标题:[实践OK]解决FF34.0.5,Chrome41 无法打开网址出现ERR_SSL_VERSION_OR_CIPHER_MISMATC错的解决办法。 出处:向东博客 专注WEB应用 构架之美 --- 构架之美,在于尽态极妍 | 应用之美,在于药到病除 时间:Wed, 24 Feb 2016 15:38:50 +0000 作者:jackxiang 地址:http://jackxiang.com/post/8531/ 内容: 背景:个人博客因为升级chrome浏览器遇到的问题:配置nginx服务器完成后测试,360se,极速浏览器可以访问,但是FF,chrome不能,还好IE可以。 —————————————————————————————————————————————————————————————————————————— chrome版本40以上不支持SSLv3的解决办法: 今天接到业务反馈问题。 用chrome浏览器打不开我们的https网页。 原因是chrome版本号40以上的版本不支持SSLv3,我们需要在nginx的vhost里修改一下: 修改为: ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers HIGH:!aNULL:!MD5; 然后重起nginx 来自:http://blog.sina.com.cn/s/blog_5425edf40102vl8i.html 来自:http://blog.sina.com.cn/s/blog_5425edf40102vl8f.html ==================================================== 实践如下,对里面的SSLv3去掉,再就是之前是MEDIUM,后在startssl升级为高级后也得修改为HIGH,: server { listen 443 ssl; ssl on; ssl_certificate ssl/justwinit.crt; ssl_certificate_key ssl/justwinit.key; #ssl_protocols TLSv1 TLSv1.1 TLSv1.2 SSLv3; #ssl_ciphers MEDIUM:!aNULL:!MD5; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers HIGH:!aNULL:!MD5; ———————————————————————————————————————————————— 加上SSLv3也可以,实践发现出现ERR_SSL_VERSION_OR_CIPHER_MISMATC错的根本原因是因为: ssl_ciphers MEDIUM:!aNULL:!MD5; ==》 ssl_ciphers HIGH:!aNULL:!MD5;导致没有对上号。 server { listen 443 ssl; ssl on; ssl_certificate ssl/justwinit.crt; ssl_certificate_key ssl/justwinit.key; #ssl_protocols TLSv1 TLSv1.1 TLSv1.2 SSLv3; #ssl_ciphers MEDIUM:!aNULL:!MD5; #ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_protocols TLSv1 TLSv1.1 TLSv1.2 SSLv3; ssl_ciphers HIGH:!aNULL:!MD5; ==================================================== 目前还未解决: FF报错:连接 ****.cn 时发生错误。 无法安全地与对等端通信:没有双方共用的加密算法。 (错误码: ssl_error_no_cypher_overlap) Chrome报错:A secure connection cannot be established because this site uses an unsupported protocol. 错误代码:ERR_SSL_VERSION_OR_CIPHER_MISMATCH 经同事帮忙查明原因,赶紧记录下: 在服务器/usr/local/nginx/conf/include/下的lvs 配置 lvscheck.****.net_ssl.conf 中 下面这行导致的,原因是FF,chrome不支持SSLv3。 ssl_protocols SSLv3 ; 参照其他正常的服务器修改为: ssl_protocols TLSv1 TLSv1.1 TLSv1.2 SSLv3; 批量替换,我是因为顺序写不一致,注意下顺序: sed -i "s/SSLv3 TLSv1 TLSv1.1 TLSv1.2/TLSv1 TLSv1.1 TLSv1.2 SSLv3/g" *.conf 来自:http://blog.sina.com.cn/s/blog_40e1ba640102vctc.html Chrome还是不行: http://www.oschina.net/news/56603/chrome-will-disable-sslv3-support FF: 查看网页信息,连接加密这一行上会有加密凡是,例如百度就是AES-128,进入about:config中搜索AES就可以了。 Generated by Jackxiang's Bo-blog 2.1.1 Release