SSL错误：“SSL握手错误”或“SSL握手失败警报”

SSL Handshake Failed Error — Ultimate Guide by Experts

SSL握手失败时，您会收到SSL握手错误消息。SSL握手是浏览器向Web服务器发送安全连接请求的过程。如果此请求失败，则会导致SSL握手失败警报。 SSL错误可能由多种原因引起。因此，解决方案取决于具体原因。以下是最常见的几种原因： 服务器不支持SSL/TLS协议。 证书与 URL 中的主机名不匹配。 证书无效或已过期。 客户端服务器无法与服务器通信。 您可以通过调整设置并确保 SSL/TLS 证书配置正确来解决此问题。

SSL握手是指浏览器向Apache等Web服务器发送安全连接请求时开始的过程。但是，在某些情况下，您可能会收到“ SSL握手错误”或“ SSL握手失败”的消息。

请了解什么是 SSL 握手失败错误、其发生原因以及如何修复 SSL 握手错误。

SSL握手错误的原因

“SSL握手错误”是SSL握手过程失败时您会收到的消息。

向网页浏览器发送安全连接请求后，浏览器会将一个公钥发送到您的计算机，该公钥会自动与证书颁发机构列表进行比对。收到证书后，计算机会生成一个密钥，并使用该公钥对其进行加密。

如果操作系统未被授予读取权限，则会发生 SSL 握手错误，从而阻止 Web 服务器完成身份验证。这表明浏览器与 Web 服务器之间的连接不安全。

这可能是由多种不同原因造成的：

• 服务器不支持请求的 SSL/TLS 协议。
• 服务器不支持请求的密码套件。
• URL 中的主机名与证书上的主机名不匹配。
• 证书链无效或不完整
• 该证书已过期或不再有效。
• 客户端或服务器无法与 SNI 服务器通信

遗憾的是，对于用户而言，其中许多问题都出在服务器端，您无法自行解决。但您可以尝试以下几种方法。

如何修复 SSL 握手错误

按照以下步骤操作，或许可以修复 SSL 握手错误：

• .KYR 文件和 .STH 文件应该具有相同的前缀。例如，这两个文件都应该命名为 FILE1.KYR 和 FILE1.STH。
• 您的操作系统必须具有对 .STH 文件的读取权限。如果没有读取权限，Web 服务器将无法完成身份验证过程。

Apache SSL 握手失败故障排除

如果配置文件中有指令要求进行相互身份验证，则 Apache 上会出现“SSL 握手失败”错误。

要修复 Apache SSL 握手失败错误，您必须按照以下步骤操作：

打开配置文件。

• 将“SSLVerifyClient”或“SSLVerifyClient optional_no_ca”替换为“SSLVerifyClient none”，然后重启 Apache。
• 如果配置文件中有“SSLVerifyDepth 1”这一行，可以通过在其前面添加“#”符号将其删除，例如，“#SSLVerifyDepth 1”。

检查您的 SSL/TLS 协议支持

虽然每个浏览器的设置方式都略有不同，但您可以进入设置，确保已启用对最新 TLS 版本的支持。通常情况下，此功能默认启用，但如果您之前修改过设置，则可能会影响新功能的推出。

进入设置，点击高级选项。然后向下滚动到安全设置，打开 SSL/代理选项。

您需要确保已关闭对 SSL 2.0 和 SSL 3.0 的支持。您可能还需要禁用 TLS 1.0 和 TLS 1.1，因为它们也正在逐步淘汰。您务必启用对 TLS 1.2 和 TLS 1.3 的支持，因为它们是最新、最安全的 TLS 版本。

重新颁发您的 SSL/TLS 证书

对于大多数遇到此问题的网站所有者来说，重新颁发和重新安装证书即可解决问题，尤其适用于由证书错误引起的问题。您还可以借此机会调整您支持的 TLS 版本，使其支持更现代的协议。与浏览器不同，服务器端通常不会自动进行此更改，因此如果您自 TLS 1.0 以来就没有更新过，则应该尽快进行更新。