<![CDATA[向东博客 专注WEB应用 构架之美 --- 构架之美,在于尽态极妍 | 应用之美,在于药到病除]]> http://www.jackxiang.com/index.php zh-cn http://www.jackxiang.com/post// <![CDATA[[实践OK]解决FF34.0.5,Chrome41 无法打开网址出现ERR_SSL_VERSION_OR_CIPHER_MISMATC错的解决办法。]]> jack <xdy108@126.com> Wed, 24 Feb 2016 07:38:50 +0000 http://www.jackxiang.com/post// ——————————————————————————————————————————————————————————————————————————
chrome版本40以上不支持SSLv3的解决办法:
今天接到业务反馈问题。
用chrome浏览器打不开我们的https网页。
原因是chrome版本号40以上的版本不支持SSLv3,我们需要在nginx的vhost里修改一下:

修改为:
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers HIGH:!aNULL:!MD5;
然后重起nginx
来自:http://blog.sina.com.cn/s/blog_5425edf40102vl8i.html
来自:http://blog.sina.com.cn/s/blog_5425edf40102vl8f.html
====================================================
实践如下,对里面的SSLv3去掉,再就是之前是MEDIUM,后在startssl升级为高级后也得修改为HIGH,:
server {
        listen       443 ssl;
        ssl on;
        ssl_certificate     ssl/justwinit.crt;
        ssl_certificate_key ssl/justwinit.key;
        #ssl_protocols       TLSv1 TLSv1.1 TLSv1.2 SSLv3;
        #ssl_ciphers         MEDIUM:!aNULL:!MD5;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers HIGH:!aNULL:!MD5;  
————————————————————————————————————————————————
加上SSLv3也可以,实践发现出现ERR_SSL_VERSION_OR_CIPHER_MISMATC错的根本原因是因为:
ssl_ciphers         MEDIUM:!aNULL:!MD5;  ==》 ssl_ciphers HIGH:!aNULL:!MD5;导致没有对上号。
server {
        listen       443 ssl;
        ssl on;
        ssl_certificate     ssl/justwinit.crt;
        ssl_certificate_key ssl/justwinit.key;
        #ssl_protocols       TLSv1 TLSv1.1 TLSv1.2 SSLv3;
        #ssl_ciphers         MEDIUM:!aNULL:!MD5;
        #ssl_protocols   TLSv1 TLSv1.1 TLSv1.2;                                                                                                              
        ssl_protocols   TLSv1 TLSv1.1 TLSv1.2 SSLv3;
        ssl_ciphers HIGH:!aNULL:!MD5;
====================================================
目前还未解决:
FF报错:连接 ****.cn 时发生错误。 无法安全地与对等端通信:没有双方共用的加密算法。 (错误码: ssl_error_no_cypher_overlap)

Chrome报错:A secure connection cannot be established because this site uses an unsupported protocol.
错误代码:ERR_SSL_VERSION_OR_CIPHER_MISMATCH



经同事帮忙查明原因,赶紧记录下:

在服务器/usr/local/nginx/conf/include/下的lvs 配置 lvscheck.****.net_ssl.conf 中  下面这行导致的,原因是FF,chrome不支持SSLv3。

ssl_protocols SSLv3 ;

参照其他正常的服务器修改为:

ssl_protocols      TLSv1 TLSv1.1 TLSv1.2 SSLv3;
批量替换,我是因为顺序写不一致,注意下顺序:


来自:http://blog.sina.com.cn/s/blog_40e1ba640102vctc.html
Chrome还是不行:
http://www.oschina.net/news/56603/chrome-will-disable-sslv3-support
FF:
查看网页信息,连接加密这一行上会有加密凡是,例如百度就是AES-128,进入about:config中搜索AES就可以了。 ]]> http://www.jackxiang.com/post//#blogcomment <![CDATA[[评论] [实践OK]解决FF34.0.5,Chrome41 无法打开网址出现ERR_SSL_VERSION_OR_CIPHER_MISMATC错的解决办法。]]> <user@domain.com> Thu, 01 Jan 1970 00:00:00 +0000 http://www.jackxiang.com/post//#blogcomment