Informacione shtesë mbivendosje e kodit të gabimit ssl. Pse është e mundur një situatë e tillë?

Duke kaluar vazhdimisht kohë në internet, një person rrit gjasat e infektimit të pajisjeve të përdorura nga malware të ndryshëm. Nuk është për t'u habitur që sot ka shumë mënyra për t'u mbrojtur nga telashe të tilla.

Kompjuteri i përdoruesit mesatar mbrohet nga softuer i specializuar i integruar në vetë sistem, një program antivirus, si dhe protokolle speciale të sigurisë që përdorin vetë shfletuesit. Fatkeqësisht, ndonjëherë është opsioni i fundit që mund të shkaktojë që gabimi ssl të shfaqet në ekran.

Është veçanërisht e bezdisshme kur shfaqet gabimi i kodit të gabimit ssl pa mbivendosje të shifrave kur përpiqeni të vizitoni një burim vërtet të mirë dhe të sigurt.
Natyrisht, lind pyetja - si të jetojmë më tej dhe çfarë të bëjmë?

Pse është e mundur një situatë e tillë?

Pothuajse gjithmonë, një shqetësim i tillë ndodh nëse përdoruesi përdor shfletuesin e Internetit Firefox për të hyrë në rrjet.

Një program i përditësuar në versionin 34+, për disa arsye, mund të mos pranojë më protokollin SSLv3 të përdorur në sajte, duke ndaluar kështu aksesin në të.

Gjithashtu, një shkak i mundshëm rrënjësor është ndonjëherë një program antivirus që funksionon në kompjuter ose një Trojan i futur nga pakujdesia.

Si të rregulloni gabimin ssl pa mbivendosje të shifrave? Fillimisht, këshillohet të përdorni udhëzimet e mëposhtme:

1. Instaloni softuer efektiv që funksionon mirë kundër Trojans. Për shembull, mund të provoni AdwCleaner ose ekuivalentin e tij.
2. Çaktivizoni përkohësisht programin antivirus të përfshirë për të kontrolluar nëse mund të jepet qasja.
3. Kalo te një shfletues alternativ Interneti dhe provo ta përdorësh për të kryer operacionin e ndërprerë më parë. Në këtë rast, rekomandohet fuqimisht që të çinstaloni plotësisht Firefox-in dhe sigurohuni që të rindizni kompjuterin pas kësaj.
4. Shkoni te cilësimet e shfletuesit tuaj të internetit për të fshirë historinë, cookies dhe cache.

Nëse pronari i PC-së refuzon kategorikisht të kalojë në versionet e tjera të shfletuesve të disponueshëm sot, dhe asnjë nga pikat e mësipërme nuk solli rezultatin e kërkuar, atëherë ekziston një mënyrë tjetër për ta rregulluar atë - duke bërë ndryshime në cilësimet e FireFox:

1. Aktivizoni faqen kryesore të këtij softueri.
2. Shkoni në shiritin e kërkimit të programit, ku duhet të futni "about:config".
3. Bini dakord me veprimet e mëtejshme, duke marrë përgjegjësinë për ndryshimet e bëra.
4. Pasi të shfaqet një listë mjaft mbresëlënëse në ekran, përdorni edhe një herë aftësitë e integruara të kërkimit duke shtypur "security.tls.version" në të.
5. Nga të gjitha opsionet e propozuara, ndaluni vetëm në dy: "security.tls.version.min" dhe "security.tls.version.fallback-limit".
6. Duke klikuar me të djathtën mbi to një nga një, shkoni te opsioni "Ndrysho". Vendosni vlerat numerike në "0".
7. Rinisni pajisjen. Kontrolloni rezultatin.
   Nëse nuk ka rezultat pozitiv nga udhëzimet e mësipërme, rekomandohet ta përsërisni plotësisht, vetëm vendosni një në vend të zeros.

Unë jam duke zhvilluar një aplikacion ueb. Aktualisht, po përdor një certifikatë të vetë-nënshkruar (nënshkrimi i duhur vjen më vonë).

Kur e kam caktuar serverin e uebit në mënyrë që të pranojë vetëm TLS1.1 dhe TLS1.2, po marr një gabim SSL_ERROR_NO_CYPHER_OVERLAP. Dhe, natyrisht, të provosh lidhjen "përdor sigurinë e vjetëruar" nuk funksionon, pasi serveri i uebit nuk do t'i lejojë ato lidhje.

Nëse lejoj përkohësisht lidhje të pasigurta në serverin e uebit, Firefox-i më pas do të më lejojë të pranoj certifikatën. Pasi të pranohet certifikata, Firefox-i mund të lidhet vetëm me TLS1.1 dhe TLS1.2. Pra, shumicën e kohës, Firefox mund të gjejë një shifër të përbashkët për lidhjet TLS1.1/1.2.

(Serveri i uebit është në një kernel Ubuntu, me OpenSSL1.0.1f.)

Unë jam duke zhvilluar një aplikacion ueb. Aktualisht, po përdor një certifikatë të vetë-nënshkruar (nënshkrimi i duhur vjen më vonë). Kur e kam caktuar serverin e uebit në mënyrë që të pranojë vetëm TLS1.1 dhe TLS1.2, po marr një gabim SSL_ERROR_NO_CYPHER_OVERLAP. Dhe, natyrisht, të provosh lidhjen "përdor sigurinë e vjetëruar" nuk funksionon, pasi serveri i uebit Nuk do t'i lejojë ato lidhje. Nëse lejoj përkohësisht lidhje të pasigurta në serverin e uebit, Firefox më pas do të më lejojë të pranoj certifikatën. Pasi certifikata të pranohet, Firefox-i mund të lidhet vetëm me TLS1.1 dhe TLS1.2. Pra, Shumicën e kohës, Firefox-i mund të gjejë një shifër të përbashkët për lidhjet TLS1.1/1.2. (Serveri i uebit është në një kernel Ubuntu, me OpenSSL1.0.1f.)

Zgjidhja e zgjedhur

Më në fund kuptova se çfarë po ndodhte.

Rregullimi është me të vërtetë në konfigurimin e OpenSSL; megjithatë, duke qenë se Firefox-i është shfletuesi që e shfaq më lehtë problemin, unë do ta postoj përgjigjen këtu.

Gjithsesi, problemi është ndarja në OpenSSL e protokolleve të mbështetur vs. listën e shifrave.

Në një aplikacion që përdor OpenSSL, nëse përdorni diçka më të vjetër se OpenSSL 1.1.0, do t'ju duhet të çaktivizoni çdo protokoll më të vjetër se TLSv1. Bëni këtë me:

SSL_CTX_set_options(ctx, SSL_OP_NO_SSLv2 | SSL_OP_NO_SSLv3);

(Vini re se versionet e fundit të OpenSSL para versionit 1.1.0 e kanë SSLv2 të fikur si parazgjedhje, por nuk është e dëmshme ta çaktivizoni atë në mënyrë eksplicite me këtë telefonatë. Gjithashtu vini re se nëse çaktivizon TLSv1, do të prishni përputhshmërinë me disa aplikacione që bëni thirrje HTTPS; për shembull Firefox-i duket se përdor TLSv1 për të bërë shkëmbimin e certifikatave, përpara se të shkojë te protokollet më të forta për seancën).

Çelësi për të kuptuar gabimin SSL_NO_CYPHER_OVERLAP është se TLSv1 përdor vetëm shifra SSLv3.

Pra, po hasja në këtë çështje sepse kur çaktivizova SSLv3, po çaktivizoja edhe shifrat SSLv3. Për të vendosur shifrat OpenSSL, përdorni diçka si:

SSL_CTL_set_cipher_list(ctx, "TLSv1.2:TLSv1:SSLv3:!SSLv2:LARTË:!MEDIUM:!LOW");

Nëse përdorni në vend të kësaj (siç po përdorja unë fillimisht):

SSL_CTL_set_cipher_list(ctx, "TLSv1.2:TLSv1:!SSLv3:!SSLv2:LARTË:!MEDIUM:!LOW");

Në mënyrë efektive do të çaktivizoni TLSv1, pasi nuk ka shifra specifike për TLSv1 (të paktën në OpenSSL), dhe me shifrat SSLv3 të çaktivizuara, nuk është e mundur të krijoni një lidhje TLSv1.

Me SSLv3 të çaktivizuar, por shifrat TLSv1/SSLv3 të aktivizuara, Firefox-i mund të marrë certifikatat. Pas kësaj, shoh që Firefox-i më pas krijon një lidhje TLSv1.2.

Shumica e zgjidhjeve të mësipërme nuk janë të nevojshme për OpenSSL 1.1.0, pasi kjo nuk ka fare mbështetje për SSLv3.

Pyetje pronar

Faleminderit për përgjigjen tuaj.

Fatkeqësisht, unë jam duke u zhvilluar pas një muri zjarri, kështu që faqja e përmendur nuk është në gjendje ta skanojë atë.

A ka ndonjë mënyrë për të zbuluar se cilat shifra ka tentuar Firefox?

(Më duket ende e çuditshme që nëse e kam Firefox-in të pranojë certifikatën, duke ulur përkohësisht sigurinë, atëherë Firefox-i është në gjendje të bie dakord për një shifër sigurie të lartë.)

Faleminderit për përgjigjen tuaj. Fatkeqësisht, unë jam duke u zhvilluar pas një muri zjarri, kështu që faqja e përmendur nuk është në gjendje ta skanojë atë. A ka ndonjë mënyrë për të zbuluar se cilat shifra ka tentuar Firefox? (Më duket ende e çuditshme që nëse e kam Firefox-in të pranojë certifikatën, duke ulur përkohësisht sigurinë, atëherë Firefox-i është në gjendje të bie dakord për një shifër sigurie të lartë.)

Çfarë cilësimesh lidhjeje përdor Firefox nëse lejoni siguri më të ulët?

Ju mund ta kontrolloni këtë në skedën e Sigurisë në Monitorin e Rrjetit.

Çfarë cilësimesh lidhjeje përdor Firefox nëse lejoni siguri më të ulët? Ju mund ta kontrolloni këtë në skedën e Sigurisë në Monitorin e Rrjetit. *https://developer.mozilla.org/Tools/Network_Monitor

Pyetje pronar

Nuk e di nëse po klikoj mjaft në vendin e duhur.

Me Monitorin e Rrjetit të hapur, nëse klikoj në kërkesën GET, skeda e sigurisë thotë vetëm se certifikata e sigurisë është e pavlefshme (që unë pres, pasi është e pavlefshme).

Duke eksperimentuar me cilësime të ndryshme sigurie në server, duket se kur marr "certifikatë të pavlefshme", ai përdor SSLv3, ndërsa nëse e vendos serverin vetëm për TLS, marr "pa mbivendosje cypher" (megjithëse nuk po shoh një paralajmërim SSLv3 në skedën e sigurisë).

Nëse shkoj te about:config dhe kërkoj në Security*ssl, shoh një numër të madh shifrash të aktivizuara në listë. Nëse kërkoj në Security*tls, nuk shoh ndonjë shifër të listuar.

Unë kam bashkangjitur pamjet e ekranit. Ai me "pa mbivendosje cypher" është ajo që marr kur çaktivizoj SSLv3 në serverin tim të internetit dhe ajo me "lëshues të panjohur" është ajo që marr kur aktivizoj SSLv3 në serverin tim të uebit.

(Si Chrome dhe IE thjesht më japin gabimin "certifikata e pavlefshme", por do të lidhen ndryshe.)

Nuk e di nëse po klikoj mjaft në vendin e duhur. Me Monitorin e Rrjetit të hapur, nëse klikoj në kërkesën GET, skeda e sigurisë thotë vetëm se certifikata e sigurisë është e pavlefshme (që unë pres, pasi është e pavlefshme). Duke eksperimentuar me cilësime të ndryshme sigurie në server, duket se kur marr "certifikatë të pavlefshme", ai përdor SSLv3, ndërsa nëse e vendos serverin vetëm për TLS, marr "pa mbivendosje cypher" (megjithëse nuk po shoh një paralajmërim SSLv3 në skedën e sigurisë). Nëse shkoj te about:config dhe kërkoj në security*ssl, shoh një numër të madh shifrash të aktivizuara në listë. Nëse kërkoj në Security*tls, nuk shoh asnjë shifrat e listuara. Unë kam bashkangjitur pamjet e ekranit. Ai me "pa mbivendosje të shifrave" është ajo që marr kur çaktivizoj SSLv3 në serverin tim të uebit dhe ajo me "lëshues të panjohur" është ajo që marr kur aktivizoj SSLv3 në serverin tim të uebit. ( Si Chrome ashtu edhe IE thjesht më japin gabimin "certifikata e pavlefshme", por do të lidhen ndryshe.)

Ndryshuar më 18 maj 2016 në 9:55:13 PDT nga gshonle

Pyetje pronar

Bëra një gjurmë tcpdump; 10.1.233.67 është sistemi që ekzekuton Firefox; 10.1.85.41 është serveri Linux. Shihni imazhin e bashkangjitur.

Këtu janë shifrat TLSv1.2 të mbështetur nga Linux OpenSSL:

ECDHE-RSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA384 ECDHE-ECDSA-AES256-SHA384 DHE-DSS-AES256-GCM-SHA384 84 DHE-RSA-AES256-SHA256 DHE-DSS-AES256-SHA256 ECDH-RSA-AES256-GCM-SHA384 ECDH-ECDSA-AES256-GCM-SHA384 ECDH-RSA-AES256-SHAHECDES25656-256-SHAHECD4 GCM - SHA384 AES256-SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-ECDSA-AES128-SHA256 RSA- AES128 -GCM-SHA256 DHE-RSA-AES128-SHA256 DHE-DSS-AES128-SHA256 ECDH-RSA-AES128-GCM-SHA256 ECDH-ECDSA-AES128-GCM-SHA256 ECH-DSS-AES128-SHA256 ECDH-RSA-AES128-GCM-SHA256 ECDH-ECDSA-AES128-GCM-SHA256 ECDH-RSACSA-SHA256 A25 6 AES128-GCM-SHA256 AES128-SHA256

Pra, duket sikur ato pothuajse mbivendosen ...

Bëra një gjurmë tcpdump; 10.1.233.67 është sistemi që ekzekuton Firefox; 10.1.85.41 është serveri Linux. Shihni imazhin e bashkangjitur. Këtu janë shifrat TLSv1.2 të mbështetura nga Linux OpenSSL: ECDHE-RSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA384 ECDHE-ECDSA-SHASS3845 -GCM-SHA384 DHE-RSA-AES256-GCM-SHA384 DHE-RSA-AES256-SHA256 DHE-DSS-AES256-SHA256 ECDH-RSA-AES256-GCM-SHA384 ECDH-ECDSA-AES256-GCM-SHA384 ECDH-AES256-GCM-SHA384 -SHA384 ECDH-ECDSA-AES256-SHA384 AES256-GCM-SHA384 AES256-SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES128-GCM-SHA28ECDHA-128-GCM-SHA28ECDHA- AES1 28-SHA256 DHE -DSS-AES128-GCM-SHA256 DHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES128-SHA256 DHE-DSS-AES128-SHA256 ECDH-RSA-AES128-GCM-SHA256-SHA25 ECDH -RSA-AES128-SHA256 ECDH-ECDSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA256 Pra, duket sikur ato pothuajse mbivendosen...

Shtrëngimi i duarve SSL është mbi kokën time, por dy gjëra:

(1) Në asnjë rrethanë versionet e fundit të Firefox-it nuk do të përdorin SSLv3 si një protokoll. Protokolli më i ulët i mbështetur është TLS 1.0.

(2) Në about:config, emrat e preferencave për shifrat përmbajnë ssl3, por ky është një objekt historik dhe nuk ka asnjë lidhje me të protokoll që përdoret. Këto shifra duhet të aktivizohen në mënyrë që të jenë të disponueshme për lidhjet TLS.

Ka dy shifra që rekomandoj t'i vendosim në false, pasi ato lidhen me çështjen Logjam:

security.ssl3.dhe_rsa_aes_128_sha security.ssl3.dhe_rsa_aes_256_sha

Disa përdorues mund të preferojnë të vendosin edhe dy shifrat RC4 në false, por kjo mund të krijojë probleme me serverët më të vjetër të Microsoft IIS.

Ju duhet të jeni në gjendje të lidheni në mënyrë të sigurt duke përdorur këto shifra (lista juaj => emri i preferencës së Firefox-it):

ECDHE-RSA-AES128-GCM-SHA256 => security.ssl3.ecdhe_rsa_aes_128_gcm_sha256

ECDHE-ECDSA-AES128-GCM-SHA256 =>

Shtrëngimi i duarve SSL është mbi kokën time, por dy gjëra: (1) Në asnjë rrethanë versionet e fundit të Firefox-it nuk do të përdorin SSLv3 si ""protokoll"". Protokolli më i ulët i mbështetur është TLS 1.0. (2) Në about:config, emrat e preferencave për ""shifrat"" përmbajnë ssl3, por ky është një objekt historik dhe nuk ka asnjë lidhje me ""protokollin"" që përdoret. Këto shifra duhet të aktivizohen në mënyrë që të jenë të disponueshme për lidhjet TLS. Ka dy shifra që rekomandoj t'i vendosim në false, pasi ato janë të lidhura me çështjen e Logjam: security.ssl3.dhe_rsa_aes_128_sha security.ssl3.dhe_rsa_aes_256_sha Disa përdorues mund të preferojnë të vendosin edhe dy shifrat RC4 në false, por kjo mund të krijojë probleme me serverët më të vjetër të Microsoft IIS. Ju duhet të jeni në gjendje të lidheni në mënyrë të sigurt duke përdorur këto shifra (lista juaj => emri i preferencës së Firefox-it): ECDHE-RSA-AES128-GCM-SHA256 => security.ssl3.ecdhe_rsa_aes_128_gcm_sha256 ECDHE-ECDSA-AES128-GCM-35s>SHA2s. .ecdhe_ecdsa_aes_128_gcm_sha256

Pyetje pronar

Të dyja, security.ssl3.ecdhe_rsa_aes_128_gcm_sha256 dhe security.ssl3.ecdhe_ecdsa_aes_128_gcm_sha256 janë të aktivizuara në Firefox (Unë po përdor cilësimet e paracaktuara për gjithçka).

Pra... Ende në mëdyshje se çfarë po ndodh...

Të dyja, security.ssl3.ecdhe_rsa_aes_128_gcm_sha256 dhe security.ssl3.ecdhe_ecdsa_aes_128_gcm_sha256 janë të aktivizuara në Firefox (Unë jam duke përdorur cilësimet e paracaktuara për gjithçka). Pra... Ende jam në mëdyshje se çfarë po ndodh...

Shihni postimin e radhës

""Shiko postimin tjetër"" Duke parë pamjen e fundit të ekranit ("Përshëndetje klienti"), jam pak i hutuar. A është kjo lista e shifrave të makinës së klientit? Nuk përputhet me listën e Firefox-it -- në veçanti, sipas njohurive të mia, Firefox-i nuk mbështet asnjë shifër CBC, i cili përfshin pothuajse të gjitha ato që janë të listuara. A keni një përfaqësues përballë Firefox-it në klient?

Ndryshuar më 18 maj 2016 në 11:47:47 PDT nga jscher2000

Oops, e kam gabim bazuar në këtë sajt: https://www.ssllabs.com/ssltest/viewMyClient.html -- CBC shfaqet në disa nga emrat e shifrave atje edhe nëse nuk shfaqen në rreth:config.

Shifrat Suites (sipas preferencës) TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b) Sekreti i përparuar 128 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xcHECREDTD_Parapara) _AES_25 6_CBC_SHA (0xc00a) Fshehtësia e Përparuar 256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (0xc009) Sekreti i përparuar 128 TLS_ECDHE_RSA_WITH_AES_1128_ECD HE_RSA_WI TH_AES_256_CBC_SHA (0xc014) Përpara Fshehtësia 256 TLS_RSA_WITH_AES_128_CBC_SHA (0x2f) 128 TLS_RSA_WITH_AES_256_CBC_SHA (0x35) 256 TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa)

Këto dy nuk shfaqen në listën time normale, pasi i kam çaktivizuar siç u përmend më herët:

TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x33) Sekreti i përparuar 128 TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x39) Sekreti i përparuar 256

Me ato, ka 11 siç e patë në Client Hello.

Oops, e kam gabim bazuar në këtë sajt: https://www.ssllabs.com/ssltest/viewMyClient.html -- CBC shfaqet në disa nga emrat e shifrave atje edhe nëse nuk shfaqen në rreth:config. Shifra Suites (sipas preferencës) TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b) Fshehtësia e përparuar 128 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) Përpara TLS_WSA_ESA 6_CBC _SHA (0xc00a) Sekreti i përparuar 256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (0xc009) Fshehtësia e përparuar 128 TLS_ECDHE_RSA_WITH_AES_128_CBCc_1SHAIT H_AES _256_CBC_SHA (0xc014) Forward Secrecy 256 TLS_RSA_WITH_AES_128_CBC_SHA ( 0x2f) 128 TLS_RSA_WITH_AES_256_CBC_SHA (0x35) 256 TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa) 112 nuk janë përmendur në listën time normale: Këto dy nuk janë përmendur më parë. RSA_WITH_AES_128_CBC_SHA (0x33) Përcjellja e fshehtësisë 128 TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x39) Sekreti përpara 256 Me ato, janë 11 siç i patë në Client Hello.

Pyetje pronar

Paketa Hello Client është ajo që është dërguar nga sistemi që përdor Firefox; ai u dërgua kur Firefox tentoi lidhjen.

Kam kontrolluar dy herë dhe nuk kam një proxy përballë Firefox-it.

Për të cituar Alice: Kurioze dhe kurioze...

Paketa Hello Client është ajo që është dërguar nga sistemi që përdor Firefox; ai u dërgua kur Firefox tentoi lidhjen. Unë kontrollova dy herë dhe nuk kam një përfaqësues përballë Firefox-it. Për të cituar Alice: Më kureshtar dhe kureshtar...

Pyetje pronar

Po, OpenSSL 1.0.1f është nga janari i vitit 2014 dhe do të preferoja nëse do të shkonim në një version më të ri. Fatkeqësisht, plani aktual është që të mos kalojmë në një OpenSSL më të ri tani (jo zgjedhja ime).

Ndonjë ide për një hap tjetër?

Po, OpenSSL 1.0.1f është nga janari i 2014 dhe do të preferoja nëse shkonim në një version më të ri. Fatkeqësisht, plani aktual është që të mos kalojmë në një OpenSSL më të ri tani (jo zgjedhja ime). Çdo ide për një hapi tjeter?

Çfarë ndodh nëse klikoni lidhjen "(Jo i sigurt) Provoni të ngarkoni"?

Nëse ju duhet gjithashtu të anashkaloni certifikatën e keqe, pranoni një përjashtim të përkohshëm.

Më pas, duke supozuar se keni një lidhje të sigurt, kontrolloni protokollin dhe shifrën e listuar në dialogun e informacionit të faqes, paneli i sigurisë, drejt fundit, të cilin mund ta shikoni duke përdorur:

• kliko me të djathtën (në Mac Ctrl+click) një zonë të zbrazët të faqes dhe zgjidh View Page Info > Security
• (shiriti i menysë) Mjetet > Informacioni i faqes > Siguria
• klikoni drynin ose ikonën "i" në shiritin e adresave, më pas butonin ">", më pas Më shumë Informacion

Çfarë tregon si në përdorim atje?

Çfarë ndodh nëse klikoni lidhjen "(Jo i sigurt) Provoni të ngarkoni"? Nëse ju duhet gjithashtu të anashkaloni certifikatën e keqe, pranoni një përjashtim të përkohshëm. Më pas, duke supozuar se keni një lidhje të sigurt, kontrolloni protokollin dhe shifrën e listuar në dialogun e informacionit të faqes, paneli i sigurisë, drejt fundit, të cilin mund ta shikoni duke përdorur ose: * kliko me të djathtën (në Mac Ctrl + kliko) një zonë të zbrazët prej ​​faqja dhe zgjidhni Shiko informacionin e faqes > Siguria * (shiriti i menysë) Mjetet > Informacioni i faqes > Siguria * klikoni drynin ose ikonën "i" në shiritin e adresave, më pas butonin ">", më pas Më shumë informacion Çfarë shfaqet si në përdorim atje?

Pyetje pronar

Shihni bashkangjitur se çfarë ndodh nëse klikoj në lidhjen (Jo i sigurt). Meqenëse serveri im është vendosur të mos përdorë SSLv3, Firefox-i nuk mund të lidhet.

Nëse aktivizoj përkohësisht SSLv3 në serverin tim, mund të pranoj certifikatën e pavlefshme. Më pas, lidhja përdor TLS 1.2 (shifra është TLS_RSA_WITH_AES_128_CBC_SHA, çelësat 128 bit). (Nëse e pranoj përgjithmonë certifikatën, mund të lidhem gjithmonë menjëherë, edhe me SSLv3 të çaktivizuar në serverin tim.)

Shihni bashkangjitur se çfarë ndodh nëse klikoj në lidhjen (Jo i sigurt). Meqenëse serveri im është caktuar të mos përdorë SSLv3, Firefox-i nuk mund të lidhet. Nëse aktivizoj përkohësisht SSLv3 në serverin tim, mund të pranoj certifikatën e pavlefshme. Më pas, lidhja përdor TLS 1.2 (shifror është TLS_RSA_WITH_AES_128_CBC_SHA, çelësat 128 bit). ( Nëse e pranoj përgjithmonë certifikatën, mund të lidhem gjithmonë menjëherë, edhe me SSLv3 të çaktivizuar në serverin tim.)

Nuk mendoj se kjo ka të bëjë me SSLv3, pasi Firefox 46 nuk e mbështet fare SSLv3 në asnjë rrethanë. Kur aktivizoni SSLv3 në server, mendoj se duhet të ndryshojë diçka tjetër në të njëjtën kohë.

Gabimi që morët ishte SSL_ERROR_INAPPROPRIATE_FALLBACK_ALERT që tregoi se serveri u përpoq të zbriste nga TLS1.2 në një protokoll më të ulët. Kjo nuk ka vërtet kuptim nga ajo që po përshkruani, por mund të shihet me shifrat RC4.

Gjithsesi, nuk ka kuptim të zgjidhni më tej këtë version të vjetër të OpenSSL.

Nuk mendoj se kjo ka të bëjë me SSLv3, pasi Firefox 46 nuk e mbështet fare SSLv3 në asnjë rrethanë. Kur aktivizoni SSLv3 në server, mendoj se duhet të ndryshojë diçka tjetër në të njëjtën kohë. Gabimi që keni marrë ishte SSL_ERROR_INAPPROPRIATE_FALLBACK_ALERT, gjë që tregoi se serveri u përpoq të degradonte nga TLS1.2 në një protokoll më të ulët. Kjo nuk ka vërtet kuptim nga ajo që po përshkruani, por mund të shihet me shifrat RC4. Gjithsesi, nuk ka kuptim të zgjidhni problemet e këtij versioni të vjetër të OpenSSL më tej.

Pyetje pronar

Produkti për të cilin po punoj ka një sistem të integruar Linux, me një server në internet si pjesë e produktit total. Për shkak se ai nuk funksionon në pajisje standarde, ne jemi të kufizuar në cilat shpërndarje Linux mund të përdorim. Paketa më e fundit deb OpenSSL për atë shpërndarje është 1.0.1f. Për arsye përtej qëllimit të këtij diskutimi, ne po përdorim vetëm përditësime që kanë paketa deb.

Pra, për fat të keq, duket se ne do të duhet të dokumentojmë se mbështeten vetëm Chrome dhe IE dhe të mos përdorim Firefox.

Produkti për të cilin po punoj ka një sistem të integruar Linux, me një server në internet si pjesë e produktit total. Për shkak se ai nuk funksionon në pajisje standarde, ne jemi të kufizuar në cilat shpërndarje Linux mund të përdorim. Paketa më e fundit deb OpenSSL për atë shpërndarje është 1.0.1f. Për arsye përtej qëllimit të këtij diskutimi, ne po përdorim vetëm përditësime që kanë paketa deb. Pra, për fat të keq, duket se ne do të duhet të dokumentojmë se mbështeten vetëm Chrome dhe IE dhe të mos përdorim Firefox.

Ndryshuar më 24 maj 2016 në 1:07:42 PDT nga gshonle

Përgjigje e dobishme

Ju mund ta vini në vëmendje të furnizuesit tuaj, pasi ata në fund do të fajësohen për paaftësinë e produktit tuaj për të krijuar një lidhje të sigurt me Firefox-in.

Nuk jam i sigurt nëse është i zbatueshëm për produktin tuaj, por për disa faqe interneti, mund të aktivizoni kthimin duke shtuar një emër pritës në këtë preferencë:

(1) Në një skedë të re, shkruani ose ngjitni rreth: konfigurim në shiritin e adresave dhe shtypni Enter/Return. Klikoni butonin duke premtuar të jeni të kujdesshëm.

(2) Në kutinë e kërkimit mbi listën, shkruani ose ngjitni TLS dhe ndaloni ndërkohë që lista filtrohet

(3) Klikoni dy herë mbi siguria.tls.insecure_fallback_hosts preferenca dhe, ose:

(A) Nëse është bosh, shkruani ose ngjisni emrin e hostit dhe klikoni OK

(B) Nëse një ose më shumë emra të tjerë të hostit janë listuar tashmë, shtypni tastin End për të shkuar në fund, shkruani një presje, më pas shkruani ose ngjisni emrin shtesë të hostit dhe klikoni OK

Ju mund ta vini në vëmendje të furnizuesit tuaj, pasi ata në fund do të fajësohen për paaftësinë e produktit tuaj për të krijuar një lidhje të sigurt me Firefox-in. Nuk jam i sigurt nëse është i zbatueshëm për produktin tuaj, por për disa faqe interneti, mund të aktivizoni kthimin duke shtuar një emër hosti në këtë preferencë: (1) Në një skedë të re, shkruani ose ngjitni """about:config" "" në shiritin e adresave dhe shtypni Enter/Return. Klikoni butonin duke premtuar të jeni të kujdesshëm. (2) Në kutinë e kërkimit mbi listën, shkruani ose ngjisni """TLS""" dhe ndaloni ndërkohë që lista filtrohet (3) Klikoni dy herë në preferencën """security.tls.insecure_fallback_hosts"" dhe, ose : (A) Nëse është bosh, shkruani ose ngjisni emrin e hostit dhe klikoni OK (B) Nëse një ose më shumë emra të tjerë të hostit janë listuar tashmë, shtypni tastin Fund për të shkuar në fund, shkruani një presje, më pas shkruani ose ngjitni emrin shtesë të hostit dhe klikoni OK

Pyetje pronar

Nëse shtoj hostin tek insecure_fallback_hosts, tani marr: "Serveri e refuzoi shtrëngimin e duarve sepse klienti u degradua në një version më të ulët TLS sesa mbështet serveri. Kodi i gabimit: SSL_ERROR_INAPPROPRIATE_FALLBACK_ALERT"

Serveri është aktualisht i konfiguruar për TLSv1.2, TLSv1.1 dhe TLSv1.

Nëse shtoj hostin tek insecure_fallback_hosts, tani marr: "Serveri refuzoi shtrëngimin e duarve sepse klienti është ulur në një version më të ulët TLS sesa mbështet serveri. Kodi i gabimit: SSL_ERROR_INAPPROPRIATE_FALLBACK_ALERT" Serveri aktualisht është i konfiguruar për TLSv1.2, TLSv1.2, TLSv1.2, 1 dhe TLSv1.

Epo, TLS 1.0 është TLS më e ulët në të dyja anët, kështu që ky gabim nuk ka kuptim. Unë me të vërtetë nuk e di se çfarë po ndodh atje. Nuk po sillet siç kanë raportuar përdoruesit e serverëve të tjerë (jo se mund të lexoj gjithçka që postohet këtu).

Vullnetari i forumit mund të përsërisë gabimin e rikthimit të lidhjes me serverin që mbështet TLS1.1 dhe TLS1.0 por jo TLS1.2

Problemi i konfigurimit të murit të zjarrit që shkakton mesazh gabimi kthimi

Serveri preferon shifrat RC4 (problem në Firefox 36+):

E paqartë nëse është zgjidhur

Fajtori i mundshëm i BitDefender

BitDefender ishte fajtori

Epo, TLS 1.0 është TLS më e ulët në të dyja anët, kështu që ky gabim nuk ka kuptim. Unë me të vërtetë nuk e di se çfarë po ndodh atje. Nuk po sillet siç kanë raportuar përdoruesit e serverëve të tjerë (jo se mund të lexoj gjithçka të postuar këtu)..] - vullnetari i forumit mund të përsërisë gabimin e rikthimit kur lidhet me serverin që mbështet TLS1. 1 dhe TLS1.0 por jo TLS1..0.2] - problem i konfigurimit të murit të zjarrit që shkakton mesazh gabimi të kthimit Serveri preferon shifrat RC4 (problemi në Firefox 36+): - e paqartë nëse u zgjidh - BitDefender fajtori i mundshëm - BitDefender ishte fajtori

Mund të provoni të rrisni përkohësisht security.tls.version.min në 2 (ose 3) për të parë se çfarë efekti ka kjo.

Shfletuesit modernë kanë aftësi vërtet efektive antivirus. Edhe pa programe të ndryshme të palëve të treta, ata do të jenë në gjendje të mbrojnë kompjuterin tuaj nga Trojans spyware. Megjithatë, është pikërisht për shkak të masave të tilla të tepruara që përdoruesit marrin pa arsye bllokimin e faqeve të besueshme të Internetit. Një nga këto bllokime është "ssl_error_no_cypher_overlap". Një faqe interneti e mirë që ishte vetëm dje (për shembull, zakupki.gov) papritmas ndalon së ngarkuari. Kjo është shumë e zakonshme në shfletuesit Firefox dhe Internet Explorer.

Arsyet e gabimit

Nga vetë gabimi, mund të kuptoni se protokolli SSLv3 nuk mbështetet më, dhe pa këtë nivel sigurie, shfletuesi nuk mund të bëjë një lidhje. Kjo do të thotë, askush nuk mund të garantojë sigurinë tuaj, kështu që zgjidhja më e mirë është të bllokoni lidhjen me internetin.

Kodi i gabimit "ssl_error_no_cypher_overlap" në Mozilla Firefox

Arsyeja është përditësimi i shfletuesit Firefox në versionin më të fundit; për arsye të panjohura, nga versioni 34 ai fillon të indinjohet shumë kur lidh SSL-të e dyshimta. Shfletuesi gjen disa shtojca, skripte dhe protokolle sigurie të hakuara në burimin që vizitohet që mund të mbledhin informacione rreth përdoruesit dhe bllokon hyrjen në faqen e internetit. Një problem tjetër i mundshëm është një antivirus ose një Trojan (rrëmbyes i shfletuesit) që vepron në sistemin tuaj.

Rregullimi i një gabimi në lidhje

Më lejoni të vërej menjëherë se ne do ta heqim problemin me një kompjuter të infektuar; përdoruesi duhet të skanojë vazhdimisht sistemin me antiviruse dhe skanerë për praninë e malware. Ai lufton mirë kundër rrëmbyesve - AdwCleaner, për shembull.

Pra, së pari, le të rendisim disa këshilla të thjeshta për një zgjidhje të shpejtë:

• Duke përdorur Firefox-in, pastroni të gjitha kukit dhe cache, si dhe historinë.
• Çaktivizoni mbrojtjen e OS dhe ekranin e antivirusit për një kohë.
• Përdorni një shfletues tjetër pasi të keni çinstaluar fillimisht Firefox-in dhe të rindizni kompjuterin tuaj.
• Zëvendësoni skedarin e hosteve me atë të rekomanduar nga Microsoft. Do ta gjeni në faqen zyrtare të korporatës.

Ndryshimi i cilësimeve të Firefox-it

Një opsion më i vështirë është ndryshimi i cilësimeve të shfletuesit tuaj. Ju duhet të shkoni në menunë e tij rrënjësore dhe të ndryshoni disa artikuj të kërkuar:

• Le të hapim një faqe të re në Firefox. Futni në kolonën e kërkimit: about:config

• Nga disa pika, ne zgjedhim vetëm dy: siguria.tls.version.fallback-limit Dhe siguri.tls.version.min

Mbani në mend se duke vendosur vlera zero, ju e keni bërë shfletuesin të prekshëm, prandaj përpiquni të ktheni menjëherë të gjitha vlerat. Do të ishte e këshillueshme që administratori i faqes të tregonte problemin.

Kjo në shumicën e rasteve ndihmon për të rregulluar kodin e gabimit ssl_error_no_cypher_overlap në shfletues. Por ka një pikë shumë të rëndësishme për t'u marrë parasysh: tani jeni më pak të mbrojtur nga malware. Prandaj, është më mirë të mendoni shumë herë nëse kjo faqe ia vlen rrezikun e rritur të infektimit të kompjuterit tuaj me programe virusesh. Mund të jetë më e lehtë të ndryshoni shfletuesin tuaj ose të gjeni një burim tjetër në internet.

Kur përpiqet të lidhet me një sajt, përdoruesi mund të marrë mesazhin e gabimit ssl_error_no_cypher_overlap. Në këtë material, unë do t'ju tregoj se cili është ky kod gabimi, do t'ju shpjegoj arsyet e shfaqjes së tij dhe gjithashtu do t'ju tregoj se si të rregulloni gabimin ssl_error_no_cypher_overlap në kompjuterin tuaj.

Cili është ky gabim SSL

Siç mund të shihet nga formulimi i gabimit ssl_error_no_cypher_overlap, ky problem ndodh kur sajte të caktuara nuk mbështesin disa protokolle të enkriptimit (no_cypher_overlap). Zakonisht ne po flasim për sitin duke përdorur versionin 3.0 të protokollit SSL (krijuar në 1996), puna me të cilën në kohën tonë mund të ketë ndikimin më të trishtuar në sigurinë e përgjithshme të lidhjes dhe sigurinë e të dhënave të transmetuara.

Përkundër faktit se protokolli SSL ka pësuar zhvillim të mëtejshëm, i objektivizuar në protokollet TLS, disa sajte vazhdojnë të kërkojnë që përdoruesit të përdorin SSL të vjetëruar. Prandaj, aktivizimi dhe përdorimi i SSL në shfletuesin tuaj do të bëhet me rrezikun dhe rrezikun tuaj.

Arsyet e gabimit të ndodhur në shfletues

Siç është përmendur tashmë, arsyeja kryesore për shfaqjen e gabimit SSL është përdorimi i një protokolli të vjetëruar nga faqja; problemi mund të shkaktohet gjithashtu nga aktiviteti i programeve të virusit dhe antivirusit që bllokojnë ose modifikojnë lidhjen e rrjetit të Internetit.

Në këtë rast, gabimi në fjalë më së shpeshti regjistrohet në shfletuesin Mozilla Firefox (veçanërisht pas përditësimit nr. 34); ai ndodh jashtëzakonisht rrallë në shfletues të tjerë.

Si të rregulloni gabimin ssl_error_no_cypher_overlap

Këtu është një listë e metodave për të eliminuar gabimin në fjalë:

1. Rinisni kompjuterin tuaj. Kjo këshillë klishe ndonjëherë ndihmon;
2. Kontrolloni kompjuterin tuaj për programe virusesh duke përdorur një antivirus të besueshëm;
3. Provoni të çaktivizoni përkohësisht antivirusin dhe murin e zjarrit dhe më pas provoni të vizitoni faqen problematike;
4. Ju lutemi përdorni një shfletues tjetër. Meqenëse ky gabim ndodh më shpesh në Firefox, ndryshimi i shfletuesit mund ta rregullojë problemin;
5. Ndryshoni cilësimet e Firefox-it. Për ta bërë këtë, hapni një dritare të re në Mozilla, shkruani about:config në shiritin e adresave dhe shtypni enter. Konfirmoni që e pranoni rrezikun dhe më pas futni security.tls.version në shiritin e kërkimit. Pas marrjes së rezultateve nga disa vlera, ndryshoni vlerën e parametrave security.tls.version.fallback-limit dhe security.tls.version.min në 0. Pas këtyre risive, provoni të vizitoni sërish sitin problematik, ai duhet të ngarkohet.
6. Çaktivizo https. Udhëzimet.

konkluzioni

Shkaku më i zakonshëm i problemit ssl_error_no_cypher_overlap është protokolli kriptografik SSL i vjetëruar që përdorin disa sajte. Nëse përdorni Fox, atëherë ndryshoni vlerën e disa parametrave të shfletuesit siç tregohet më lart; në raste të tjera, çaktivizimi i përkohshëm i antivirusit dhe murit të zjarrit, si dhe ndryshimi i shfletuesit, mund të ndihmojë.