如何修复最常见的SSL/TLS错误之一「SSL 握手失败错误」

出现“SSL握手失败错误”怎么办？

SSL握手是浏览器向 Web 服务器（例如 Apache）发送安全连接请求时开始的过程。但是，在某些情况下，您可能会收到消息“ SSL 握手错误”或“SSL 握手失败”。 如果您不清楚该消息的含义，我们可以为您解答。请继续阅读，了解 SSL 握手失败错误是什么、发生该错误的原因以及如何修复 SSL 握手错误。

SSL握手错误的原因

“SSL 握手错误”是当【SSL握手】过程失败时收到的消息。

向 Web 浏览器发送安全连接请求后，浏览器会将公钥发送到您的计算机，并自动根据证书颁发机构列表进行检查。收到证书后，计算机会生成密钥并使用公钥对其进行加密。

如果操作系统尚未获得读取权限，从而阻止Web服务器完成身份验证，则会发生 SSL握手错误。这表明浏览器与 Web 服务器的连接不安全。

造成这种情况的原因可能有多种：

• 服务器不支持所请求的SSL/TLS协议
• 服务器不支持所请求的密码套件
• URL中的主机名与证书上的不匹配
• 证书链无效或不完整
• 证书已过期或不再有效
• 客户端或服务器无法与SNI服务器通信

不幸的是，对于用户来说，许多问题都是服务器端的，你无法修复。但你可以尝试一些方法。

如何修复SSL握手错误？

您可以按照以下步骤修复 SSL 握手错误：

• .KYR 文件和 .STH 文件应具有相同的前缀。例如，两个文件都应称为 FILE1.KYR 和 FILE1.STH。
• 您的操作系统必须具有对 .STH 文件的读取权限。如果没有读取权限，Web 服务器将无法完成身份验证过程。

Apache SSL握手失败故障排除

如果配置文件中存在需要相互认证的指令，Apache（Apache配置SSL证书方法） 就会出现“SSL 握手失败”错误。

为了修复 SSL 握手失败 Apache 错误，您必须遵循以下步骤：

打开 conf 文件。

• 将“SSLVerifyClient”或“SSLVerifyClientoptional_no_ca”替换为“SSLVerifyClient none”，然后重新启动Apache。
• 如果conf文件中有“SSLVerifyDepth 1”行，您可以在其前面添加“#”号将其删除，例如“#SSLVerifyDepth 1”。

检查您的 SSL/TLS 协议支持

虽然每个浏览器都不同，但有一种方法可以进入设置并确保您已启用对最新 TLS 版本的支持。这通常是默认完成的，但如果您之前调整过设置，则可能会影响新功能的推出。

进入设置并点击高级。然后向下滚动到安全设置并打开 SSL/代理选项。

您要确保已关闭对 SSL 2.0 和 SSL 3.0 的支持，您可能还想禁用 TLS 1.0 和 TLS 1.1，因为这两个版本也正在逐步淘汰。您肯定希望支持 TLS 1.2 和 TLS 1.3，因为它们是最现代、最安全的 TLS 变体。

重新颁发您的 SSL/TLS 证书

对于大多数面临此问题的网站所有者来说，只需重新签发和重新安装即可解决问题。特别是由于证书不正确而导致的错误。您还可以利用这个机会调整您支持的 TLS 版本，以便它们支持更现代的协议。与浏览器不同，此更改通常不是针对您的服务器端进行的，因此如果您自 TLS 1.0 以来没有更新过，那么您应该进行更新。

什么是 SSL/TLS 证书？

为 HAProxy 配置 SSL/TLS。