När du besöker en webbplats som körs via HTTPS utförs en serie steg mellan webbläsaren och webbservern för att säkerställa att certifikatet och SSL/ TLS-anslutningen är giltig.
Några av dessa steg inkluderar TLS-handskakningen, certifikatet som kontrolleras mot certifikatutfärdaren och dekryptering av certifikatet. Ibland gillar webbläsaren inte vad den ser. Det kan röra sig om en felkonfiguration eller en version som inte stöds. I dessa fall kan webbläsaren visa följande meddelande: ”ERR_SSL_VERSION_OR_CIPHER_MISMATCH”. Detta hindrar dig från att komma åt webbplatsen.
I denna artikel delar vi med oss av några rekommendationer om hur du löser detta fel.
Anledningen till ERR_SSL_VERSION_OR_CIPHER_MISMATCH-felet
ERR_SSL_VERSION_OR_CIPHER_MISMATCH-felet uppstår vanligtvis på äldre operativsystem eller webbläsare.
Men så är inte alltid fallet. Faktum är att vi helt nyligen stött på en användare som fick detta problem på sin WordPress-webbplats som migrerade till Kinsta från en annan host. Vi kör naturligtvis den senaste versionen av Chrome, så problemet låg hos deras SSL-certifikat. Chrome skyddar dig faktiskt genom att inte låta dig ladda den.
Det kan även hända att du ser en variant av det här felet, exempelvis:
- Fel 113 (netto::err_ssl_version_or_cipher_mismatch): okänt fel
- Klienten och servern stöder inte en gemensam SSL-protokollversion eller chiffersvit
Se nedan varför detta händer och vad du kan göra åt det.
- Kontrollera ditt SSL-certifikat
- Kontrollera om det finns felmatchning för certifikatnamn
- Kontrollera om du har en gammal TLS-version
- Kontrollera RC4 chiffersvit
- Försök att rensa SSL på datorn
- Använd ett nytt operativsystem
- Inaktivera tillfälligt Antivirus
Kontrollera ditt SSL-certifikat
Om du ser det här felet är det enklast att börja med att utföra en SSL-kontroll på certifikatet som är installerat på webbplatsen. Vi rekommenderar att du använder det kostnadsfria SSL-kontrollverktyget från Qualys SSL Labs. Det är mycket tillförlitligt och vi använder det för alla Kinsta-klienter vid verifiering av certifikat. Mata helt enkelt in din domän i fältet Hostname och klicka på ”Skicka in”.
Du kan även välja alternativet för att dölja offentliga resultat om detta är vad du föredrar. Det kan ta en minut eller två att skanna webbplatsens SSL / TLS-konfiguration på din webbserver.
Kontrollera om det finns felmatchning för certifikatnamn
I just den här instansen hade kunden som migrerade till Kinsta en felmatchning av certifikatnamn som skapade ERR_SSL_VERSION_OR_CIPHER_MISMATCH-felet. Som ni kan se i SSL Labs-testet nedan, går detta ganska snabbt och enkelt att diagnostisera. Den obalans som orsakar problemet kan vara ett antal saker såsom:
- Webbplatsen använder inte SSL, men delar en IP-adress med någon annan webbplats som gör det.
- Webbplatsen finns inte längre, men domänen riktas ändå mot den gamla IP-adressen, där det nu finns en annan webbplats.
- Webbplatsen använder ett nätverk för innehållsleverans (CDN) som inte har stöd för SSL.
- Domännamnets alias är för en webbplats vars namn är ett annat, men aliaset ingick inte i certifikatet.
Ett annat enkelt sätt att kontrollera den aktuella domännamnet är att öppna upp Chrome DevTools på webbplatsen. Högerklicka någonstans på webbplatsen och klicka på ”Inspektera”. Klicka sedan på fliken säkerhet och sedan på ”Visa certifikat.” Den utfärdade domänen kommer att visa i certifikatinformationen. Om detta inte stämmer överens med den aktuella webbplatsen du är på är detta ett problem.
Kom dock ihåg att det finns wildcard-certifikat och andra varianter. För en typisk webbplats, bör det dock matcha exakt. Men i vårt fall, hindrade faktiskt ERR_SSL_VERSION_OR_CIPHER_MISMATCH-felet oss från att kunna kontrollera det i Chrome DevTools. Så i detta fall kan ett verktyg som SSL Labs komma väl till pass.
Kontrollera om du har en gammal TLS-version
En annan möjlig orsak är att den TLS-version som körs på webbservern är gammal. Helst bör det vara minst TLS 1,2 (ännu bättre, TLS 1,3). Om du är kinsta-kund behöver du aldrig oroa dig för detta eftersom vi alltid uppgraderar våra servrar till de senaste och bästa versionerna som stöds. Kinsta stöder TLS 1.3 på alla våra servrar och vårt Kinsta-CDN. Cloudflare möjliggör också TLS 1.3 som standard.
(Förslag på läsning: om du använder äldre TLS-versioner kanske du vill åtgärda ERR_SSL_OBSOLETE_VERSION i Chrome).
Detta är något som SSL Labs-verktyget också kan hjälpa till med. Under konfigurationen kommer du att få se den aktuella TLS-versionen som körs på servern med det certifikatet. Om det är gammalt ska du höra av dig till din host och be dem att uppdatera sin TLS-version.
Kontrollera RC4 chiffersvit
En annan anledning till ERR_SSL_VERSION_OR_CIPHER_MISMATCH-felet enligt Googles dokumentation är att RC4 chiffersvit togs bort i Chrome-versionen 48. Detta är inte särskilt vanligt, men det kan inträffa hos större företags-distributioner som kräver RC4. Anledningen till detta är att allt vanligtvis tar längre tid att uppgradera och uppdatera i större och mer komplexa konfigurationer.
Säkerhetsforskare, Google och Microsoft rekommenderar att RC4 inaktiveras. Så du bör se till att serverns konfiguration är aktiverad med en annan chiffersvit. Du kan visa den aktuella chiffersviten med hjälp av verktyget SSL Labs (som visas nedan).
Försök att rensa SSL på datorn
En annan sak du kan prova är att rensa SSL i Chrome. Precis som att det kan hjälpa att rensa webbläsarens cacheminne kan det ibland hjälpa om saker och ting blir osynkade. SSL-tillståndet i Chrome i Windows avmarkeras så här:
- Klicka på ikonen Google Chrome – Inställningar (Inställningar) och klicka sedan på Inställningar.
- Klicka på Visa avancerade inställningar.
- Klicka på Ändra proxyinställningar under Nätverk. Dialogrutan Egenskaper för Internet visas.
- Klicka på fliken Innehåll.
- Klicka på ”Rensa SSL-tillstånd” och sedan på OK.
- Starta om Chrome.
Om du har en Mac, kan du se dessa instruktioner om hur du tar bort ett SSL-certifikat.
Vi har tagit vår stora kunskap om effektiv webbplatshantering och gjort den till en e-bok och video-kurs. Klicka här för att ladda ner 2020 Guide till att hantera 40 + WordPress-webbplatser!
Använd ett nytt operativsystem
Äldre operativsystem funkar till slut inte med nyare teknik som TLS 1.3 och de senaste chiffer-sviterna eftersom webbläsare slutar stödja dem. Specifika komponenter i de senaste SSL-certifikaten kommer helt enkelt att sluta fungera. Google Chrome drog faktiskt ut kontakten på Windows XP år 2015. Vi rekommenderar alltid att du om möjligt uppgraderar till nyare operativsystem, exempelvis Windows 10 eller den senaste versionen av Mac OS X.
Inaktivera tillfälligt Antivirus
Om du fortfarande möter ERR_SSL_VERSION_OR_CIPHER_MISMATCH-felet är det sista vi uppmanar dig att göra att se till att du inte har ett antivirusprogram som körs. Försök i så fall att inaktivera detta tillfälligt. Vissa antivirusprogram skapar ett lager mellan webbläsaren och webben med egna certifikat. Detta kan ibland orsaka problem.