Z nejakého dôvodu sa mi na prenosnom počítači so systémom Windows 10 nepodarilo otvoriť niektoré webové stránky HTTPS (nie všetky!). Pri pokuse o otvorenie takejto webovej stránky v prehliadači sa zobrazí chyba: “This site can’t provide a secure connection”. Stránky sa nezobrazujú v prehliadačoch Google Chrome, Opera a Chromium. Bez HTTPS môžem otvoriť iba niektoré z nich, ktoré majú svoje stránky dostupné cez protokol HTTPS aj HTTP. Ak sa pokúsim otvoriť problémový web HTTPS v prehliadači Google Chrome, chyba vyzerá takto:
This site can’t provide a secure connection. sitename.com sent an invalid response. ERR_SSL_PROTOCOL_ERROR
Alebo takto:
This site can’t provide a secure connection. sitename.com uses an unsupported protocol. ERR_SSL_VERSION_OR_CIPHER_MISMATCH. The client and server don’t support a common SSL protocol version or cipher suite. This is likely to be caused when the server needs RC4, which is no longer considered secure.
Alebo v prehliadači Mozilla Firefox:
Secure Connection Failed
V prehliadačoch Opera a Chromium vyzerá chyba takmer rovnako. Ako môžem otvoriť tieto webové stránky HTTPS?
Odpoveď
Ako ste možno pochopili, problém súvisí s problémami s pripojením SSL medzi vaším prehliadačom a webovou stránkou s povoleným HTTPS. Dôvody sa môžu líšiť. V tomto článku som sa pokúsil zhromaždiť všetky spôsoby opravy chyby “This site can’t provide a secure connection, ERR_SSL_PROTOCOL_ERROR“ v populárnych prehliadačoch.
Obsah:
- Vymazať vyrovnávaciu pamäť prehliadača, súbory cookie a obnoviť vyrovnávaciu pamäť SSL
- Zakázať rozšírenia prehliadača tretích strán
- Skontrolujte nastavenia antivírusu a brány firewall
- Skontrolujte nastavenia dátumu a času
- Aktualizujte koreňové certifikáty systému Windows
- Zakázať podporu protokolu QUIC
- Skontrolujte protokoly TLS/SSL podporované vaším prehliadačom a webovým serverom
- Povoliť podporu pre staršie protokoly TLS/SSL
Chcel by som poznamenať, že napriek tomu, že rôzne spoločnosti vydávajú prehliadače Google Chrome, Opera a Chromium, používajú rovnaké WebKit (Chromium) a problém otvárania stránok HTTPS je pre všetky vyriešený rovnakým spôsobom.
V prvom rade sa uistite, že to nie je problém samotného HTTPS webu. Skúste otvoriť z iných zariadení (smartfón, tablet, domáci/pracovný počítač atď.). Skontrolujte tiež, či môžete problémovú webovú stránku otvoriť v iných prehliadačoch: IE/Edge alebo Mozilla Firefox.
Vymazať vyrovnávaciu pamäť prehliadača, súbory cookie a obnoviť vyrovnávaciu pamäť SSL
Vyrovnávacia pamäť prehliadača a súbory cookie často spôsobujú problémy s certifikátom SSL. Odporúčame najskôr vymazať vyrovnávaciu pamäť a súbory cookie vo vašom prehliadači. V prehliadači Chrome stlačte Ctrl + Shift + Delete (alebo prejdite na adresuchrome://settings/clearBrowserData), vyberte časový rozsah (Vždy) a kliknite Vyčistiť dáta.
Vymazanie vyrovnávacej pamäte SSL v systéme Windows 10 alebo 11:
- Ísť do Ovládací panel -> možnosti internetu;
- Kliknite na Obsah karta;
- Kliknite na Vymazať stav SSL tlačidlo;
- Správa "
The SSL cache was successfully cleared" objaví sa; - Reštartujte prehliadač a skontrolujte, či chyba ERR_SSL_PROTOCOL_ERROR pretrváva.
Zakázať rozšírenia prehliadača tretích strán
Odporúčame zakázať (vymazať) rozšírenia prehliadača tretích strán, najmä anonymizátory, proxy, VPN, antivírusové rozšírenia a ďalšie podobné doplnky, ktoré môžu narúšať návštevnosť cieľa webovej stránky. Zoznam povolených rozšírení prehliadača Chrome si môžete pozrieť v nastavenie -> Ďalšie nástroje -> Rozšírenia alebo prejdite na chrome://extensions/. Zakázať všetky podozrivé rozšírenia.
Skontrolujte nastavenia antivírusu a brány firewall
Ak máte v počítači nainštalovaný antivírus alebo firewall (často je zabudovaný do antivírusu ako modul), môžu blokovať prístup na webové stránky. Ak chcete zistiť, či váš antivírus alebo brána firewall blokuje prístup na stránku, skúste ich na chvíľu pozastaviť.
Veľa antivírusov má zabudovaný modul, ktorý kontroluje SSL/TLS certifikáty webových stránok. Ak antivírus zistí, že webová stránka používa nezabezpečený (resp vlastnoručne podpísaný) certifikát alebo starú verziu protokolu SSL (SSL 3.0 alebo TLS 1.0), môže antivírus blokovať prístup používateľa na takúto stránku. Skúste zakázať kontrolu prenosu HTTP/HTTPS a certifikátov SSL. V rôznych antivírusoch sa táto možnosť môže nazývať inak. Napríklad:
- Zakázať „
Enable SSL/TLS protocol filtering” možnosť v ESET NOD32 Antivirus;
- V Avaste sa táto možnosť nazýva „
Enable HTTPS scanning“ (nachádza sa v časti Nastavenia -> Aktívna ochrana -> Webový štít -> Prispôsobiť -> Hlavné nastavenia);
- Vstavaný firewall (
Spider Gate) môže blokovať webové stránky v antivíruse Dr. Web; - V Kaspersky Internet Security Antivirus prejdite na Nastavenia -> Rozšírené -> Sieť -> pridajte webovú lokalitu do vylúčení alebo vyberte Nekontrolujte šifrované pripojenia možnosť.
Skontrolujte nastavenia dátumu a času
Nesprávny dátum, čas (alebo časové pásmo) na vašom počítači môže tiež spôsobiť chyby zabezpečeného pripojenia pre webové stránky HTTPS. Váš operačný systém pri autentifikácii skontroluje dátum, kedy bol certifikát webovej stránky vytvorený, kedy končí a kedy končí platnosť certifikátu certifikačnej autority.
Uistite sa, že máte nastavený správny čas a časové pásmo. Ak sa čas neustále resetuje, pozrite si článok „Windows po reštarte zobrazuje nesprávny čas”.
Aktualizujte koreňové certifikáty systému Windows
Ak sa váš počítač nachádza v izolovanom segmente siete, nebol dlhší čas aktualizovaný alebo má vypnutú automatickú aktualizáciu, nemusí mať nové dôveryhodné koreňové certifikáty (TrustedRootCA). Odporúčame vám vždy nainštalovať najnovšie aktualizácie zabezpečenia v systéme Windows.
Dôveryhodné koreňové certifikáty môžete aktualizovať manuálne podľa článku „Aktualizácia zoznamu dôveryhodných koreňových certifikátov v systéme Windows”. Tiež sa odporúča skontrolujte, či váš počítač neobsahuje podozrivé alebo nedôveryhodné certifikáty pomocou SigCheck. Môže to pomôcť zabrániť zachytávaniu vašej návštevnosti HTTPS a mnohým ďalším problémom.
Zakázať podporu protokolu QUIC
Uistite sa, že podpora QUIC V prehliadači Chrome je povolený protokol (Quick UDP Internet Connections). QUIC umožňuje rýchlejšie nadviazať spojenie a vyjednáva všetky parametre TLS (HTTPS) pri pripájaní na webovú stránku. V niektorých prípadoch však môže spôsobiť problémy s pripojením SSL. Skúste vypnúť QUIC:
- Ísť do
chrome://flags/#enable-quic; - Nájsť Experimentálny protokol QUIC možnosť;
- Zmeňte jeho hodnotu z Predvolená na Zakázané;
- Reštartujte Chrome.
Skontrolujte protokoly TLS/SSL podporované vaším prehliadačom a webovým serverom
Skontrolujte, ktoré verzie protokolu TLS/SSL a metódy šifrovania (šifrovacie sady) váš prehliadač podporuje. Ak to chcete urobiť, jednoducho prejdite na webovú stránku https://clienttest.ssllabs.com: 8443/ssltest/viewMyClient.html
Online služba SSL Labs vráti zoznam protokolov a šifrovacích balíkov, ktoré váš prehliadač podporuje. V mojom príklade Chrome podporuje iba TLS 1.3 a TLS 1.2. Všetky ostatné protokoly (TLS 1.1, TLS 1.0, SSL3 a SSL 2) sú zakázané. Nižšie je uvedený zoznam podporovaných metód šifrovania.
Cipher Suites (v poradí podľa preferencie)
- TLS_AES_128_GCM_SHA256
- TLS_CHACHA20_POLY1305_SHA256
- TLS_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
- TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_AES_256_CBC_SHA
Get-TlsCipherSuite | Format-Table -Property CipherSuite, Name
Potom skontrolujte zoznam protokolov TLS/SSL, ktoré stránka podporuje. Ak to chcete urobiť, použite online službu kontroly SSL https://www.ssllabs.com/ssltest/analyze.html? d=domain.com (nahradiť domain.com s adresou lokality, ktorú chcete skontrolovať).
Skontrolujte, či sú vo vašom prehliadači dostupné všetky verzie TLS/SSL podporované webovou stránkou.
V tomto príklade môžete vidieť, že stránka nepodporuje TLS 3.1, SSL 3.0 a SSL 2.0. Porovnajte aj zoznam Cipher Suite.
Ak váš prehliadač nepodporuje metódu šifrovania, možno ju budete musieť povoliť v systéme Windows.
Ak webová lokalita nepodporuje protokoly SSL, ktoré klient vyžaduje, zobrazí sa chyba „This site cannot provide a secure connection” vo vašom prehliadači pri pripájaní k webovej lokalite s povoleným protokolom HTTPS.
Povoliť podporu pre staršie protokoly TLS/SSL
A posledná vec – môže sa stať, že na vyriešenie problému stačí povoliť staršiu podporu protokolov TLS a SSL. Vo väčšine prípadov je najefektívnejší, no túto položku som zámerne posunul na koniec článku. vysvetlím prečo.
Zastarané verzie protokolov TLS a SSL sú zakázané nielen preto, že to vývojári chcú. Je to kvôli veľkému množstvu zraniteľností, ktoré hackerom umožňujú zachytiť vaše údaje v prenose HTTPS alebo ich dokonca upraviť. Povolenie týchto starších protokolov bezmyšlienkovite ovplyvňuje vašu bezpečnosť na internete, preto by ste túto metódu nemali používať, pokiaľ vám nič iné nepomôže.
Ak webový server (stránka) používa staršiu verziu protokolu SSL/TLS, než je podporovaná vaším klientom (prehliadačom), používateľovi sa pri nadväzovaní zabezpečeného pripojenia zobrazí chyba ERR_SSL_VERSION_OR_CIPHER_MISMATCH. Táto chyba sa zobrazí, ak klient počas fázy TLS Handshake zistil, že lokalita používa šifrovací protokol alebo dĺžku kľúča, ktorú váš prehliadač nepodporuje. Vyššie sme ukázali, ako určiť množinu protokolov a šifier podporovaných serverom.
Ak chcete povoliť používanie starších verzií protokolov SSL/TLS v systéme Windows (upozorňujeme, že to nie je bezpečné!):
- OTVORENÉ Ovládací panel -> možnosti internetu;
- Choďte na Pokročilé karta;
- Povoliť TLS 1.0, TLS 1.1 a TLS 1.2 (ak to nepomôže, povoľte SSL 3.0, 2.0 tiež);
- Reštartujte prehliadač.
Ak žiadna z týchto metód nepomohla zbaviť sa chyby „Táto stránka nemôže poskytnúť zabezpečené pripojenie“, skúste nasledovné:
- Uistite sa, že v súbore nie sú žiadne statické záznamy
C:\Windows\System32\drivers\etc\hostSúbor hosts možno použiť v systéme Windows okrem iného na blokovať prístup k doménam a webovým stránkam:Get-Content $env: SystemRoot\System32\Drivers\etc\hosts; - Skúste použiť verejný server DNS, ako sú servery DNS spoločnosti Google. V nastaveniach sieťového pripojenia zadajte IP adresu 8.8.8.8 ako preferovaná adresa servera DNS;
- V Ovládací panel -> Možnosti internetu skontrolujte, či je úroveň zabezpečenia pre zónu Internet nastavená Stredne vysoko alebo Stredná. Ak Vysoká ak je vybraté, váš prehliadač môže blokovať niektoré pripojenia SSL;
- Problém možno súvisí s certifikátom lokality. Skontrolujte to pomocou online kontroly SSL;
- Ak váš počítač používa sieť VPN alebo a proxy server je nakonfigurovaný v nastaveniach systému Windows, skúste ich vypnúť;
- Uistite sa, že je v prehliadači Chrome povolený protokol TLS 1.3. Prejdite do sekcie nastavení (
chrome://flags) v paneli s adresou. Vyhľadajte TLS 1.3 možnosť. Uistite sa, že je nastavená na Povolené alebo Predvolené. Ak je deaktivovaná, povoľte ju;
- Ak používate jednu zo starších verzií OS (Windows XP alebo Windows 7), nainštalujte si Mozilla Firefox prehliadač namiesto prehliadača Chrome. Na rozdiel od motorov založených na prehliadači Chromium používa Firefox svoje vlastné implementačné moduly pre šifrovacie protokoly SSL/TLS namiesto modulov zabudovaných do systému Windows.
