Меню Закрыть

Error code ssl error no cypher overlap

При просмотре веб-сайтов с использованием браузера Firefox, если вы обнаружите, что большая часть веб-ссылок заблокирована, и вы получаете код ошибки SSL ERROR NO CYPHER OVERLAP, тогда возникает проблема с одной из настроек SSL/TLS в браузере. Вам нужно проверить несколько параметров связанных с TLS/SSL, чтобы исправить эту ошибку в Firefox.

SSL_ERROR_NO_CYPHER_OVERLAP

Закройте все вкладки, которые открыты в настоящее время, и сохраните всю свою работу. Затем откройте новую вкладку и введите в адресную строку URL about:config, чтобы открыть скрытые настройки Firefox. Если вы получите предупреждение, примите его. На следующем экране будут отображены все настройки конфигурации.

1. Сбросить настройки TLS

В окне поиска над списком введите TLS. Это покажет все настройки, которые имеют конфигурацию TLS. TLS обозначает разъем транспортного уровня. Теперь найдите любые настройки, которые выделены жирным текстом. Если да, это означает, что настройка была изменена. Чтобы восстановить его по умолчанию, щелкните правой кнопкой мыши и выберите "Сбросить". На скрине ниже у меня измененная настройка выделена жирным "network.http.tls-handshake-timeout", вот ее нужно и сбросить.

2. Сбросить настройки SSL

Далее повторяем поиск и вводим SSL3. Ищем опять жирный текст, который означает, что параметр был изменен. Нажимаем на нем правой кнопкой мыши и "Сбросить". Я бы рекомендовал еще для повышения безопасности эти два параметра заблокировать. Установите для них значение false. Эти два параметра связаны с популярной уязвимостью Logjam, которая появилась три года назад.

3. Изменение версии TLS

Изменение версии TLS для обхода ошибки — отличный вариант, но не забывайте, что вы не должны делать этого для каждого веб-сайта. Зайдите обратно в скрытые параметры браузера Firefox, введя в адресную строку URL about:config, далее в поиске наберите TLS и найдите

  • security.tls.version.fallback-limit — измените значение на .
  • security.tls.version.min — установите значение .
  • Проверьте, можете ли вы получить доступ к веб-сайту.

Предупреждение: Изменение этих значений сделает ваш браузер менее безопасным. Так что сделайте это, если это очень необходимо на некоторое время. Обязательно верните эти значения по умолчанию или сбросьте.

Ошибка SSL_ERROR_NO_CYPHER_OVERLAP означает, что браузер Mozilla Firefox не может установить безопасное соединение с сайтом. В проблеме виноват владелец сайта, неправильно выставивший настройки SSL и TLS. Пользователю остается попробовать изменить настройки SSL/TLS в Firefox или попросту зайти на сайт с другого браузера (перейти к решению).

Ошибка появляется, когда администратор отключает шифры SSLv3 при использовании протокола TLSv1. Актуально при использовании OpenSSL. Из-за неправильных настроек сервера образуется несовместимость: TLSv1 использует только шифры SSLv3.

При отключении SSLv3 возникает код ошибки SSL_ERROR_NO_CYPHER_OVERLAP. Подробнее можно почитать на официальном сайте поддержки (https://support.mozilla.org/ru/questions/1121391, на английском), а также проверить работу сертификата SSL (https://www.ssllabs.com/ssltest/).

Проблема в том, что эта ошибка SSL часто появляется на официальных сайтах (к примеру, сайт госзакупок zakupki.gov.ru), и решать её приходится именно пользователю, а не администратору.

Исправление SSL_ERROR_NO_CYPHER_OVERLAP

SSL_ERROR_NO_CYPHER_OVERLAP означает ошибку безопасного доступа, поскольку сайт не поддерживает протокол шифрования SSL 3.0. Другой вариант — Этот сайт поддерживает только протокол SSL 3.0, который отключён в Firefox — надо просто включить данный протокол в браузере.

Вообще, самое простое решение — сменить браузер на любой другой, хоть Internet Explorer. Mozilla Firefox с протоколом SSL 3.0 все равно не подружить. Ошибки на стороне сервера пользователь исправить тоже не может. Однако, можно изменить версию TLS в браузере и изменить настройки SSL, после чего проблема может перестать появляться.

Читайте также:  Transcend jf v30 восстановление

Другая возможная причина — сбои в браузере Mozilla Firefox. Для исправления неполадок не лишним будет сбросить настройки TLS/SSL и выполнить профилактические меры: обновить браузер до последней версии, очистить кэш и куки.

Для начала следует снять блокировку опасного содержимого:

  1. Открыть Настройки в меню или нажав на значок в виде трех вертикальных палочек в правой верхней части окна.
  2. В настройках перейти в раздел Приватность и защита.
  3. Найти и снять флажок Блокировать опасное и обманчивое содержимое.
  4. Перезагрузить браузер (лучше — компьютер), проверить наличие ошибки.

Если не помогло, придется вносить изменения в настройки фаерволла в Firefox и сбрасывать настройки TLS. Перед этим рекомендуется: очистить кэш и куки в браузере; отключить антивирус; отключить плагины, блокирующие рекламу (AdBlock, ADWcleaner); попытаться зайти на сайт через другой браузер, если есть такая возможность.

Изменение версии протокола security.tls.version:

  1. Открыть новую вкладку, в адресную строку вбить about:config.
  2. Нажать Enter, согласиться с предупреждением на экране о возможных последствиях.
  3. Воспользоваться поиском по странице или вбить в строке поиска security.tls.version.
  4. После поиска в окне должно остаться два параметра: security.tls.version.min и security.tls.version.fallback-limit.
  5. Нужно по очереди нажать правой кнопкой мыши на каждом параметре, выбрать Изменить и выставить значение .
  6. Перезагрузить браузер, попробовать зайти на сайт.

Если на сайт зайти не получилось, нужно повторить действия из списка выше, только выставить значение 1. Перезапустить браузер и проверить доступность веб-страницы.

Сброс измененных настроек TLS:

  1. Открыть настройки, вбить в адресной строке about:config, согласиться с предупреждением.
  2. Ввести в поиске TLS.
  3. Найти все строчки, выделенные в списке жирным шрифтом. Полужирный шрифт означает, что настройки изменялись. На скриншоте таким параметром является network.http.tls-handshake-timeout.
  4. Нужно щелкнуть на каждой строчке правой кнопкой мыши и выбрать Сбросить, чтобы восстановить значение по-умолчанию.

Последний известный способ — сброс настроек SSL:

  1. Найти в настройки, в строке поиска вбить SSL3.
  2. Найти параметры, которые были изменены (выделены полужирным).
  3. Кликнуть по ним правой кнопкой мыши и выбрать Сбросить для восстановления значений по-умолчанию.

Дополнительно можно найти еще два параметра и установить для них значение false.

Даже если это не поможет избавиться от ошибки, то по крайней мере закроет уязвимость, найденную в Firefox еще несколько лет назад. Если не помогает ни один из способов — стоит искать способ воспользоваться другим браузером, хотя бы штатным IE.

14 Michael [2009-02-13 22:01:00]

У моих коллег и у меня проблемы с использованием Firefox 3.0.6 для доступа к веб-приложению Java 1.6.0 ___ 11, которое мы разрабатываем. Все работает отлично от 1 до 30 минут в сеансе. но в итоге соединение не работает и появляется следующая ошибка:

Secure Connection Failed

An error occurred during a connection to 10.x.x.x.

Cannot communicate securely with peer: no common encryption algorithm(s).

(Error code: ssl_error_no_cypher_overlap)

IE работает нормально. Firefox выдает ошибку как в Windows, так и в Fedora, поэтому проблема не связана с ОС. Приложение Java EE работает на сервере Tomcat 6.0.16. Все страницы шифруются с использованием TLS 1.0 через HTTP-сервер Apache 2.2.8 с mod_nss.

Наш сервер Apache настроен на отклонение соединений SSL 3.0. Одна из гипотез заключается в том, что Firefox может пытаться установить соединение SSL 3.0. но почему?

На основе некоторого Googling мы пробовали следующие вещи, но безуспешно:

используя Firefox 2.x(некоторые люди сообщали о случаях, когда 2.x работал, но 3.x не делал этого):

отключить OCSP (Инструмент > Параметры > Дополнительно > Шифрование > Проверка)

Читайте также:  Мощный двигатель для квадрокоптера

убедитесь, что антивирус/брандмауэр клиентского компьютера не блокирует или не сканирует порт 443 (порт https)

java security firefox ssl apache

11 ответов

У меня была такая же проблема, обновив сертификат для нашего сервера по адресу www.tpsynergy.com. После импорта нового сертификата сервера и перезапуска tomcat ошибка, которую мы получали, была ERR_SSL_VERSION_OR_CIPHER_MISMATCH. После много исследований я использовал эту ссылку https://www.sslshopper.com/certificate-key-matcher.html для сравнения csr (запрос подписи сертификата к фактическому сертификату). Оба они не совпали. Поэтому я создал новый csr и получил новый сертификат и установил его. Это сработало.

Таким образом, полные шаги для процесса:

  • С того же сервера, на котором будет установлен сертификат, создайте CSR

keytool -keysize 2048 -genkey -alias tomcat -keyalg RSA -keystore tpsynergy.keystore(при необходимости измените имя домена)

При создании этого запроса он запрашивает имя и фамилию. Не указывайте свое имя, но используйте доменное имя. Например, я дал его как www.tpsynergy.com

2.keytool -certreq -keyalg RSA -alias tomcat -file csr.csr -keystore tpsynergy.keystore

Это создаст файл csr.csr в той же папке. скопируйте его содержимое на сайт godaddy и создайте новый сертификат.

Загруженный сертификат zip файла будет иметь три файла gd_bundle-g2-g1.crt gdig2.crt youractualcert.crt

Вам необходимо загрузить корневой сертификат gdroot-g2.crt из репозитория godaddy.

Скопируйте все эти файлы в тот же каталог, из которого вы создали файл CSR, и где находится файл хранилища ключей.

Теперь запустите следующие команды один за другим, чтобы импортировать сертификаты в хранилище ключей

keytool -import -trustcacerts -alias root -file gd_bundle-g2-g1.crt -keystore tpsynergy.keystore

keytool -import -trustcacerts -alias root2 -file gdroot-g2.crt -keystore tpsynergy.keystore

keytool -import -trustcacerts -alias middle -file gdig2.crt -keystore tpsynergy.keystore

keytool -import -trustcacerts -alias tomcat -file yourdomainfile.crt -keystore tpsynergy.keystore

Убедитесь, что файл server.xml в папке conf имеет эту запись

5 alexh [2009-08-24 17:14:00]

Учитывая то, что вы пробовали, и сообщения об ошибках, я бы сказал, что это больше связано с использованием точного алгоритма шифрования, а не с версией TLS/SSL. Используете ли вы не-Sun JRE, или какую-либо другую реализацию безопасности поставщика? Попробуйте использовать другую JRE/ОС для тестирования вашего сервера, если сможете. В противном случае вы можете просто увидеть, что происходит с Wireshark (с фильтром ‘tcp. порт == 443 ‘).

3 Lex Li [2009-08-29 07:50:00]

Если вы просмотрите процесс согласования SSL в Википедии, вы узнаете, что в начале сообщения ClientHello и ServerHello отправляются между браузером и сервером.

Только если шифры, предоставленные в ClientHello, имеют перекрывающиеся элементы на сервере, сообщение ServerHello будет содержать cypher, поддерживаемый обеими сторонами. В противном случае соединение SSL не будет инициировано, так как отсутствует общий шифр.

Чтобы решить проблему, вам нужно установить cyphers (обычно на уровне ОС), вместо того, чтобы пытаться работать в браузере (обычно браузер использует ОС). Я знаком с Windows и IE, но я мало знаю об Linux и Firefox, поэтому я могу только указать, что неправильно, но не может предоставить вам решение.

0 SharpC [2015-10-02 14:23:00]

У меня были проблемы с аналогичными проблемами для защиты сайтов (https://) при использовании Burp (или, по крайней мере, проблема, которая привела бы к вы на эту страницу при поиске в Google):

  • ssl_error_no_cypher_overlap в Firefox
  • ERR_SSL_VERSION_OR_CIPHER_MISMATCH в Chrome

Оказалось, что проблема связана с с использованием Java 8. Когда я переключился на Java 7, проблема остановилась.

0 nchris [2009-02-13 22:14:00]

В расширенных настройках firefox вы должны установить шифрование. По умолчанию SSL3.0 и TLS1.0 должны быть проверены, поэтому если firefox пытается создать ssl 3.0, попробуйте отключить настройку ssl 3.0.

Читайте также:  Как в ворде сделать таблицу по алфавиту

Если это не сработает, попробуйте найти страницу about: config для "ssl2" У моего Firefox есть настройки с установкой ssl2 по умолчанию false.

Первое, что я хотел бы проверить, это config для mod_nss. Это странный, потому что он принадлежит вам, и в мире нет такого:-) Если бы у вас была огромная ошибка в Firefox или mod_nss, я бы предположил, что вы уже узнали об этом в своем квест google. Тот факт, что вы воспользовались настройкой (например, отключением SSL3 и различными другими случайными настройками), также вызывает подозрение.

Я вернусь к очень ванильному mod_nss config и посмотрю, работает ли это. Затем систематически измените ситуацию на текущую конфигурацию, пока не сможете воспроизвести проблему. По его звуку источник ошибки находится где-то в конфигурации шифрования mod_nss и связанных с ним протоколах. Так что, возможно, вы случайно что-то изменили там, пытаясь отключить SSLv3 (кстати, почему отключить SSL3? Обычно люди отключают V2?).

Еще одна вещь, которую нужно проверить, это то, что вы находитесь на последнем mod_nss, и это не известная ошибка. Интересен тот факт, что ему удается начать сеанс, а затем провалиться позже — это говорит о том, что, возможно, он пытается пересмотреть сеанс и не может договориться о шифрах в этот момент. Таким образом, это могут быть симметричные шифры. Или это может быть просто ошибка реализации в вашей версии mod_nss, которая каким-то образом искажает протокол.

Еще одна идея, и это дикая догадка, браузер пытается возобновить сеанс, который был согласован с SSLv3, прежде чем отключить его, и что-то ломается при попытке возобновить этот сеанс, когда V3 выключен, или, может быть, mod_nss просто не реализует его правильно.

Материал java/tomcat кажется красной селедкой, если я не понял ваше описание, ничто из этого не связано с SSL-квитированием/протоколом.

-1 moocow [2010-10-02 23:03:00]

Если вы получите ошибку перекрытия шифрования на firefox, и вы оставили ее по умолчанию, вы используете то, что должно быть очень небезопасным сайтом, пытающимся использовать очень слабый шифр "экспортного класса". Использование этих шифров в наши дни не поощряется, и я лично перестану использовать сайт, пытающийся использовать такой слабый шифр.

Что сработало для меня, я:

  • Отправлено: config.
  • В окне поиска введите "безопасность".
  • Установите все возвращенные записи по умолчанию.
  • В поле поиска введите "ssl".
  • Задайте все возвращенные результаты по умолчанию.
  • Включено ssl2.
  • Отключено ssl3.
  • Перезагруженный Firefox.

Примечание о перезапуске Firefox: когда я запустил его очень скоро после его закрытия, у него часто возникает проблема с доступом к файлу, для чего мне требуется удалить places.sqlite и places.sqlite-journal в C:WINDOWSApplication DataMozillaFirefoxProfiles
18091xv.default
. Это заставляет меня потерять мою историю, плюс закладки должны быть восстанавливается из резервной копии каждый раз, когда это происходит. Я жду от пяти до десяти минут или больше, чтобы избежать этих хлопот.

Запуск Firefox v3.5.1 на WinMe

-2 [2009-09-01 16:26:00]

У меня была такая же проблема; для решения было достаточно, чтобы включить все схемы SSL в "about: config". Я нашел их путем фильтрации с помощью ssl. Сначала я включил все опции для того, чтобы отключить ненужные.

-2 amir [2014-10-22 22:31:00]

"Сообщение об ошибке: ssl_error_no_cypher_overlap" после входа в систему, когда ожидается экран приветствия — с помощью браузера Firefox

Рекомендуем к прочтению

Добавить комментарий

Ваш адрес email не будет опубликован.