发生SSL错误 无法建立到该服务器的安全连接

发生SSL错误 无法建立到该服务器的安全连接

该错误表示客户端（如浏览器）在 TLS 握手阶段终止连接，原因通常是证书不可信、协议/加密套件不兼容、证书链不完整或服务器配置违反 RFC 5246/RFC 8446 要求。常见触发点包括：自签名证书未被信任、系统时间偏差超过5分钟、SNI未正确传递、TLS 1.0/1.1 被禁用而服务器仅支持旧协议，或证书已吊销且OCSP/CRL验证失败。

该错误属于 TLS 层连接失败，发生在 TCP 连接建立之后、HTTP 请求发出之前。现代浏览器（Chrome 120+、Firefox 122+、Edge 121+）默认禁用 TLS 1.0 和 TLS 1.1，并要求服务器提供完整且有序的证书链。若服务器仅发送终端证书而未附带中间 CA 证书，客户端无法构建可信路径，将直接拒绝连接。CA/B Forum Baseline Requirements 明确要求：服务器必须在 TLS ServerHello 的 Certificate 消息中包含所有必要中间证书（除根证书外），否则视为配置错误。

在实际 HTTPS 部署中，Nginx 常见配置疏漏是未在 ssl_certificate 指令中合并中间证书；Apache 用户易忽略 SSLCertificateChainFile（2.4.8+ 已弃用，应改用 SSLCertificateFile 合并 PEM）；OpenSSL 1.1.1+ 默认启用 TLS 1.3，但若后端使用旧版 OpenSSL（如 1.0.2）且未正确协商降级保护，也可能触发静默握手失败。Cloudflare 或反向代理未透传 SNI 或篡改证书链时，同样会引发此错误，但此时源站日志通常无 TLS 握手记录。

需要注意的情况

• 系统本地时间误差超过 ±300 秒（5 分钟）会导致证书“not valid yet”或“expired”判定，浏览器直接终止 TLS 握手，不提示具体时间问题；
• Android 7.0+ 和 iOS 10+ 设备强制执行证书透明度（CT）日志要求，若 DV SSL证书 由未集成 CT 日志的 CA 签发（如部分老旧私有 CA），可能拒绝信任；
• 使用国密SSL证书 的服务若未部署 SM2+SM3+SM4 协商能力，且客户端（如 GMSSL 浏览器）不支持 RSA 回退，则必然报此错误；
• 企业防火墙或中间设备启用 SSL 拦截时，若其根证书未预置到终端设备信任库，所有经其转发的 HTTPS 请求均会触发该错误，现象为同一网络下多设备复现且错误码一致（如 ERR_SSL_PROTOCOL_ERROR）。