Quando si visita un sito Web in esecuzione su HTTPS, vengono eseguiti una serie di passaggi tra il browser e il server per garantire che il certificato e la connessione SSL/TLS siano validi.
Alcuni di questi includono l’handshake TLS, il controllo del certificato nei confronti dell’autorità di certificazione e la decrittografia del certificato. Se per qualche motivo al browser non piace quello che vede, come una configurazione errata o una versione non supportata, il vostro browser potrebbe visualizzare il seguente errore: “ERR_SSL_VERSION_OR_CIPHER_MISMATCH” che vi impedisce di accedere al sito. Ecco alcuni consigli per correggere questo errore.
Consulta alcuni consigli su come correggere questo errore.
Le cause dell’errore ERR_SSL_VERSION_OR_CIPHER_MISMATCH
L’errore ERR_SSL_VERSION_OR_CIPHER_MISMATCH si verifica in genere su sistemi operativi o browser datati. Ma non è sempre questo il caso.
In effetti, ci siamo recentemente imbattuti in un utente che stava migrando su Kinsta da un altro host, il quale ha riscontrato questo problema sul suo sito WordPress. Stavamo operando, ovviamente, sull’ultima versione di Chrome, quindi il problema era con il loro certificato SSL. Chrome vi sta effettivamente proteggendo non permettendovi di caricare il certificato.
You might also see a variation of the error, such as:
- Error 113 (net::err_ssl_version_or_cipher_mismatch): unknown error
- The client and server don’t support a common SSL protocol version or cipher suite
Check out reasons below on why this happens and what you can do about it.
- Check Your SSL Certificate
- Check for Certificate Name Mismatch
- Check for Old TLS version
- Check RC4 Cipher Suite
- Try Clearing the SSL State On Your Computer
- Use a New Operating System
- Temporary Disable Antivirus
Verifica del Certificato SSL
Se vedete questo errore, la prima e più semplice cosa da fare è eseguire un controllo SSL sul certificato che è installato sul sito. Consigliamo di utilizzare lo strumento di controllo SSL gratuito di Qualys SSL Labs. È molto affidabile e lo utilizziamo per tutti i client Kinsta per la verifica dei certificati. Basta inserire il vostro dominio nel campo Hostname e fate clic su “Submit”.
Potete anche selezionare l’opzione per nascondere i risultati pubblici se preferite. Potrebbe volerci un minuto o due per eseguire la scansione della configurazione SSL/TLS del sito sul server.
Verifica della Mancata Corrispondenza del Nome del Certificato
In questo caso specifico, il cliente che passava a Kinsta aveva una mancata corrispondenza del nome del certificato che stava generando l’errore ERR_SSL_VERSION_OR_CIPHER_MISMATCH. Come potete vedere dal test SSL Labs riportato qui sotto, questa verifica è abbastanza facile e veloce da effettuare. Come afferma SSL Labs, una mancata corrispondenza può dipendere da diverse cose, come:
- Il sito non utilizza SSL, ma condivide un indirizzo IP con un altro sito che ne fa uso.
- Il sito non esiste più, sebbene il dominio punti ancora al vecchio indirizzo IP, dove ora è ospitato un altro sito.
- Il sito utilizza un Content Delivery Network (CDN) che non supporta SSL.
- L’alias del nome dominio è per un sito web il cui nome è diverso, ma l’alias non è stato incluso nel certificato.
Un altro strada semplice per verificare il problema del nome del dominio corrente sul certificato è aprire Chrome DevTools sul sito. Clic destro su qualsiasi parte della pagina e poi su “Ispeziona” (“Inspect”), quindi clic sulla scheda Security e poi su “View Certificate”. Il dominio emesso verrà mostrato nelle informazioni del certificato. Se questo non corrisponde al sito corrente su cui vi trovate, è un problema.
Ricordate però che ci sono certificati con caratteri jolly e altre varianti, ma per un sito tipico, dovrebbe corrispondere esattamente. Comunque, nel nostro caso, l’errore ERR_SSL_VERSION_OR_CIPHER_MISMATCH in realtà ci ha impedito di verificarlo in Chrome DevTools. È qui che uno strumento come SSL Lab può rivelarsi utile.
Verifica della versione precedente di TSL
Un’altra possibile ragione è che la versione TLS in esecuzione sul server Web è obsoleta. In teoria, dovrebbe essere in esecuzione almeno TLS 1.2 (meglio ancora, TLS 1.3). Se siete clienti Kinsta, non dovrete mai preoccuparvi di questo perché aggiorniamo sempre i nostri server alle versioni più recenti e compatibili. Kinsta supporta TLS 1.3 su tutti i nostri server e la nostra Kinsta CDN. Cloudflare abilita anche TLS 1.3 per impostazione predefinita.
(Lettura suggerita: se state usando versioni precedenti di TLS, potreste voler correggere le notifiche ERR_SSL_OBSOLETE_VERSION su Chrome).
Anche in questo caso, il tool di SSL Labs può essere d’aiuto. Nella configurazione, viene mostrata la versione corrente di TLS in esecuzione sul server con quel certificato. Se è obsoleto, contattate il vostro host e chiedetegli di aggiornare la loro versione di TLS.
Verifica della Suite di Crittografia RC4
Un altro motivo, secondo la documentazione di Google sull’errore ERR_SSL_VERSION_OR_CIPHER_MISMATCH, è che la suite di crittografia RC4 è stata rimossa dalla versione 48 di Chrome. Non è molto frequente, ma potrebbe verificarsi in grandi implementazioni aziendali che richiedono RC4. Perché? Perché in genere tutto richiede più tempo per l’upgrade e l’aggiornamento in configurazioni più grandi e complesse.
Ricercatori nella sicurezza, Google e Microsoft raccomandano di disattivare RC4. Quindi dovreste assicurarvi che la configurazione del server sia abilitata ad una suite di crittografia diversa. È possibile visualizzare la suite di crittografia attiva nel tool di SSL Labs (come indicato di seguito).
Provare a Cancellare lo Stato SSL sul Proprio Computer
Un’altra cosa da provare è cancellare lo stato SSL in Chrome. Proprio come svuotare la cache del browser. A volte questo può d’aiuto se le cose non si sincronizzano. Per cancellare lo stato SSL in Chrome su Windows, procedete nel seguente modo:
- Fate clic sull’icona Impostazioni di Google Chrome (Impostazioni), quindi su Impostazioni.
- Fate clic su Impostazioni Avanzate.
- Nella sezione Sistema, fate clic su Apri le impostazioni proxy. Viene visualizzata la finestra di dialogo Proprietà Internet.
- Fate clic sulla scheda Contenuto.
- Fate clic su “Cancella stato SSL”, quindi su OK.
- Riavviate Chrome.
Se siete su Mac, seguite queste istruzioni su come cancellare un certificato SSL.
Utilizzare un Nuovo Sistema Operativo
I vecchi sistemi operativi non sono più aggiornati alle nuove tecnologie come TLS 1.3 e le ultime suite di crittografia, dato che i browser smettono di supportarli. Componenti specifici negli ultimi certificati SSL smetteranno semplicemente di funzionare. Google Chrome, infatti, ha rimosso Windows XP nel 2015. Consigliamo sempre di eseguire l’aggiornamento ai sistemi operativi più recenti, se possibile, come Windows 10 o l’ultima versione di Mac OS X.
Disattivare Temporaneamente l’Antivirus
L’ultima cosa che vi consigliamo di provare, se vedete ancora l’errore ERR_SSL_VERSION_OR_CIPHER_MISMATCH, è di assicurarvi di non avere un programma antivirus in esecuzione. Oppure di provare a disabilitarlo temporaneamente. Alcuni programmi antivirus si interpongono tra il browser e il web con i propri certificati. Ciò a volte può causare problemi.