Wanneer je een met HTTPS beveiligde website bezoekt, worden er een aantal stappen uitgevoerd tussen je browser en de webserver om te zorgen dat het certificaat en de SSL/TLS-connectie valide zijn.

Dit kunnen bijvoorbeeld een TLS-handshake, het controleren van het certificaat bij de uitgevende partij en decryptie van het certificaat. Als, om elke reden dan ook, de browser niet tevreden is met wat deze terugkrijgt, zoals een fout in de instellingen of een niet-ondersteunde versie, dan bestaat de kans dat je de volgende foutmelding te zien krijgt: “ERR_SSL_VERSION_OR_CIPHER_MISMATCH”. Erger nog, deze foutmelding belet je om de website te bezoeken.

Hieronder zijn een aantal aanbevelingen om deze foutmelding te fiksen.

Oorzaken van de ERR_SSL_VERSION_OR_CIPHER_MISMATCH foutmelding

Doorgaans komt de ERR_SSL_VERSION_OR_CIPHER_MISMATCH foutmelding voor wanneer je een ouder besturingssysteem of browser gebruikt.

Toch zijn er ook andere oorzaken. Zo was er bijvoorbeeld niet lang geleden een gebruiker die problemen met zijn WordPress website had toen hij zijn website van een andere host naar Kinsta wilde verhuizen. Omdat we uiteraard de laatste versie van Chrome gebruikten, lag de oorzaak bij het SSL certificaat zelf. Chrome wil je namelijk beschermen door te zorgen dat je de website niet kan laden.

ERR_SSL_VERSION_OR_CIPHER_MISMATCH
ERR_SSL_VERSION_OR_CIPHER_MISMATCH

Misschien zie je een variatie op deze foutmelding, zoals:

  • Fout 113 (net::err_ssl_version_or_cipher_mismatch): onbekende fout
  • De client en server ondersteunen geen gemeenschappelijke SSL-protocolversie of coderingssuite

Lees de onderstaande redenen waarom dit gebeurt en wat je eraan kan doen.

Controleer je SSL certificaat

Wanneer je bovenstaande foutmelding ziet, is het eerste dat je wil doen het controleren van het SSL certificaat van je website. We kunnen de gratis SSL check tool van Qualys SSL Labs van harte aanbevelen. Deze is erg betrouwbaar en we gebruiken deze zelf ook wanneer we de SSL-certificaten van onze klanten willen controleren. Vul je domeinnaam in binnen het ‘Hostname’ veld en klik vervolgens op ‘Submit’.

Je kan er eventueel ook voor kiezen om de resultaten niet openbaar te maken door het hokje eronder aan te vinken. Het kan een paar minuten duren voordat alle onderdelen van de SSL/TLS instellingen van je website gescand zijn.

SSL-certificaat controleren
SSL-certificaat controleren

Een Certificate Name Mismatch als oorzaak

In dit specifieke geval kreeg de klant, die zijn website naar Kinsta migreerde, de ERR_SSL_VERSION_OR_CIPHER_MISMATCH foutmelding door een certificate name mismatch. Als je kijkt naar het resultaat van de SSL Labs test hieronder, dan zie je dat dit vrij eenvoudig te diagnosticeren is. Zoals SSL Labs ook uitlegt, kunnen er verschillende oorzaken zijn voor een mismatch:

  • De website gebruikt geen SSL, maar deelt een IP-adres met een website die dat wel doet.
  • De website bestaat niet meer, maar het domein verwijst nog wel naar het oude IP-adres, waar nu een andere site wordt gehost.
  • De website maakt gebruik van een Content Delivery Network (CDN), die niet SSL ondersteunt.
  • De alias voor deze domeinnaam verschilt van de normale domeinnaam, maar deze alias is niet toegevoegd aan het certificaat.
Certificaat naam mismatch
Certificaat naam mismatch

Ga naar je website met de Chrome browser, en druk tegelijkertijd Ctrl + Alt + I in. Je kan ook met de rechtermuisknop klikken en op ‘Inspect’ klikken. Zoek vervolgens het tabblad ‘Security’ op. Misschien dat je hiervoor op het pijltje naar rechts moet klikken. Klik nu op ‘View certificate’. Het domeinnaam waar het certificaat voor bedoeld is, staat nu tussen deze informatie. Als dit niet het geval is, is er een probleem.

Controleer aan welk domein het SSL certificaat is verstrekt
Controleer aan welk domein het SSL certificaat is verstrekt

In sommige gevallen is er sprake van wildcard certificaten en variaties hierop, maar voor een normale website zou het precies overeen moeten komen. Echter, in ons geval belet de ERR_SSL_VERSION_OR_CIPHER_MISMATCH foutmelding ons om überhaupt de website te openen (en daarmee de Chrome DevTools). In dit soort gevallen bieden tools als SSL Labs ons een oplossing.

Controleren of je geen oude TLS versie gebruikt

Een andere mogelijke oorzaak van de foutmelding is dat je een oude TLS versie gebruikt. Idealiter zou je minimaal TLS 1.2 moeten gebruiken (beter nog, TLS 1.3). Klanten van Kinsta hoeven hier overigens geen zorgen over te maken, omdat we zorgen dat al onze servers gebruik maken van de meest recente stabiele en ondersteunde versie van TLS. De Kinsta CDN ondersteunt TLS 1.3 op al onze servers en onze Kinsta CDN. Cloudflare schakelt standaard ook TLS 1.3 in.

(Leessuggestie: als u oudere TLS-versies gebruikt, wilt u misschien ERR_SSL_OBSOLETE_VERSION-meldingen in Chrome repareren.)

Ook hier kan de SSL Labs tool je helpen. Als je onder ‘configuration’ kijkt, zie je welke versie van TLS momenteel op je server draait. Als deze oud is, vraag dan aan je host of ze de TLS versie kunnen updaten. Vooral TLS 1.3 is iets om naar uit te kijken.

TLS 1.3 server support
TLS 1.3 serverondersteuning

Controleer RC4 Cipher Suite

Het verwijderen van de RC4 Cipher Suite in Chrome versie 48 is volgens de documentatie van Google een andere oorzaak voor de ERR_SSL_VERSION_OR_CIPHER_MISMATCH foutmelding. Dit komt niet heel vaak voor, maar binnen grotere bedrijven die RC4 nodig hebben, kan dit wel degelijk een oorzaak zijn. Dit komt omdat updaten en upgraden van infrastructuur vaak achterloopt door de complexere configuraties.

Beveiligings-experts, Google en Microsoft bevelen allemaal aan om RC4 uit te zetten. Je zou er dus verstandig aan doen om ervoor te zorgen dat je server een andere versleutelingssuite gebruikt. Je kan je huidige versleutelingssuite bekijken in de SSL Labs tool (zie hieronder).

Versleutelingssuite
Versleutelingssuite

Probeer de SSL status van je computer te legen

Iets dat je ook kan proberen is om de SSL status uit Chrome te verwijderen. Het controleren van SSL gegevens kost veel tijd, en om tijd te besparen bij je volgende bezoek aan de website, slaat Chrome de belangrijkste gegevens op. Net als het legen van de cache van je browser soms kan helpen, kan ook het legen van de SSL status een oplossing bieden. Om de SSL status uit Chrome te verwijderen volg je de volgende stappen:

  1. Klik op het Google Chrome – Settings icoon, en klik vervolgens op ‘Settings’.
  2. Klik op ‘Show advanced settings’.
  3. Onder ‘Network’, klik op ‘Change proxy settings’. Nu verschijnt er een scherm met ‘Internet Properties’.
  4. Klik op het ‘Content’ tabblad.
  5. Klik op ‘Clear SSL state’ en daarna op OK.
  6. Herstart Chrome.
Leeg SSL status in Chrome met Windows
Leeg SSL status in Chrome met Windows

Als je met een Mac werkt, bekijk dan deze instructie over hoe je een SSL certificaat kan verwijderen.

Gebruik een nieuw besturingssysteem

Oudere besturingssystemen ondersteunen nieuwe technologieën zoals TLS 1.3 en de nieuwste versleutelingssuites vaak niet, omdat browsers deze besturingssystemen vaak niet meenemen in hun nieuwste updates. Dit betekent dat specifieke onderdelen van de nieuwste SSL-certificaten simpelweg niet meer werken. Zo stopte Chrome al in 2015 met het ondersteunen van Windows XP. We bevelen dan ook bijna altijd aan om de meest recente besturingssystemen te gebruiken, zoals Window 10 of de laatste versie van Mac OS X.

Schakel tijdelijk de antivirus uit

Het laatste wat we aanbevelen, als je nog steeds de ERR_SSL_VERSION_OR_CIPHER_MISMATCH foutmelding ziet, is om tijdelijk je antivirus uit te zetten of deze tijdelijk op non-actief zet. Sommige antivirussoftware brengen een laag aan tussen je browser en het internet met hun eigen certificaten. Soms kan dit voor problemen zorgen.