются десятки миллионов человек. Мы хотим, чтобы друзья, однокурсники, одноклассники, соседи и коллеги всегда оставались в контакте. ВКонтакте – универсальное средство для общения и поиска друзей и одноклассников, которым ежедневно пользуются десятки миллионов человек.
Мы хотим, чтобы друзья, однокурсники, одноклассники, соседи и коллеги всегда оставались в контакте. С ошибками сессии SSL «0 -4», «0 -7» и «0 » часто сталкиваются владельцы банковских POS-терминалов Ingenico с GPRS/GSM модулем. В этой статье попробуем разобраться из-за чего возникают эти ошибки и как их исправить.
ВКонтакте – универсальное средство для общения и поиска друзей и одноклассников, которым ежедневно пользуются десятки миллионов человек. Мы хотим, чтобы друзья, однокурсники, одноклассники, соседи и коллеги всегда оставались в контакте.
С ошибками сессии SSL «0 -4», «0 -7» и «0 » часто сталкиваются владельцы банковских POS-терминалов Ingenico с GPRS/GSM модулем. В этой статье попробуем разобраться из-за чего возникают эти ошибки и как их исправить.
ВКонтакте – универсальное средство для общения и поиска друзей и одноклассников, которым ежедневно пользуются десятки миллионов человек. Мы хотим, чтобы друзья, однокурсники, одноклассники, соседи и коллеги всегда оставались в контакте.
Похожее:
Терминал ошибка сессии ssl 0-4
терминал ошибка сессии ssl 0-4ВКонтакте – универсальное средство для общения и поиска друзей и одноклассников, которым ежедневно пользуются десятки миллионов человек. Мы хотим, чтобы друзья, однокурсники, одноклассники, соседи и коллеги всегда оставались в контакте. Большую часть времени пользователи компьютеров проводят в интернете. В браузере они знакомятся с новостями, просматривают фильмы, играют и делают многое другое. Большую часть времени пользователи компьютеров проводят в интернете. В браузере они знакомятся с новостями, просматривают фильмы, играют и делают многое другое.
ВКонтакте – универсальное средство для общения и поиска друзей и одноклассников, которым ежедневно пользуются десятки миллионов человек. Мы хотим, чтобы друзья, однокурсники, одноклассники, соседи и коллеги всегда оставались в контакте.
С ошибками сессии SSL «0 -4», «0 -7» и «0 » часто сталкиваются владельцы банковских POS-терминалов Ingenico с GPRS/GSM модулем.
В этой статье попробуем разобраться из-за чего возникают эти ошибки и как их исправить.
Большую часть времени пользователи компьютеров проводят в интернете. В браузере они знакомятся с новостями, просматривают фильмы, играют и делают многое другое. ВКонтакте – универсальное средство для общения и поиска друзей и одноклассников, которым ежедневно пользуются десятки миллионов человек. Мы хотим, чтобы друзья, однокурсники, одноклассники, соседи и коллеги всегда оставались в контакте. ВКонтакте – универсальное средство для общения и поиска друзей и одноклассников, которым ежедневно пользуются десятки миллионов человек.
Мы хотим, чтобы друзья, однокурсники, одноклассники, соседи и коллеги всегда оставались в контакте.
Похожее:
Как исправить ошибку «SSL Handshake Failed» (5 методов)
Установка сертификата Secure Sockets Layer (SSL) на ваш сайт WordPress позволяет использовать HTTPS для обеспечения безопасных соединений. К сожалению, в процессе подтверждения действительного SSL-сертификата и установления соединения между сервером вашего сайта и браузером посетителя могут возникнуть различные ошибки.
Если вы столкнулись с сообщением об ошибке «SSL Handshake Failed» и не понимаете, что это означает, вы не одиноки.Это распространенная ошибка, которая сама по себе мало что вам скажет. Хотя это может вызвать разочарование, хорошая новость заключается в том, что есть простые шаги, которые вы можете предпринять для решения проблемы.
В этом посте мы объясним, что такое ошибка SSL Handshake Failed и что ее вызывает. Затем мы предложим вам несколько методов, которые вы можете использовать, чтобы исправить это.
Приступим!
Введение в SSL-рукопожатие
Прежде чем мы углубимся в то, что вызывает сбой подтверждения TLS или SSL, полезно понять, что такое рукопожатие TLS / SSL.Secure Sockets Layer (SSL) и Transport Layer Security (TLS) — это протоколы, используемые для аутентификации передачи данных между серверами и внешними системами, такими как браузеры.
сертификатов SSL необходимы для защиты вашего сайта с помощью HTTPS. Мы не будем вдаваться в подробности о разнице между TLS и SSL, поскольку она незначительна. Эти термины часто используются как синонимы, поэтому для простоты мы будем использовать «SSL» для обозначения обоих.
Таким образом, подтверждение связи SSL — это первый шаг в процессе установления соединения HTTPS.Для аутентификации и установления соединения браузер пользователя и сервер веб-сайта должны пройти серию проверок (рукопожатие), которые устанавливают параметры соединения HTTPS.
Поясним: клиент (обычно браузер) отправляет запрос на безопасное соединение с сервером. После отправки запроса сервер отправляет открытый ключ на ваш компьютер и проверяет этот ключ по списку сертификатов. Затем компьютер генерирует ключ и шифрует его, используя открытый ключ, отправленный с сервера.
Короче говоря, без подтверждения SSL безопасное соединение не будет. Это может представлять значительную угрозу безопасности. Кроме того, в процессе задействовано множество движущихся частей.
Это означает, что существует множество различных возможностей того, что что-то пойдет не так и вызовет сбой рукопожатия или даже приведет к ошибке «ваше соединение не является частным», в результате чего посетители уйдут.
Столкнулись с ошибкой «SSL Handshake Failed»? 🤝 Получите представление о том, как решить эту проблему с помощью этих 5 методов ⤵️Нажмите, чтобы твитнутьПонимание причин сбоев установления связи SSL
Ошибка установления связи SSL или ошибка 525 означает, что сервер и браузер не смогли установить безопасное соединение.Это может произойти по разным причинам.
Обычно ошибка 525 означает, что установление связи SSL между доменом, использующим Cloudflare, и исходным веб-сервером не удалось:
Ошибка 525 Сообщение об ошибке установления связи SSL в Google Chrome
Однако также важно понимать, что ошибки SSL могут возникать на стороне клиента или на стороне сервера. К распространенным причинам ошибок SSL на стороне клиента относятся:
- Неправильная дата или время на клиентском устройстве.
- Ошибка конфигурации браузера.
- Соединение, перехватываемое третьей стороной.
Некоторые причины на стороне сервера включают:
- Несоответствие набора шифров.
- Протокол, используемый клиентом, не поддерживаемый сервером.
- Сертификат, который является неполным, недействительным или просроченным.
Обычно, если квитирование SSL не удается, проблема может быть связана с чем-то неправильным с веб-сайтом или сервером и их конфигурациями SSL.
Как исправить ошибку сбоя установления связи SSL (5 методов)
Существует несколько возможных причин ошибки «SSL Handshake Failed». Поэтому однозначного ответа на вопрос о том, как это исправить, не существует.
К счастью, есть несколько методов, которые можно использовать, чтобы начать изучать потенциальные проблемы и решать их по очереди. Давайте рассмотрим пять стратегий, которые вы можете использовать, чтобы попытаться исправить ошибку SSL Handshake Failed.
1. Обновите системную дату и время
Давайте начнем с одной из самых маловероятных причин, но ее невероятно легко исправить, если — это проблема: часы вашего компьютера.
Если ваша система использует неправильную дату и время, это может прервать квитирование SSL. Если системные часы отличаются от фактического времени, например, если они установлены слишком далеко в будущее, это может помешать проверке сертификата SSL.
Часы вашего компьютера могли быть установлены неправильно из-за человеческой ошибки или просто из-за сбоя в ваших настройках. Какой бы ни была причина, рекомендуется проверить правильность системного времени и обновить его, если это не так.
Конечно, если ваши часы показывают правильную информацию, можно с уверенностью предположить, что это не является источником проблемы «SSL Handshake Failed».
2. Проверьте, действителен ли ваш сертификат SSL
Срок действия SSL-сертификатов указывается, чтобы гарантировать точность их проверочной информации. Обычно срок действия этих сертификатов составляет от шести месяцев до двух лет.
Если сертификат SSL отозван или срок его действия истек, браузер обнаружит это и не сможет выполнить квитирование SSL.Если с тех пор, как вы установили сертификат SSL на свой веб-сайт, прошло больше года, возможно, пришло время его повторно выпустить.
Для просмотра статуса вашего SSL-сертификата вы можете использовать инструмент проверки SSL-сертификатов, например, предлагаемый Qualys:
Инструмент тестирования SSL-сервера на веб-сайте Qualys
Этот инструмент надежен и бесплатен. Все, что вам нужно сделать, это ввести свое доменное имя в поле Hostname , а затем нажать Submit .Как только программа проверки закончит анализ конфигурации SSL вашего сайта, она выдаст вам несколько результатов:
Подпишитесь на информационный бюллетень
Хотите узнать, как мы увеличили наш трафик более чем на 1000%?
Присоединяйтесь к 20 000+ других, которые получают нашу еженедельную рассылку с инсайдерскими советами WordPress!
Подпишитесь сейчасСтраница результатов средства проверки Qualys SSL
На этой странице вы можете узнать, действителен ли ваш сертификат, и посмотреть, был ли он отозван по какой-либо причине.
В любом случае обновление вашего SSL-сертификата должно устранить ошибку рукопожатия (и жизненно важно для обеспечения безопасности вашего сайта и вашего магазина WooCommerce).
3. Настройте свой браузер для новейшей поддержки протокола SSL / TLS
Иногда лучший способ определить основную причину проблемы — устранить ее. Как мы упоминали ранее, сбой подтверждения SSL часто может происходить из-за неправильной конфигурации браузера.
Самый быстрый способ определить, является ли проблема конкретным браузером, — это попробовать переключиться на другой.Это может, по крайней мере, помочь сузить проблему. Вы также можете попробовать отключить любые плагины и вернуть в браузере настройки по умолчанию.
Другая потенциальная проблема, связанная с браузером, — это несоответствие протокола. Например, если сервер поддерживает только TLS 1.2, а браузер настроен только на TLS 1.0 или TLS 1.1, взаимно поддерживаемый протокол отсутствует. Это неизбежно приведет к сбою подтверждения SSL.
Как проверить, возникает ли эта проблема, зависит от используемого браузера.В качестве примера рассмотрим, как этот процесс работает в Chrome. Сначала откройте браузер и перейдите к Settings > Advanced . Это расширит ряд пунктов меню.
В разделе System нажмите Откройте настройки прокси-сервера вашего компьютера :
Страница системных настроек в Google Chrome
Откроется новое окно. Затем выберите вкладку Advanced . В разделе Безопасность проверьте, установлен ли флажок рядом с Использовать TLS 1.2 выбрано. Если нет, выберите этот вариант:
Расширенные настройки свойств Интернета в Windows
Также рекомендуется снять флажки для SSL 2.0 и SSL 3.0.
То же самое относится к TLS 1.0 и TLS 1.1, поскольку они постепенно прекращаются. Когда вы закончите, нажмите кнопку OK и проверьте, была ли устранена ошибка установления связи.
Обратите внимание, что если вы используете Apple Safari или Mac OS, нет возможности включить или отключить протоколы SSL.По умолчанию TLS 1.2 включен автоматически. Если вы используете Linux, вы можете обратиться к руководству Red Hat по усилению защиты TLS.
4. Убедитесь, что ваш сервер правильно настроен для поддержки SNI
Также возможно, что сбой подтверждения SSL вызван неправильной конфигурацией индикации имени сервера (SNI). SNI — это то, что позволяет веб-серверу безопасно размещать несколько сертификатов TLS для одного IP-адреса.
Каждый веб-сайт на сервере имеет собственный сертификат. Однако, если сервер не поддерживает SNI, это может привести к сбою подтверждения SSL, поскольку сервер может не знать, какой сертификат предоставить.
Есть несколько способов проверить, требуется ли сайту SNI. Один из вариантов — использовать Qualys SSL Server Test, который мы обсуждали в предыдущем разделе. Введите доменное имя своего сайта и нажмите кнопку Отправить .
На странице результатов найдите сообщение «Этот сайт работает только в браузерах с поддержкой SNI»:
Страница сводных результатов инструмента проверки SSL Qualys
Другой подход для определения того, использует ли сервер SNI, — это просмотреть имена серверов в сообщении «ClientHello».Это более технический процесс, но он может дать много информации.
Он включает проверку расширенного заголовка приветствия для поля «server_name», чтобы увидеть, представлены ли правильные сертификаты.
Если вы знакомы с такими инструментами, как OpenSSL toolkit и Wireshark, этот метод может показаться вам предпочтительным. Вы можете использовать openssl s_client
с опцией -servername
и без нее:
# без SNI
$ openssl s_client -connect хост: порт
# использовать SNI
$ openssl s_client -connect host: port -servername host
Если вы получаете два разных сертификата с одинаковым именем, это означает, что SNI поддерживается и правильно настроен.
Однако, если выходные данные в возвращаемых сертификатах отличаются или вызов без SNI не может установить соединение SSL, это означает, что SNI требуется, но неправильно настроен. Для решения этой проблемы может потребоваться переключение на выделенный IP-адрес.
5. Убедитесь, что наборы шифров совпадают.
Если вам все еще не удалось определить причину сбоя подтверждения SSL, возможно, это связано с несоответствием набора шифров. Если вы не знакомы с этим термином, «комплекты шифров» относятся к набору алгоритмов, включая алгоритмы для обмена ключами, массового шифрования и кода аутентификации сообщений, которые могут использоваться для защиты сетевых подключений SSL и TLS.
Если комплекты шифров, которые использует сервер, не поддерживают или не соответствуют тому, что используется Cloudflare, это может привести к ошибке «SSL Handshake Failed».
Когда дело доходит до определения несоответствия набора шифров, Qualys SSL Server Test снова оказывается полезным инструментом.
Когда вы вводите свой домен и нажимаете Отправить , вы увидите страницу сводного анализа. Вы можете найти информацию о шифровании в разделе Cipher Suites :
Раздел Cipher Suites в отчете Qualys SSL
Вы можете использовать эту страницу, чтобы узнать, какие шифры и протоколы поддерживает сервер.Обратите внимание на все, у кого есть статус «слабый». Кроме того, в этом разделе также подробно описаны конкретные алгоритмы для наборов шифров.
Чтобы исправить эту проблему, вы можете сравнить результаты с тем, что поддерживает ваш браузер, используя возможности Qualys SSL / TLS вашего браузера. Для получения более подробной информации и рекомендаций о наборах шифров мы также рекомендуем ознакомиться с руководством ComodoSSLStore.
Смущает сообщение об ошибке «SSL Handshake Failed»? В этом руководстве объясняется, что это такое, и, самое главное, 5 способов исправить это 🙌Нажмите, чтобы написать твитСводка
Одной из наиболее сложных, но распространенных проблем, связанных с SSL, является ошибка «SSL Handshake Failed». Работа с этой ошибкой может быть сложной задачей, поскольку она имеет множество потенциальных причин, включая проблемы как на стороне клиента, так и на стороне сервера.
Однако есть несколько надежных решений, которые можно использовать для выявления проблемы и ее решения. Вот пять способов исправить ошибку SSL Handshake Failed:
- Обновите системную дату и время.
- Проверьте, действителен ли ваш сертификат SSL (и при необходимости выпустите его повторно).
- Настройте свой браузер для поддержки последних версий TLS / SSL.
- Убедитесь, что ваш сервер правильно настроен для поддержки SNI.
- Убедитесь, что комплекты шифров совпадают.
Если вам понравилось это руководство, то вам понравится наша поддержка. Все планы хостинга Kinsta включают круглосуточную поддержку наших опытных разработчиков и инженеров WordPress. Общайтесь с той же командой, которая поддерживает наших клиентов из списка Fortune 500. Ознакомьтесь с нашими тарифами
ошибок при попытке приложений подключиться к SQL Server в Windows — Windows Server
- 000Z» data-article-date-source=»ms.date»> 21.09.2020
- 5 минут на чтение
В этой статье
Эта статья помогает устранить проблему, которая возникает, когда приложение пытается открыть соединение с SQL Server.
Применимо к: Windows Server 2019, Windows Server 2016
Исходный номер базы знаний: 4557473
Симптомы
Когда приложение пытается открыть соединение с SQL Server, отображается одно из следующих сообщений об ошибке:
Соединение с сервером было успешно установлено, но во время входа в систему произошла ошибка. (поставщик: поставщик SSL, ошибка: 0 — существующее соединение было принудительно закрыто удаленным узлом.)
Соединение с сервером было успешно установлено, но затем произошла ошибка во время квитирования перед входом в систему. (поставщик: поставщик TCP, ошибка: 0 — существующее соединение было принудительно закрыто удаленным узлом. )
Если вы включили ведение журнала SChannel на сервере, вы получите событие с кодом 36888 (было сгенерировано критическое предупреждение) при возникновении проблемы.
Примечание
- В зависимости от поставщика или драйвера, который вы используете, сообщение об ошибке может незначительно отличаться.
- Эта проблема также возникает, когда приложение, работающее в Windows Server 2012 R2, пытается подключиться к SQL Server, работающему в Windows Server 2019.
- Другие клиент-серверные приложения могут столкнуться с аналогичной проблемой.
Причина
Windows 10, версия 1511 и более поздние версии Windows, включая Window Server 2016 или Windows 10, версия 1607, для которой установлены обновления, выпущенные 25 февраля, или установлены более поздние обновления, содержит начальное нулевое обновление. Между тем, все версии Windows, выпущенные до этого, не содержат ведущих нулевых обновлений.
Клиент и сервер TLS должны вычислять ключи точно так же, иначе они получат разные результаты. Соединения TLS случайно терпят неудачу, если ведущие нули по-разному вычисляются клиентом TLS и серверами TLS.
Когда группа обмена ключами Диффи-Хеллмана имеет ведущие нули, непропатченные компьютеры могут неправильно вычислить Mac, не учитывая заполненные нули. Эта проблема обычно возникает при взаимодействии с реализациями шифрования, отличными от Windows, и может вызывать периодические сбои согласования.
Сообщения об ошибках возвращаются, когда между клиентом и сервером согласовывается безопасное соединение TLS с использованием набора шифров TLS_DHE. Использование одного из затронутых комплектов шифров может быть идентифицировано в пакете «Server Hello». Для получения дополнительной информации см. Сетевой фрагмент в разделе «Дополнительная информация».
Разрешение
Чтобы устранить эту проблему, убедитесь, что и клиент, и сервер, участвующие в соединении, работают под управлением Windows, в которой установлены начальные нулевые исправления для TLS_DHE. Рекомендуется установить обновления, поскольку они повышают соответствие спецификациям TLS_DHE.
Ниже приводится список версий операционной системы в соответствии с установленными обновлениями.
версии Windows, содержащие начальные нулевые исправления для TLS_DHE
- Windows Server 2016, версия 1607
- KB 4537806: 25 февраля 2020 г.-KB4537806 (сборка ОС 14393.3542)
- KB 4540670: 10 марта 2020 г.-KB4540670 (сборка ОС 14393.3564)
- Обновления, заменяющие KB4537806 и KB4540670 для соответствующих версий ОС
- Windows Server 2019 RTM и более поздние версии.
- Windows 10, версия 1511 и более поздние версии Windows 10 (см. Историю выпусков)
Версии Windows, не содержащие начальных нулевых исправлений для TLS_DHE
- Серверы Windows Server 2016 версии 1607, к которым не применены исправления KB 4537806 и KB 4540670.
- Windows 10, версия 1507
- Windows 8.1
- Windows 7
- Windows Server 2012 R2 и более ранние версии Windows Server
Временное решение
Если вы не можете обновить Windows, в качестве временного решения можно отключить шифры TLS_DHE, используя один из двух методов.
Использование групповой политики
шифров TLS_DHE_ * можно отключить с помощью групповой политики. См. Приоритезацию комплектов шифров канала для настройки групповой политики «Порядок комплектов шифров SSL».
URL политики: Конфигурация компьютера -> Административные шаблоны -> Сеть -> Параметры конфигурации SSL
Параметр политики: Настройка порядка набора шифров SSL.
Использование сценария PowerShell
foreach ($ CipherSuite в $ (Get-TlsCipherSuite) .Name)
{
если ($ CipherSuite.substring (0,7) -eq "TLS_DHE")
{
"Отключение набора шифров:" + $ CipherSuite
Отключить-TlsCipherSuite -Name $ CipherSuite
}
еще
{
«Существующий включенный набор шифров останется включенным:» + $ CipherSuite
}
}
Дополнительная информация
Вы можете подтвердить, что столкнулись с этой проблемой во время установки соединения. Когда возникает проблема, вы можете увидеть следующую последовательность в сетевой трассировке на сервере.
1103479 <Дата и время> 382.4104867 TCP: Flags = CE .... S., SrcPort = 62702, DstPort = 1433, PayloadLen = 0, Seq = 829174047, Ack = 0, Win = 8192 (коэффициент масштабирования согласования 0x8) = 8192
1103486 382.4105589 TCP: [Bad CheckSum] Flags = ... A..S., SrcPort = 1433, DstPort = 62702, PayloadLen = 0, Seq = 267349053, Ack = 829174048, Win = 65535 (согласованный масштабный коэффициент 0x8) = 16776960
1103493 382.4113628 TCP: Flags =...A ...., SrcPort = 62702, DstPort = 1433, PayloadLen = 0, Seq = 829174048, Ack = 267349054, Win = 513 (масштабный коэффициент 0x8) = 131328
1103515 382.4117349 TDS: Prelogin, Version = 7.300000 (Информация о версии недоступна, используется версия по умолчанию), SPID = 0, PacketID = 1, Flags = ... AP ..., SrcPort = 62702, DstPort = 1433, PayloadLen = 88, Seq = 829174048 - 829174136, Ack = 267349054, Win = 131328
1103525 382. 4118186 TDS: ответ, версия = 7.300000 (информация о версии отсутствует, используется версия по умолчанию), SPID = 0, PacketID = 1, Flags = ... AP ..., SrcPort = 1433, DstPort = 62702, PayloadLen = 48, Seq = 267349054 - 267349102, Ack = 829174136, Win = 2102272
1103547 382.4128101 TLS: TLS Rec Layer-1 HandShake: Client Hello.
1103584 382.4151314 TLS: TLS Rec Layer-1 HandShake: Server Hello. Сертификат. Обмен ключами сервера. Сервер Привет Готово.1103595 382.4161185 TCP: Flags = ... A ...., SrcPort = 62702, DstPort = 1433, PayloadLen = 0, Seq = 829174322, Ack = 267351024, Win = 513 ( масштабный коэффициент 0x8) = 131328
1103676 382.4782629 TLS: TLS Rec Layer-1 HandShake: обмен ключами клиента .; Спецификация изменения шифра уровня 2 TLS Rec; TLS Rec Layer-3 HandShake: зашифрованное сообщение рукопожатия.
1103692 382.44 TCP: [Потерян сегмент] [Плохая контрольная сумма] Флаги =...A ... F, SrcPort = 1433, DstPort = 62702, PayloadLen = 0, Seq = 267351024, Ack = 829174648, Win = 8210 (масштабный коэффициент 0x8) = 2101760
1103696 382.4918048 TCP: Flags = ... A ...., SrcPort = 62702, DstPort = 1433, PayloadLen = 0, Seq = 829174648, Ack = 267351025, Win = 513 ( масштабный коэффициент 0x8) = 131328
1103718 382.4931068 TCP: Flags = ... A ... F, SrcPort = 62702, DstPort = 1433, PayloadLen = 0, Seq = 829174648, Ack = 267351025, Win = 513 ( масштабный коэффициент 0x8) = 131328
1103723 <Дата и время> 382.4931475 TCP: [Bad CheckSum] Flags = ... A ...., SrcPort = 1433, DstPort = 62702, PayloadLen = 0, Seq = 267351025, Ack = 829174649, Win = 8210 ( масштабный коэффициент 0x8) = 2101760
Изучение пакета приветствия сервера на предмет используемого набора шифров:
Кадр: номер = 1103584, длина захваченного кадра = 2093, MediaType = NetEvent
+ NetEvent:
+ MicrosoftWindowsNDISPacketCapture: фрагмент пакета (1976 (0x7B8) байт)
+ Ethernet: Etype = Internet IP (IPv4), DestinationAddress: [00-00-0C-9F-F4-5C], SourceAddress: [00-1D-D8-B8-3A-7B]
+ Ipv4: Src = , Dest = , Следующий протокол = TCP, ID пакета = 16076, Общая длина IP = 0
+ Tcp: [Bad CheckSum] Flags =. ..AP ..., SrcPort = 1433, DstPort = 62702, PayloadLen = 1938, Seq = 267349102 - 267351040, Ack = 829174322, Win = 8211 (коэффициент масштабирования 0x8) = 2102016
+ Tds: Prelogin, Version = 7.300000 (информация о версии отсутствует, используется версия по умолчанию), SPID = 0, PacketID = 0, Flags = ... AP ..., SrcPort = 1433, DstPort = 62702, PayloadLen = 1938, Seq = 267349102 - 267351040, Ack = 829174322, Win = 2102016
TLSSSLData: данные полезной нагрузки безопасности транспортного уровня (TLS)
-TLS: TLS Rec Layer-1 HandShake: Привет серверу. Сертификат. Обмен ключами сервера.Сервер Привет Готово.
-TlsRecordLayer: рукопожатие уровня 1 записи TLS:
ContentType: HandShake:
+ Версия: TLS 1.2
Длина: 1909 (0x775)
-SSLHandshake: SSL HandShake Server Hello Done (0x0E)
HandShakeType: ServerHello (0x02)
Длина: 81 (0x51)
-ServerHello: 0x1
+ Версия: TLS 1.2
+ RandomBytes:
SessionIDLength: 32 (0x20)
SessionID: большой двоичный объект (32 байта)
TLSCipherSuite: TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 {0x00, 0x9F}
Методы сжатия: 0 (0x0)
Длина расширений: 9 (0x9)
+ ServerHelloExtension: Неизвестный тип расширения
+ ServerHelloExtension: информация о повторном согласовании (0xFF01)
HandShakeType: Сертификат (0x0B)
Длина: 778 (0x30A)
+ Сертификат: 0x1
HandShakeType: Обмен ключами сервера (0x0C)
Длина: 1034 (0x40A)
ServerKeyExchange: большой двоичный объект (1034 байта)
HandShakeType: Сервер Hello Done (0x0E)
Длина: 0 (0x0)
+ Tds: Prelogin, Version = 7. 300000 (информация о версии отсутствует, используется версия по умолчанию), повторно собранный пакет
Номер ссылки
Дополнительные сведения см. В следующих статьях:
Устранение неполадок SSL Error 4 на Secure Gateway
Важно ! Эта статья предназначена для системных администраторов. Если вы столкнулись с этой проблемой и не являетесь системным администратором, обратитесь в службу поддержки своей организации за помощью и направьте их к этой статье.
«Ошибка SSL 4» на Secure Gateway обычно указывает на проблему соединения между одним или несколькими компонентами, составляющими Secure Gateway.
Включить ведение журнала
Установите максимальный уровень ведения журнала на сервере Citrix Secure Gateway и сервере Secure Ticket Authority (STA). Для получения дополнительной информации см. Документацию Citrix — Создание отчета о диагностике безопасного шлюза.
Изучите журналы на предмет указания причины появления ошибки SSL 4 на клиентском компьютере.
Сервер безопасного шлюза
Убедитесь, что клиент подключается к Secure Gateway:
- Если подключение клиента наблюдается в журналах Secure Gateway, проверьте журналы STA.
- Если подключение клиента отсутствует, убедитесь, что Secure Gateway работает и IP-адрес, к которому он привязан, совпадает с тем, который клиент разрешает из FQDN.
Изучите журналы приложения, системы и Secure Gateway средства просмотра событий Secure Gateway.
Сервер безопасного доступа к билетам
Проверяйте успешность обработки данных запроса для каждого успешного билета запроса.
- Если запрошенные данные выполнены успешно, Secure Gateway может подключиться к STA.
- Если данные запроса не были успешными, значит, безопасный шлюз не проверил билет.
Изучите конфигурацию веб-интерфейса и конфигурацию Secure Gateway, чтобы убедиться, что они указывают на один и тот же сервер STA.
Проверьте подключение между сервером Secure Gateway и сервером STA, используя транспортный протокол, указанный в конфигурации (http / https).
Сервер IIS
Если на сервере Citrix Secure Gateway также работает IIS, то служба IIS может блокировать запуск службы Citrix Secure Gateway.
Чтобы решить эту проблему, отключите службу IIS Admin и все зависимые от нее службы на сервере Secure Gateway или измените порт SSL IIS на другое значение, кроме 443.
Возможности подключения
Убедитесь, что порты 8080, 1494, 80, 2598, 443 или любые другие назначенные вручную порты открыты от Secure Gateway к каждому серверу XenApp. Для проверки запустите telnet от Secure Gateway к каждому серверу XenApp на соответствующих портах.
Сертификат
Убедитесь, что нет проблем с доверием сертификатов.
Убедитесь, что цепочка сертификатов завершена.
Убедитесь, что сертификат сервера не поврежден.
Сторонний балансировщик нагрузки
Если вы используете сторонний балансировщик нагрузки для балансировки нагрузки нескольких серверов Secure Gateway, и с помощью предыдущих шагов по устранению неполадок не было обнаружено никаких проблем, обратитесь в службу поддержки поставщика балансировщика нагрузки. Если используется балансировщик нагрузки F5, имейте в виду, что F5 может расшифровать \ зашифровать пакеты до того, как они попадут на Secure Gateway.
Дополнительные советы по поиску и устранению неисправностей
- Есть ли у шлюза достаточный маршрут к клиенту?
- Помогает ли настройка STA и тайм-аута шлюза?
- Что происходит, если SSL не используется?
- Убедитесь, что в файле ICA указано SSLEnable = ON и в нем нет буквы «d» после SSLEnable.
Исправления и рекомендации на стороне клиента и на стороне сервера
Исправления ошибки установления связи SSL / TLS как для пользователей Интернета, так и для владельцев сайтов
Пришло время для другой технической статьи. Сегодня мы собираемся обсудить ошибку установления связи SSL / TLS и способы ее исправления. Как и многие сообщения об ошибках SSL, ошибка квитирования SSL может быть вызвана как на стороне клиента, так и на стороне сервера, поэтому иногда она может быть исправлена обычными пользователями Интернета, а в других случаях это указывает на проблему конфигурации на стороне веб-сайта.
Независимо от происхождения, это может быть неприятной ошибкой SSL, поскольку она не позволяет установить безопасное соединение с веб-сайтом, к которому вы пытаетесь получить доступ.Это плохо как для пользователей, так и для владельцев сайтов — для владельцев сайтов, потому что это уводит бизнес (потенциально прямо в руки ваших конкурентов).
Мы разберемся, что такое рукопожатие SSL / TLS, а затем расскажем о причинах ошибки с ошибкой установления связи SSL / TLS и о том, что вы можете сделать, чтобы исправить это.
Давайте разберемся.
Что такое рукопожатие SSL / TLS?
В начале каждого HTTPS-соединения клиент (веб-браузер пользователя в Интернете) и сервер (на котором размещен веб-сайт) должны пройти серию проверок — из-за отсутствия лучшего термина — для аутентификации друг друга и определения параметров зашифрованное соединение. Это известно как рукопожатие TLS, хотя некоторые в отрасли до сих пор называют его рукопожатием SSL.
(SSL уже не является технически точным, так как это устаревший протокол. Однако мы по-прежнему будем называть его таковым на протяжении всей статьи, потому что люди все еще часто используют этот термин. Таким образом, вы увидите «SSL-рукопожатие» и «TLS-рукопожатие. ”Используются взаимозаменяемо во всем контенте, но знайте, что мы все еще говорим о рукопожатии TLS.)
Процесс установления связи TLS выполняет три задачи:
- Аутентифицирует сервер как законного владельца асимметричной пары открытого / закрытого ключей.
- Определяет версию TLS и набор шифров, которые будут использоваться для соединения.
- Меняет симметричный сеансовый ключ, который будет использоваться для связи.
Если вы упростите инфраструктуру открытых ключей (PKI), которая служит инфраструктурой для всей экосистемы SSL / TLS, то на самом деле речь идет о безопасном обмене ключами. Во время HTTPS-соединения связь фактически осуществляется с помощью симметричных ключей сеанса — обычно 256-битных ключей расширенного стандарта шифрования (AES), — которые генерируются на стороне клиента.Когда создается симметричный ключ, обе стороны получают его копию. Они могут использовать его для шифрования и дешифрования данных, которые передаются между ними.
Хотя 256-битное шифрование по-прежнему является достаточно надежным, реальная безопасность находится у ворот, где гораздо больший и гораздо более надежный закрытый ключ (обычно 2048-битный ключ RSA) помогает обрабатывать часть аутентификации соединения. Аутентификация важна, потому что клиент хочет убедиться, что он подключается к правильной стороне. По сути, это и есть рукопожатие SSL / TLS — это набор проверок, где:
- Клиент и сервер аутентифицируют друг друга,
- Они определяют параметры HTTPS-соединений (какой набор шифров будет использоваться), а затем
- Клиент шифрует копию сеансового ключа и отправляет ее на сервер для использования во время подключения.
Исторически сложилось так, что рукопожатие SSL / TLS добавляло небольшую задержку к соединению, что и привело к утверждению, что HTTPS замедляет работу вашего веб-сайта. Однако эта задержка была устранена в более поздних версиях протокола TLS, так что сегодня это почти полностью неверно, особенно с HTTP / 2 и HTTP / 3.
В настоящее время используются две разные версии подтверждения TLS: TLS 1.2 и TLS 1.3.
Процесс установления связи SSL / TLS в TLS 1.2 против TLS 1.3
TLS 1.2 использует рукопожатие, которое совершает несколько циклов обмена между клиентом и сервером.
Хотите знать, как работает процесс подтверждения TLS? Мы не будем идти по шагам, но по сути:
- Клиент и сервер отправляют друг другу эхо-запросы.
- Сервер представляет свой сертификат SSL / TLS.
- Клиент аутентифицирует сертификат, подписанный центром сертификации (CA).
- Они обмениваются списком поддерживаемых наборов шифров и согласовывают один, после чего происходит обмен ключами.
Этот процесс включает в себя множество шагов, и все они выполняются за короткий промежуток времени.
TLS 1.3, с другой стороны, усовершенствовал квитирование TLS до одинарного приема-передачи.
Очевидно, это сокращает время, необходимое для запуска соединения — мы говорим здесь о миллисекундах, поэтому, возможно, не заметно (кроме масштаба) — и делает все более эффективным. TLS 1.3 также допускает возобновление 0-RTT, что упрощает последующие подключения к TLS 1.Веб-сайт с поддержкой 3 даже больше.
Но, учитывая количество движущихся частей в рукопожатии TLS, есть много вещей, которые могут пойти не так, если веб-сайт или устройство неправильно настроены. Пару лет назад мы писали об исправлении ошибок, связанных с ошибкой установления связи TLS в Firefox, но эти ошибки гораздо более универсальны, чем это. Итак, теперь давайте поговорим о том, что может пойти не так с рукопожатием TLS и что нужно сделать, чтобы это исправить.
Более пристальный взгляд на рукопожатие SSL / TLS
Во всем шифровании Патрик Ноэ
Когда вы подключаетесь к веб-сайту через HTTPS, под капотом происходит много всего. В первую очередь, всем нужно… пожать руку ?!
Читать далее
Обзор ошибок, связанных с ошибкой установления связи SSL / TLS
Чтобы облегчить понимание этой статьи, мы собираемся указать все возможные причины ошибок подтверждения SSL / TLS (ошибки подтверждения SSL) и указать, кто может их исправить. После этого у нас будет отдельный раздел для каждого, где мы расскажем, как их исправить.
ПРИЧИНА | ОПИСАНИЕ ОШИБКИ TLS HANDSHAKE | ИСПРАВИТЬ |
Неправильное системное время | На клиентском устройстве неверное время и дата. | Клиент |
Ошибка браузера | Конфигурация браузера вызывает ошибку. | Клиент |
Человек посередине | Третья сторона перехватывает / манипулирует соединением. | Клиент |
Несоответствие протокола | Протокол, используемый клиентом, не поддерживается сервером. | Сервер |
Несоответствие набора шифров | Набор шифров, используемый клиентом, не поддерживается сервером. | Сервер |
Неверный сертификат |
| Сервер |
Сервер с поддержкой SNI | Клиент не может взаимодействовать с сервером с поддержкой SNI. | Сервер |
Теперь давайте перейдем к исправлению этих ошибок сбоя установления связи SSL. Затем мы закончим с парой вещей, которые вам определенно не следует делать на стороне клиента, чтобы попытаться исправить эту ошибку.
Ошибка установления связи SSL / TLS — ошибки клиента
Когда квитирование не удается, обычно что-то происходит с веб-сайтом / сервером и его конфигурацией SSL / TLS. Это приводит к досадной ошибке установления связи SSL / TLS.
На самом деле, на данный момент это всего лишь конфигурация TLS для поддержки SSL 3.0 почти полностью устарел. (SSL Labs сообщает, что по состоянию на август 2020 года только 4,6% сайтов все еще поддерживают протокол SSL 3.0.)
Однако есть несколько контекстов, в которых ошибка на стороне клиента может вызвать ошибку установления связи SSL / TLS. И многие из них могут показаться довольно тривиальными — например, проверка правильности системного времени и актуальности вашего браузера.
Но, как мы уже обсуждали, при рукопожатии TLS есть много движущихся частей, и иногда даже малейшая икота может привести к тому, что все это испортится.
Итак, давайте рассмотрим несколько клиентских исправлений этой проблемы.
Неверное системное время
Я действительно не уверен, почему кто-то отключил свои системные часы от универсального времени, но, видимо, это происходит. Может быть, вы хотите придерживаться своих личных часов, как какой-то психопат, или, может быть, настройки просто случайно изменились — на самом деле это не мое дело — но если ваше системное время неверно, это может вызвать проблемы с рукопожатием TLS.В результате это может вызвать ошибку установления связи SSL / TLS.
Это во многом связано с тем, что сертификаты SSL / TLS имеют ограниченный срок службы, поэтому время важно. Фактически, в некоторых довольно громких случаях истечения срока действия сертификата — например, с системой Oculus Rift VR — пользователи Интернета даже намеренно устанавливают время своей системы на дату, предшествующую указанному истечению срока, чтобы они все еще могли подключиться. (Более свежие примеры заметных истечений срока действия сертификатов, влияющих на все, от отчетов о COVID-19 до потоковых музыкальных сервисов.)
Очевидно, не меняйте системное время. Если вы по-прежнему получаете сообщение об ошибке установления связи SSL / TLS и ваше системное время правильное, проблема возникла в другом месте.
Ошибка браузера
Это не ошибка браузера — это буквально ваш браузер делает ошибку. Иногда ваш браузер может быть неправильно настроен, или плагин может привести к тому, что некоторые вещи будут работать немного иначе, что приведет к проблемам с подключением к легитимным веб-сайтам.Хотя точно определить, что именно нужно настроить в вашем текущем браузере, может быть немного сложнее, сузить проблему до конкретной ошибки браузера довольно просто: просто попробуйте другой браузер и посмотрите, что произойдет.
Если вы используете Google Chrome, переключитесь на собственный браузер вашей ОС, например Apple Safari или Microsoft Edge. В противном случае перейдите на Mozilla Firefox (я предпочитаю), если он у вас есть.
По сути, просто включите его и попробуйте подключиться к сайту. Если вы получаете ту же ошибку при сбое подтверждения SSL / TLS, значит, проблема не в браузере.Но если вы можете подключиться, теперь вы знаете, что что-то не так с вашими плагинами или настройками.
Самый быстрый способ решить эту проблему, вызывающую ошибку рукопожатия SSL / TLS, — это просто сбросить настройки вашего браузера до настроек по умолчанию и отключить все плагины. Оттуда вы можете настроить браузер по своему усмотрению, проверяя свое соединение с рассматриваемым сайтом, когда вы настраиваете вещи. Это может занять некоторое время, но на самом деле это единственный способ решить проблему, если ваш браузер неправильно настроен или допускает ошибки.
Человек посередине
Человек посередине (MITM) обычно представлен как гнусный хакер, который пытается украсть информацию или причинить вред. На самом деле это не всегда так. Многие программы и устройства перехватывают трафик для проверки или для какой-либо другой не вредоносной цели, такой как балансировка нагрузки, а затем отправляют его на сервер приложений. Технически этот процесс тоже представляет собой MITM.
К сожалению, иногда проблемы с этими устройствами могут привести к сбою подтверждения TLS.Это может быть что-то вроде сетевого брандмауэра, препятствующего подключению, или это может быть конфигурация на пограничном устройстве в сети на стороне сервера. Таким образом, эта проблема может быть исправлением либо на стороне клиента, либо на стороне сервера в зависимости от сценария.
Вот в чем дело: если эта проблема связана с клиентом, вы рискуете подвергнуть себя опасности, если будете теребить настройки своего антивируса или VPN. Как правило, должен быть способ внести в белый список или создать исключение для рассматриваемого сайта. Но НИКОГДА не отключайте брандмауэр или антивирус, просто подключитесь к веб-сайту.Если проблема на стороне сервера, скорее всего, это проблема конфигурации на пограничном устройстве.
Недавно Росс Томас рассказывал мне об устройстве, с которым он когда-то имел дело, которое перехватывает трафик и прикрепляет небольшую строку данных, чтобы указать, что оно прошло проверку. Это приводило к сбою хэшей контрольной суммы данных и потенциально могло помешать аутентификации.
Опять же, существует слишком много возможных источников, чтобы я мог сузить их до одного исправления, но если у вас есть устройство, которое проверяет или перехватывает трафик, начните с этого.
Ошибка установления связи SSL / TLS: ошибки на стороне сервера
В большинстве случаев сбои установления связи SSL / TLS являются результатом проблем на стороне сервера. Некоторые из них легко исправить, некоторые из них немного сложнее, а некоторые вообще не стоит исправлять.
Давайте посмотрим.
Несоответствие протокола
На самом деле это ошибка, которая может возникать как на стороне клиента, так и на стороне сервера, и это может быть что-то, что не стоит исправлять в зависимости от контекста.Когда дело доходит до поддержки протоколов и шифров, самая важная мудрость заключается в следующем: всегда двигаться вперед, никогда не двигаться назад.
TLS 1.2 вышел более десяти лет назад, но все еще есть небольшой сегмент веб-сайтов, которые его не поддерживают. В 2018 году протокол TLS 1.3 был наконец опубликован IETF как RFC 8446. По состоянию на август 2020 года Qualys SSL Labs сообщает, что 98,4% из 150 000 лучших сайтов Alexa поддерживают TLS 1.2, а 32,8% поддерживают TLS 1.3.
С другой стороны, требования PCI DSS требуют, чтобы все веб-сайты, собирающие информацию о платежных картах, прекратили поддержку SSL 3.0 и TLS 1.0. А четыре основных производителя браузеров — Google, Firefox, Apple и Microsoft — совместно объявили о прекращении поддержки TLS 1.1 к 2020 году.
Если вы получаете ошибку подтверждения связи SSL / TLS в результате несоответствия протокола, это означает, что клиент и сервер не имеют взаимной поддержки для одной и той же версии TLS. Вот пример:
КЛИЕНТ | СЕРВЕР |
Поддерживает TLS 1.0, TLS 1.1 | Поддерживает TLS 1.2 |
В этом сценарии нет взаимно поддерживаемого протокола TLS, и сервер, вероятно, не поддерживает обратное управление версиями. И прежде чем вы спросите, нет, сервер не должен это исправлять. В этом примере клиент должен обновить свой браузер или, в случае текущего браузера, настроить его для поддержки последних версий TLS.
На этом этапе вы должны использовать TLS 1.2 или TLS 1.3. Если нет, поддержите их.Но помните, никогда не возвращайтесь назад.
Несоответствие набора шифров
Это невероятно похоже на несоответствие протокола — только немного более детально. SSL / TLS — это не просто один алгоритм, который обрабатывает все (хотя ECC близок), это фактически набор алгоритмов, которые выполняют разные функции и работают вместе, чтобы создать SSL / TLS.
SSL / TLS похож на Megazord, а набор шифров похож на Power Rangers.
Что? Вы пытаетесь сделать группу алгоритмов более интересной.
В любом случае, хотя комплекты шифров, используемые TLS 1.3, были усовершенствованы, традиционно в Cipher Suite были алгоритмы, которые обрабатывают:
- Асимметричное шифрование с открытым ключом
- Симметричное шифрование сеансового ключа
- Генерация ключа
- Хеширование подписи
В разных отраслях и государственных учреждениях используются разные стандарты шифрования, которые предлагают разные наборы шифров. Как правило, здесь много совпадений, и большинство веб-сайтов поддерживают несколько наборов шифров, так что у клиентов есть несколько вариантов и, как правило, они могут найти взаимоприемлемый шифр.Очевидно, шансы на успешное согласование существенно снизились бы, если бы сайт поддерживал только один набор шифров.
Часто это может происходить в сети, если вы используете мост SSL, когда пограничное устройство получает и расшифровывает HTTPS-трафик, а затем повторно шифрует его для отправки на сервер приложений. Если пограничное устройство и сервер приложений не используют совместно поддерживаемый набор шифров, это вызовет ошибки.
Как и в случае с версиями протокола, с наборами шифров всегда следует двигаться только вперед, а не назад.Помните, когда версия протокола или набор шифров устаревают, это не потому, что отрасль пытается усложнить задачу, а потому, что уязвимость обнаружена или неизбежна. Таким образом, обратный ход только делает ваши соединения потенциально менее безопасными.
Неверный сертификат SSL / TLS
Существует ряд различных факторов, которые могут заставить браузер рассматривать сертификат SSL / TLS как неправильный и препятствовать успешному завершению рукопожатия. Мы рассмотрим каждый из них в следующих подразделах.Также стоит отметить, что иногда эти проблемы материализуются в другой ошибке на стороне клиента, в отличие от сообщения об ошибке установления связи SSL / TLS. Как правило, что-то вроде веб-сайта не обеспечивает безопасное соединение. Но на техническом уровне эта ошибка возникает в результате неудачного рукопожатия.
ВЫПУСК | ОПИСАНИЕ |
Несоответствие имени хоста | CN в сертификате не соответствует имени хоста. |
Неправильная цепочка сертификатов | В цепочке сертификатов отсутствуют промежуточные звенья. |
Просроченный / отозванный сертификат | Сервер представил просроченный, отозванный или ненадежный сертификат. |
Самозаверяющие замены | (Внутренние сети) Замены сертификата путанный путь. |
Неверное имя хоста
Раньше это была проблема с WWW и не WWW версиями веб-сайтов.Тем не менее, эта проблема была в значительной степени смягчена сообществом центров сертификации, позволяющим бесплатно указывать домен в качестве домена SAN (альтернативное имя субъекта). Эта проблема обычно может быть решена путем повторной выдачи сертификата или иногда с помощью подстановочного сертификата.
Неверная цепочка сертификатов
Мы подробно рассмотрели цепочки сертификатов, корневые и промежуточные сертификаты в предыдущей статье, но вот краткая версия. Модель доверия в SSL / TLS и PKI в целом полагается на тщательно отобранные корневые программы.Это наборы доверенных корневых сертификатов ЦС, которые буквально живут в компьютерной системе.
КОРНЕВАЯ ПРОГРАММА | ИСПОЛЬЗУЕТСЯ |
Mozilla | Настольный и мобильный Firefox |
ОС Android | 905 | Windows |
Эти корни CA бесценны — настолько, что вместо того, чтобы рисковать выпуском напрямую из них, центры сертификации создают промежуточные корни и подписывают листовые сертификаты SSL / TLS (конечных пользователей) с этими промежуточными звеньями.Вот где начинается цепочка. Сертификат корневого центра сертификации используется для цифровой подписи промежуточных корней. Эти промежуточные звенья используются для подписи других промежуточных звеньев или конечных пользователей, конечных сертификатов SSL / TLS.
Когда браузер получает сертификат SSL / TLS, одна из вещей, которые он делает для проверки его подлинности, — это отслеживание подписей. Он просматривает цифровую подпись сертификата SSL / TLS и следует по ней обратно к промежуточному корню, который его подписал. Затем он просматривает цифровую подпись этого промежуточного звена и возвращает ее к сертификату, который подписал промежуточное звено.И так далее, пока, в конце концов, он не достигнет одного из корневых сертификатов ЦС в своем хранилище доверенных сертификатов.
Если он не может этого сделать, цепочка сертификатов часто бывает неполной, а это означает, что браузер не может найти один из промежуточных звеньев, и установление связи SSL / TLS не удалось. Чтобы исправить это, вам нужно будет найти и установить отсутствующий промежуточный сертификат. В зависимости от того, у какого центра сертификации вы приобрели сертификат, промежуточные звенья должны быть доступны на их веб-сайтах.
Просроченные / отозванные сертификаты
Хотя отзыв сертификата в текущей экосистеме SSL / TLS оставляет желать лучшего, все же есть некоторые контексты, в которых браузер увидит, что сертификат был отозван, и не сможет выполнить рукопожатие на этом основании. Чаще всего это связано с истекшим сроком действия сертификата. Сертификаты SSL / TLS действительны только в течение определенного периода времени.
СВЯЗАННЫЙ: Вот что происходит, когда срок действия вашего сертификата SSL / TLS истекает
Срок действия сертификатаSSL / TLS истекает по нескольким возможным причинам (в зависимости от того, кого вы спрашиваете):
- Чтобы информация о проверке оставалась точной.
- Для более быстрого распространения обновлений протоколов и шифров.
- Чтобы исключить необходимость в списках отзыва сертификатов (CRL).
- Для борьбы с возможностью киберпреступников взломать стандартные алгоритмы шифрования (хотя это практически невозможно без квантовых вычислений).
По состоянию на 1 сентября 2020 г. максимальный срок действия сертификата SSL / TLS составляет один год (точнее, 398 дней). Это означает, что вам необходимо регулярно менять сертификаты. Если вы забыли сделать это до истечения одного срока, вероятно, поэтому рукопожатие SSL / TLS не удалось.Просто получите действующий сертификат и установите его — это должно решить ваши проблемы.
Самоподписанные замены
В общедоступном Интернете самозаверяющий сертификат будет возвращать ошибку в 100% случаев, если клиент не установил вручную ваш частный корневой каталог в своем корневом хранилище. Но во внутренних сетях самозаверяющие сертификаты довольно распространены. И если вы поменяете их местами, это может вызвать проблемы.
Большинство браузеров кэшируют сертификаты, поэтому при возврате на веб-сайт рукопожатие выполняется быстрее.Но если вы создаете новые сертификаты через регулярные промежутки времени, постоянное добавление всех этих вновь созданных сертификатов в локальную базу данных вызовет путаницу. В конце концов, браузер будет бороться с построением пути и вылетать.
В прошлом Firefox боролся с этим изрядно — до такой степени, что 7-8 повторных проблем с сертификатом вызывали значительную задержку, а 10 или более могут привести к тому, что рукопожатие могло занять более 30 секунд.
Серверы с поддержкой SNI
Это скорее внутренняя проблема, которая существует между устройствами, но иногда связь клиента с сервером указания имени сервера, когда он не поддерживает SNI, может быть причиной сбоя установления связи SSL / TLS.
Первое, что вам нужно сделать, это определить имя хоста и номер порта рассматриваемого сервера и убедиться, что он поддерживает SNI, а также передает все, что нужно. Опять же, это обычно не столько публичная проблема, сколько время от времени внутренняя причина.
Чего нельзя делать — не вознаграждайте за плохие реализации SSL / TLS
Часто владельцы веб-сайтов не хотят вносить изменения, пока не возникнет проблема, которую они не могут игнорировать.Хотя есть несколько исправлений на стороне клиента для ошибки сбоя установления связи SSL / TLS, как правило, это проблема на стороне сервера.
Это означает, что как обычный пользователь Интернета, ваши возможности ограничены, когда дело доходит до устранения ошибок установления связи SSL / TLS. Лучше всего сообщить владельцу сайта о проблеме и подождать, пока он ее исправит. Если они этого не делают, было бы разумно просто прекратить использование веб-сайта.
Есть некоторые вещи, которые вам ни в коем случае нельзя делать, чтобы перейти на веб-сайт:
- Не теряйте брандмауэр. Обычно вы можете добавить веб-сайт в белый список, но не отключайте брандмауэр. Всегда.
- Не отключайте антивирус. Опять же, если возможно, занесите в белый список, но продолжайте его обновлять.
- Не подключайтесь через HTTP и не переходите через межстраничные предупреждения. Это плохо с любой точки зрения и может привести к множеству проблем.
Если веб-сайт не может обеспечить безопасный просмотр, вам не следует его посещать. Устранение ошибки подтверждения SSL / TLS не стоит подвергать опасности вашу безопасность.
Примечание: Эта статья об ошибках установления связи TLS (ошибки сбоя установления связи SSL) была первоначально написана Патриком Ноэ 14 ноября 2018 г. Она была обновлена и переиздана Кейси Крейном как «переработка» содержимого 3 сентября 2020 г.
Как всегда, оставляйте комментарии или вопросы ниже…
Ошибка установления связи SSL: что это такое и как ее исправить
Что такое рукопожатие SSL?
Это явление, при котором ваш браузер предлагает безопасное соединение с интернет-сервером.Иногда клиент и, следовательно, сервер не могут установить соединение по протоколу. Вот когда происходит сбой подтверждения SSL. Этот сбой часто возникает в Apigee Edge. К сожалению, клиент получает HTTP-статус 503 с текстом «Служба недоступна».
Это не ваша вина, потому что компании предоставляют эти сертификаты безопасности SSL. Это их вина, что такие ошибки возникают, когда ваш браузер открывает страницу.
Ошибка также может отображаться с сообщением типа «Ваше соединение не защищено.»Или« Сертификаты этого сайта не являются надежными ».
Исправление ошибки установления связи SSL
Всегда лучше понимать, почему происходит сбой установления связи SSL. Ошибка возникает, когда ОС не разрешен доступ для чтения. В результате аутентификация веб-сервера запрещается, после чего следуют противоположные шаги. Клиент должен немедленно получить предупреждение о том, что соединение браузера с веб-сервером небезопасно.
Запрошенный протокол SSL не получает поддержки со стороны сервера.Это также могло иметь место из-за набора шифров. Также может случиться, что имя хоста в URL не совпадает с тем, что указано в сертификате. Цепочка сертификатов может быть дополнительно виновата.
Обязательно проверьте свой сертификат. Также может быть перетаскивание с сервером. Возможно, он не может подключиться к серверам SNI.
То же самое можно сказать и о клиенте. Если сбой SSL произошел на стороне клиента, попробуйте выполнить пару шагов, чтобы устранить проблему на своем телефоне.
Убедитесь, что дата и время на вашем телефоне правильные. Эта простая вещь может сразу исправить вашу ошибку. Просто зайдите в Настройки. Выберите «Дата и время». Активируйте опцию «Автоматическая дата и время».
Если вышеуказанный вариант работает, ничего страшного. Вам нужно очистить данные о просмотре сейчас. Откройте Chrome. Нажмите «Меню». Перейдите в «Конфиденциальность». Затем нажмите «Настройки». Затем нажмите на последнюю опцию «Очистить данные просмотров». Подтвердите, что вы выбрали все поля на экране.
Вы даже можете изменить соединение Wi-Fi.Публичный Wi-Fi крайне небезопасен. Немедленно включите персональное соединение Wi-Fi.
Антивирус, установленный на вашем мобильном телефоне, также может создавать помехи. Попытайтесь удалить его или отключить. Снова начните просмотр. Антивирусы часто мешают работе вашего браузера и могут вызвать сбой установления связи SSL.
Если приведенные выше рекомендации не помогли, попробуйте сбросить настройки устройства. Просто сделайте резервную копию вашего телефона. Вы могли бы со временем потерять все предметы, которые вы просто хранили.Выберите «Настройки». Затем нажмите «Резервное копирование и сброс». Затем нажмите «Сброс заводских данных».
Однако большинство проблем связаны с сервером. Шансы на их исправление пользователем невелики, но все же не помешает попробовать кое-что.
Обратите внимание, что файл .MNO и, следовательно, файл .PQR имеют эквивалентный префикс. Пример: ARTICLE1.MNO и ARTICLE1.PQR — убедитесь, что ваша ОС имеет доступ к файлу .PQR.
Доступ для чтения жизненно важен для завершения процесса аутентификации.Всегда подтверждайте, что у вас есть поддержка новейших версий SSL и TLS. То есть, не теряйте времени на отключение SSL 2.0 и SSL 3.0. Также отключите TLS 1.0 и TLS 1.1. этих версий, поскольку они устаревают. Самыми современными и, следовательно, самыми безопасными вариантами TLS являются TLS 1.2 и TLS 1.3.
Несоответствие протокола Cipher Suite аналогично несоответствию протокола. SSL может представлять собой набор алгоритмов, выполняющих разные функции. Иногда граничные устройства получают и расшифровывают HTTPS-трафик.Затем он повторно шифруется для отправки на сервер устройства.
Если устройство проверки и сервер приложений совместно используют разные поддерживаемые наборы шифров, возникают ошибки. Поэтому всегда пытайтесь обновить свои наборы шифров. Это потому, что старые шифровальные костюмы, как правило, уязвимы и менее безопасны.
Всегда проверяйте, что ваша цепочка сертификатов не является неполной. Незавершенность цепочки сертификатов означает, что браузеру не удалось найти один из промежуточных звеньев, и, следовательно, квитирование SSL / TLS не удалось.
Чтобы исправить это, вам необходимо найти и установить отсутствующий промежуточный сертификат, в зависимости от того, в каком ЦС вы купили свой сертификат; промежуточные продукты должны быть доступны на своем веб-сайте.
Максимальный срок действия сертификата SSL / TLS составляет два года (27 месяцев, потому что центры сертификации позволят вам перенести до трех месяцев с вашего предыдущего сертификата). В конце концов, это будет шесть месяцев.
Это означает, что вам необходимо регулярно обновлять сертификаты.Если вы забыли это сделать, вероятно, поэтому рукопожатие SSL / TLS не удалось. Просто получите юридический сертификат и установите его.
Если вышеперечисленные варианты не работают, выполните этот последний, но не самый маленький шаг. Это, наверное, самый безопасный шаг. Очень часто владельцы веб-сайтов не ремонтируют свои веб-сайты до тех пор, пока это не создаст неизбежную проблему. Это связано с тем, что существует только пара клиентских исправлений для ошибки сбоя установления связи SSL.
В основном на стороне сервера. Ваши возможности ограничены.Самый простой способ — сказать владельцу локации и подождать, пока он ее починит. Если они этого не сделают, было бы разумно просто прекратить использование веб-сайта. Есть также определенные правила, которые не помогут добиться успеха на интернет-сайте:
Не теряйте брандмауэр.
Не отключайте антивирус на длительное время. Обновляйте его, как только браузер начнет работать.
Никогда не подключайтесь через HTTP.
рабочих команд для устранения неполадок сеансов SSL | Руководство пользователя безопасности приложений для устройств безопасности
Назначение
Отображение подробной информации об активных сеансах SSL на устройстве.
Действие
Из рабочего режима используйте шоу команда безопасности сеанса потока расширенная ssl .
user @ host>
показать расширенный сеанс потока безопасности ssl
Выход:
Идентификатор сеанса: 1, Статус: Нормальный
Флаги: 0x42 / 0x20000000 / 0x2 / 0x10103
Название политики: 1/5
Исходный пул NAT: Null
Динамическое приложение: junos: UNKNOWN,
Шифрование: неизвестно
Набор правил управления трафиком приложения: НЕДЕЙСТВИТЕЛЬНЫЙ, Правило: НЕДЕЙСТВИТЕЛЬНО
Максимальный тайм-аут: 1800, Текущий тайм-аут: 1636
Состояние сеанса: действительно
Время начала: 587131, Продолжительность: 163
В: 4.0.0.1 / 37369 -> 5.0.0.1/4433;tcp,
Conn Tag: 0x0, Интерфейс: xe-0/0 / 0.0,
Токен сеанса: 0x7, флаг: 0x2621
Маршрут: 0xa0010, шлюз: 4.0.0.1, туннель: 0
Последовательность портов: 0, последовательность FIN: 0,
Состояние FIN: 0,
Пакетов: 6, Байт: 671
Вышло: 5.0.0.1/4433 -> 4.0.0.1/37369;tcp,
Conn Tag: 0x0, Интерфейс: xe-0/0 / 1.0,
Токен сеанса: 0x8, флаг: 0x2620
Маршрут: 0xb0010, шлюз: 5.0.0.1, туннель: 0
Последовательность портов: 0, последовательность FIN: 0,
Состояние FIN: 0,
Пакетов: 7, Байт: 1635
Всего сеансов: 1
Значение
Вывод команды отображает обширную информацию обо всех активных сессиях на устройстве.
Отображаемая информация включает идентификатор сеанса, сетевой адрес. Трансляция (NAT) исходный пул (если используется исходный NAT), настроенный значение тайм-аута для сеанса и его стандартный тайм-аут, а также сеанс время начала и как долго сеанс был активен, направление поток, исходный адрес и порт, адрес назначения и порт, IP-протокол и интерфейс, используемый для сеанса.
Пример:
Имя политики, разрешившей этот трафик, — разрешение по умолчанию.
Максимальные значения тайм-аута и текущего тайм-аута.
Тип сеанса.
Исходный интерфейс и целевой интерфейс для сеанс
IP-адрес шлюза следующего перехода
Сведения о наборе правил AppQoS.
Подробные сведения о полях вывода команды см. В разделе show services ssl session.
Как исправить ошибку SSL-соединения на телефоне Android
Возможно, вы регулярно просматриваете страницы на своем телефоне, но однажды вы столкнулись с ошибкой: «Ваше соединение не защищено».И это мешает вам получить доступ к любому веб-сайту. Что ж, это довольно часто встречается на устройствах Android — это называется ошибкой подключения SSL. В этой статье мы покажем вам пять способов исправить это.
Но прежде чем мы перейдем к решению, давайте разберемся, что такое SSL и почему он важен для безопасного просмотра.
Что такое SSL?
SSL означает Secure Socket Layer, протокол безопасности, который шифрует соединение между сервером и вашим браузером. Проще говоря — это делает ваш просмотр безопасным и защищенным.
Без SSL / TSL (Transport Layer Security) любая третья сторона может получить доступ к информации, которую вы предоставляете на веб-сайте, такой как ваш адрес электронной почты или пароли.
(Источник — Techuz)
Таким образом, когда вы получаете сообщение об ошибке SSL-соединения, это означает, что интернет-соединение на вашем телефоне не позволяет браузеру загружать страницу в целях безопасности и конфиденциальности.
Объявление нашего нового продукта:Android: https: // play.google.com/store/apps/details?id=game.mind.teaser.smartbrain
iOS: https://apps.apple.com/in/app/smart-brain-iq-logic-puzzles/id1535521299
Но что, если вы столкнулись с такой ошибкой на защищенном веб-сайте, который вы часто посещаете?
Диагностика проблемы
Ваш браузер обычно отображает эту ошибку, когда вы заходите на веб-сайт без сертификата SSL / TSL. Итак, сначала вам нужно проверить, ваше устройство или веб-сайт вызывает проблему. Вы можете диагностировать это, зайдя на защищенные SSL веб-сайты, такие как Google, Facebook или YouTube.Если вы не можете получить доступ ни к одному из этих веб-сайтов, проблема на вашей стороне. Вот как это можно исправить.
Способы исправить ошибку SSL-соединения
1. Убедитесь, что дата и время верны
Часто причина ошибки SSL-соединения так же проста, как несоответствие времени и даты вашего устройства и веб-сервера. Особенно, когда даты разные. Чтобы исправить эту ошибку, все, что вам нужно сделать, это включить автоматическую настройку времени и даты в настройках.
- Перейти к настройкам
- Поиск Время и дата
- Включить Дата и время автоматически
2.Очистить данные просмотров в Chrome
Еще одно решение, которое вы можете попробовать исправить ошибку SSL, — это очистить историю и данные браузера. Иногда сохраненный кеш и файлы cookie могут вызывать ошибку SSL, и вы можете очистить ее в настройках браузера. Вот как это можно сделать в Chrome.
- Перейти в Chrome
- Нажмите на на три вертикальные точки в правом верхнем углу
- Нажмите Настройки> Конфиденциальность> Очистить данные просмотра
- Установите флажки и нажмите Очистить данные
3.Отключите антивирус
Если вы установили на свой мобильный антивирус или приложение для обеспечения безопасности, скорее всего, оно мешает работе браузера. Любое антивирусное приложение с функцией блокировки незащищенных или вредоносных веб-сайтов может даже вызвать ошибку SSL-соединения. Попробуйте отключить его и снова зайти в браузер.
Рекомендуется прочитать: Как удалить вирус с телефона Android вручную
4. Проверьте соединение Wi-Fi
Другой причиной ошибки SSL может быть небезопасный общедоступный Wi-Fi.Если вы подключены к общедоступной сети Wi-Fi, попробуйте отключить ее и подключиться к частной сети Wi-Fi или Интернету телефона. Это должно решить проблему.
5. Сбросьте настройки телефона Android
Если ни одно из вышеперечисленных решений не помогло вам и проблема все еще сохраняется, последнее, что вы можете сделать, — это перезагрузить устройство. Сброс к заводским настройкам удалит все данные на вашем телефоне и включит заводские настройки по умолчанию, как на новом телефоне.
Однако перед сбросом настроек телефона обязательно сделайте резервную копию данных, так как они будут удалены в процессе.
- Перейти к настройкам
- Перейдите к системе > Параметры сброса и Удалить все данные (сброс к заводским настройкам)
- Подтвердите или введите PIN-код, если его спросят
Раз уж вы здесь, проверьте Digital Private Vault, приложение хранилища галереи, которое помогает вам хранить и скрывать ваши конфиденциальные данные на вашем смартфоне.