Сервер использует шифр rc4 который считается небезопасным

Включение шифра rc4 в internet explorer 11. Самостоятельное решение проблемы

У меня почему-то перестали открываться некоторые HTTPS сайты (не все!). При попытке открыть такой сайт в браузере появляется окно с ошибкой «Этот сайт не может обеспечить безопасное соединение». Сайты не отображаются как в Google Chrome, так и в Opera и в Яндекс Браузере. Без HTTPS некоторые сайты открываются, но не все, только те, у которых страницы доступны и по протоколу HTTPS и по протоколу HTTP.В Google Chrome ошибка при открытии HTTPS сайт выглядит так:

Этот сайт не может обеспечить безопасное соединение.
На сайте sitename.ru используется неподдерживаемый протокол.
ERR_SSL_VERSION_OR_CIPHER_MISMATCH.
Клиент и сервер поддерживают разные версии протокола SSL и набора шифров. Скорее всего, сервер использует шифр RC4, который считается небезопасный.»

В Opera и Яндекс Браузер ошибка выглядит примерно также. Как мне открыть такие сайты?

Ответ

Как вы уже вероятно поняли, проблема связана с проблемами при SSL взаимодействии между вашим компьютеров и HTTPS сайтом. Причины такой ошибки могут быть довольно разные. В этой статье я попробовал собрать все методы исправления ошибки «Этот сайт не может обеспечить безопасное соединение» (This site can’t provide a secure connection, ERR_SSL_PROTOCOL_ERROR) в различных браузерах.

Сразу хочется отметить, что несмотря на то, что браузеры Google Chrome, Opera и Яндекс Браузер выпускаются разными компаниями, на самом деле все эти браузеры основаны на одном и том же движке — Chrome и проблема с ошибками открытия HTTPS сайтов в них решается одинаково.

В первую очередь нужно убедиться, что проблема не на стороне самого HTTPS сайта. Попробуйте открыть его с других устройств (телефон, планшет, домашний/рабочий компьютер и т.д.). Также проверьте, открывается ли в других браузерах, например, IE/Edge или Mozilla Firefox. В Firefox похожая ошибка обсуждалась в статье .

Очистите кэш и куки браузера, SSL кэш

Кэш и куки браузера могут быть частой причиной возникновения ошибок с SSL сертификатами. Рекомендуем сначала очистить в браузере кэш и куки. В Chrome нужно нажать сочетание клавиш Ctrl + Shift + Delete , выберите промежуток времени (Все время ) и нажмите кнопку очистки данных (Удалить данные / Clear Data).

Чтобы очистить SSL кэш в Windows:

Перейдите в раздел Панель управления ->Свойства браузера ;
Щелкните по вкладке Содержание ;
Нажмите на кнопку Очистить SSL (Clear SSL State );
Должно появится сообщение “SSL-кэш успешно очищен”;
Осталось перезапустить браузер и проверить, осталась ли ошибка ERR_SSL_PROTOCOL_ERROR.

Отключите сторонние расширения в браузере

Рекомендуем отключить (удалить) сторонние расширения браузера, особенно всякие анонимайзеры, прокси, VPN, расширения антивируса и другие подобные Addon-ы, которые могут вмешиваться в прохождение трафика до целевого сайта. Посмотреть список включенных расширения в Chrome можно, перейдя в Настройки -> Дополнительные инструменты -> Расширения , или перейдя на страницу chrome://extensions/ . Отключите все подозрительные расширения.

Проверьте настройки антивируса и файрвола

Если на вашем компьютере установлены антивирусная программа или межсетевой экран (часто он встроен в антивирус), возможно доступ к сайту блокируется именно ими. Чтобы понять, ограничивают ли доступ к сайту антивирусы или файрволы, попробуйте на время приостановить их работу.
Во многих современных антивирусах по-умолчанию присутствует модуль проверки SST/TLS сертификатов сайтов. Если антивирус обнаружит, что сайт использует недостаточно защищенный (или ) сертификат или устаревшую версию протокола SSL (тот же ), доступ к пользователя к такому сайту может быть ограничен. Попробуйте отключить сканирование HTTP/HTTPS трафика и SSL сертификатов. Как вы понимает, все зависит от того, какой антивирус и вас установлен. Например:

Проверьте настройки даты и времени

Неправильная дата и время (и ) на компьютере также может быть причиной ошибки при установке защищенного соединения с HTTPS сайтами. Ведь при выполнении аутентификации система проверяет срок создания и дату истечения сертификата сайта и вышестоящего центра сертификации.

Обновите корневые сертификаты Windows

Если ваш компьютер находится в изолированном сегменте, давно не обновлялся или на нем совсем отключена служба автоматического обновления, на вашем компьютере могут отсутствовать новые корневые доверенные сертификаты (TrustedRootCA). Рекомендуем выполнить обновление системы: установить последние обновления безопасности, в случае с Windows 7 – обязательно установить SP1 () и обновления часовых поясов ().

Вы можете вручную обновить корневые сертификаты по статье: (так же рекомендуем , это позволит предотвратить перехват вашего HTTPs трафика и ряд других проблем).

Отключите поддержку протокола QUIC

Проверьте, не включена ли в Chrome поддержка протокола QUIC (Quick UDP Internet Connections). Протокол QUIC позволяет гораздо быстрее открыть соединение и согласовать все параметры TLS (HTTPs) при подключении к сайту. Однако в некоторых случая он может вызывать проблемы с SSL подключениями. Попробуйте отключить QUIC:

Перейдите на страницу: chrome://flags/#enable-quic ;
Найдите опцию Experimental QUIC protocol ;
Измените значение опции Default на Disabled ;
Перезапустите Chrome.

Включите поддержку протоколов TLS и SSL

И самый последний пункт – скорее всего для решения проблемы вам достаточно будет включить поддержку старых версий протоколов TLS и SSL. В большинстве случае он окажется самым эффективным, но я намеренно перенес его в конец статьи. Объясню почему.

Старые версии протоколов TLS и SSL отключены не по простой прихоти разработчиков, а в связи с наличием большого количества уязвимостей, которые позволяют злоумышленникам перехватить ваши данные в HTTPS трафике и даже видоизменить их. Бездумное включение старых протоколов существенно снижает вашу безопасность в Интернете, поэтому к этому способу нужно прибегать в последнюю очередь, если все другое точно не помогло.

Современные браузеры и ОС уже давно отказались от поддержки устаревших и уязвимых протоколов SSL/TLS (SSL 2.0, SSL 3.0 и TLS 1.1). Стандартном сейчас считаются TLS 1.2 и TLS 1.3

Если на стороне сайта используется меньшая версия протокола SSL/TLS, чем поддерживается клиентом/браузером, пользователь видит ошибку установки безопасного подключения.

Чтобы включить старые версии протоколов SSL/TLS (еще раз отмечаю – это небезопасно):

Если все рассмотренные способы не помогли избавиться от ошибки «Этот сайт не может обеспечить безопасное соединение» также попробуйте:

Компании Google, Microsoft и Mozilla огласили сроки полного прекращения поддержки алгоритма шифрования RC4.

С ростом угрозы кибератак на RC4 этот алгоритм начал стремительно терять свою надежность, и ведущие вендоры браузеров решили совсем от него отказаться — в конце января или начале февраля.

По словам Ричарда Барнса (Richard Barnes) из Mozilla, поддержка RC4 в Firefox будет упразднена с выпуском версии 44, запланированным на 26 января. «Отключение RC4 будет обозначать, что Firefox больше не сможет подключаться к серверам, требующим использование RC4, — пояснил представитель компании на ее форуме для разработчиков. — Данные, которыми мы располагаем, показывают, что таких серверов немного, но они еще есть, хотя пользователи Firefox к ним редко обращаются».

Адам Лэнгли (Adam Langley) из Google заявил , что соответствующий релиз Chrome станет доступен широким массам в январе или феврале. Дату он не уточнил, лишь сказал, что HTTPS-серверы, использующие исключительно RC4, будут отключены. «Когда Chrome устанавливает HTTPS-соединение, он обязан сделать все возможное, чтобы обеспечить его безопасность, — отметил Лэнгли в специализированной рассылке на [email protected] — На настоящий момент использование RC4 в HTTPS-соединениях не отвечает этим требованиям, поэтому мы планируем отключить поддержку RC4 в одном из последующих релизов Chrome».

В настоящее время и стабильные версии Firefox, и бета-версии могут применять RC4 без ограничений, однако по факту они используют его лишь для 0,08 и 0,05% соединений соответственно. Для Chrome этот показатель несколько выше — 0,13%. «Чтобы продолжить работу, операторам соответствующих серверов, скорее всего, придется лишь немного изменить конфигурацию для перехода на более надежный набор шифров», — уверен Лэнгли.

Microsoft объявила о прекращении поддержки устаревшего алгоритма в продуктах Microsoft Edge и IE 11; поддержка будет отключена по умолчанию в начале будущего года. «Microsoft Edge и Internet Explorer 11 используют RC4 лишь при откате с протокола TLS 1.2 или 1.1 до TLS 1.0, — пояснил Дэвид Волп (David Walp), топ-менеджер проекта Microsoft Edge. — Откат до TLS 1.0, использующего RC4, чаще всего происходит по ошибке, но такая ситуация при всей ее невинности неотличима от атаки «человек посередине». По этой причине в начале 2016 года RC4 будет дефолтно отключен для всех пользователей Microsoft Edge и Internet Explorer под Windows 7, Windows 8.1 и Windows 10″.

Уже более десяти лет исследователи сетуют на несовершенство RC4, указывая на возможность подбора случайных значений, используемых для создания шифротекстов по этому алгоритму. При наличии определенного времени, вычислительных мощностей и доступа к некоторому количеству TLS-запросов расшифровка для атакующего не составит большого труда.

В 2013 году исследование, проведенное Дэниелом Бернстайном (Daniel J. Bernstein) на базе университета штата Иллинойс, позволило ему создать практичный способ атаки против известной уязвимости в RC4 с целью компрометации TLS-сессии. Это был один из первых таких опытов, преданных гласности.

В минувшем июле бельгийские исследователи атаки на RC4, позволяющие перехватывать куки-файл жертвы и расшифровывать его за гораздо меньшее время, чем это считалось возможным ранее.

Общая теория: расширение протокола передачи данных HTTP, поддерживающее шифрование этих данных, – HTTPS – не является собственно протоколом шифрования. За шифрование отвечают криптографические протоколы – SSL или TLS.

При этом не все йогурты одинаково полезны: SSL устарел полностью, TLS версии 1.0 – тоже, поэтому сегодня рекомендуется использовать лишь TLS версий 1.1 или 1.2. К слову, последняя на сегодня версия спецификации HTTPS, принятая еще в 2000 году, так и называется HTTP over TLS, про SSL там уже почти не упоминается.

Но это лишь теория, на практике же TLS 1.2 до сих пор поддерживается лишь на ограниченном числе сайтов, с TLS 1.1 – уже заметно получше, но тоже не повсеместно. Проблема поддержки современных версий TLS присутствует и «на стороне клиента», об этом позже.

Итак, для того, чтобы пользоваться у себя на компьютере только актуальными версиями актуального криптографического протокола (Ну-ка, дети, напомните, как он называется? Правильно, TLS! А какой версии? Правильно, не ниже 1.1), необходимо сделать ряд нелепых телодвижений. Почему? Правильно, потому что никто за нас не включит TLS 1.1/1.2 на нашем компьютере. За нас только проверку «подлинности» Windows включат и кучу «мусора» в автозагрузку напихают. Впрочем, я отвлекся.

Лирическое отступление: я искренне убежден (и эта убежденность подтверждается практикой), что 90% пользователей компьютеров могли бы до сих пор пользоваться Windows 3.11 (была такая ОС в начале 90-х), или, в крайнем случае, Windows 98 SE – «пишущая машинка» и браузер ничего другого и не требуют, чтобы нам там не врали про новые, еще более улучшенные интерфейсы и прочие рюшечки «революционных» новых версий ОС.

Правдой также является то, что современные технологии, связанные с безопасностью, к устаревшим ОС никак не прикрутить. Не потому, что это в принципе невозможно, а потому, что их производитель этого не сделал, как не сделал и ничего для того, чтобы прикрутить их смогли сторонние производители ПО. Поэтому, все ОС семейства Windows версии ниже XP (да и та уже в обозримом будущем), увы, безнадежно устарели в аспекте сетевой безопасности.

На этом с лирикой закончим: все следующие рассуждения будут построены на том, что используется ОС Windows XP или более поздняя (Vista, 7 или 8). И на том, что мы сами себе – вовсе не злобные Буратины, а потому своевременно устанавливаем на используемую ОС все полагающиеся обновления и «заплатки».

Итак, для начала нам стоит включить поддержку TLS 1.1 и TLS 1.2 и отключить SSL и TLS 1.0 на уровне самой ОС, за что отвечает Microsoft TLS/SSL Security Provider (schannel.dll). Что нам это даст? А вот что: все программы, которые не имеют собственного модуля поддержки TLS, а используют системный, будут использовать актуальные версии TLS.

Это в теории, согласно которой так настраивается поддержка актуальных версий TLS, в том числе, в браузере Internet Explorer. На самом деле, даже его последняя версия для Windows XP – восьмая – не поддерживает TLS версий выше 1.0. Под Windows Vista – поддерживает, а под Windows XP – нет и, более того, игнорирует запрет использования TLS 1.0. Как так? Вопрос к Microsoft, а не ко мне, мы же все равно сделаем то, что от нас требуется согласно инструкции самого производителя .

А делаем мы следующее: идем в реестр по адресу
HKLM\SYSTEM\CurrentControlSet\Control\Se curityProviders\SCHANNEL\Protocols, находим там разделы PCT 1.0, SSL 2.0, SSL 3.0 и TLS 1.0, в каждом из них – подразделы Client и Server, и создаем в них ключи DisabledByDefault (тип – DWORD), которым присваиваем значение 1 (единица).

Затем там же находим разделы TLS 1.1 и TLS 1.2 и аналогичным образом создаем в них вышеупомянутый ключ, но значение ему присваиваем другое – 0 (ноль). Там же мы отключаем слабые алгоритмы шифрования и хеширования RC2, RC4, DES, MD4 и MD5 а также запрещаем устанавливать безопасные соединения без шифрования (да, бывает и такое. в чьих-то нездоровых фантазиях), оставляя лишь относительно стойкие Triple DES и SHA.

Поскольку расписывать как, что и где менять, мне откровенно лениво, ниже будет приведено содержимое.reg файла, вносящего соответствующие изменения в реестр. Надо аккуратненько скопировать все это содержимое в буфер обмена, создать новый текстовой файл, вставить содержимое туда, сохранить этот файл с расширением.reg и запустить его, после чего – перезагрузиться.

Если случилось так, что после перезагрузки появились проблемы с сетевым соединением, ту же самую операцию надо будет проделать уже со следующим файлом – он удаляет из реестра все сделанные нами изменения, после чего (правильно, дети) снова перезагрузиться. Не обнаружив в реестре вообще никаких значений в испорченном нами разделе реестра, ОС при загрузке создаст их заново со значениями по умолчанию.

Продвинутые пользователи могут вместо полного отката изменений пошаманить с включением и отключением отдельных протоколов и алгоритмов, редактируя первый из файлов. Хозяйке на заметку: если для подключения к Интернету используется корпоративная локальная сеть, а тем более с доменом, то проблемы вероятны, и искать пути их решения рекомендуется за распитием бутылочки пива с администратором сети;)

Также на заметку: браузеры Chrome, Firefox, Opera и Safari, т.е. все, которые не основаны на движке Internet Explorer, используют собственные модули поддержки SSL и TLS, а потому не зависят от рассмотренных нами настроек. Но это не значит, что ими можно пренебречь (в смысле, настройками). А вот о настройках самих браузеров мы поговорим в следующий раз.

Ошибка «Этот сайт не может обеспечить безопасное соединение» в Chrome, Opera и Яндекс Браузер

date 31.03.2022
user itpro
directory Windows 10, Windows 11
comments комментариев 40

У меня почему-то перестали открываться некоторые HTTPS сайты (не все!). При попытке открыть такой сайт в браузере появляется окно с ошибкой «Этот сайт не может обеспечить безопасное соединение». Сайты не отображаются как в Google Chrome, так и в Opera, Яндекс Браузере и Microsoft Edge. Без HTTPS некоторые сайты открываются, но не все, только те, у которых страницы доступны и по протоколу HTTPS и по протоколу HTTP. В Google Chrome ошибка при открытии HTTPS сайт выглядит так:

Chrome - Этот сайт не может обеспечить безопасное соединение. Сайт sitename.ru отправил недействительный ответ. ERR_SSL_PROTOCOL_ERROR

Клиент и сервер поддерживают разные версии протокола SSL и набора шифров. Скорее всего, сервер использует шифр RC4, который считается небезопасный.» [/alert]

На сайте sitename.ru используется неподдерживаемый протокол. ERR_SSL_VERSION_OR_CIPHER_MISMATCH

Или в Mozilla Firefox :

В Opera и Яндекс Браузере ошибки выглядит примерно также.

Как мне открыть такие сайты?

Ответ

Сразу хочется отметить, что несмотря на то, что браузеры Google Chrome, Opera, Яндекс Браузер и Edge выпускаются разными компаниями, на самом деле все эти браузеры основаны на одном и том же движке — WebKit (Chromium) и проблема с ошибками при открытии HTTPS сайтов в них решается одинаково.

Очистите в брайзере кэш и куки, сбросьте SSL кэш

Кэш и куки браузера могут быть частой причиной возникновения ошибок с SSL сертификатами. Рекомендуем сначала очистить в браузере кэш и куки. В Chrome нужно нажать сочетание клавиш Ctrl + Shift + Delete, выберите промежуток времени (Все время) и нажмите кнопку очистки данных (Удалить данные / Clear Data).

Очистиь кэш и куки chrome

Чтобы очистить SSL кэш в Windows:

Перейдите в раздел Панель управления -> Свойства браузера;
Щелкните по вкладке Содержание;
Нажмите на кнопку Очистить SSL (Clear SSL State);
Должно появится сообщение “SSL-кэш успешно очищен”;
Осталось перезапустить браузер и проверить, осталась ли ошибка ERR_SSL_PROTOCOL_ERROR.

Очистить SSL кэш Windows

Отключите сторонние расширения в браузере

Рекомендуем отключить (удалить) сторонние расширения браузера, особенно всякие анонимайзеры, прокси, VPN, расширения антивируса и другие подобные Addon-ы, которые могут вмешиваться в прохождение трафика до целевого сайта. Посмотреть список включенных расширения в Chrome можно, перейдя в Настройки -> Дополнительные инструменты -> Расширения, или перейдя на страницу chrome://extensions/ . Отключите все подозрительные расширения.

Отключите расширения Chrome

Проверьте настройки антивируса и файрвола

Если на вашем компьютере установлены антивирусная программа или межсетевой экран (часто он встроен в антивирус), возможно доступ к сайту блокируется именно ими. Чтобы понять, ограничивают ли доступ к сайту антивирусы или файрволы, попробуйте на время приостановить их работу.
Во многих современных антивирусах по-умолчанию присутствует модуль проверки SST/TLS сертификатов сайтов. Если антивирус обнаружит, что сайт использует недостаточно защищенный (или самоподписанный) сертификат или устаревшую версию протокола SSL (тот же SSL 3.0 или TLS 1.0), доступ к пользователя к такому сайту может быть ограничен. Попробуйте отключить сканирование HTTP/HTTPS трафика и SSL сертификатов. В различных антивирусах эта опция может называть по-разному. Например:

В Dr.Web блокировать доступ к сайтам может встроенный сетевой экран (SpIDer Gate);
В ESET NOD32 нужно отключить опцию «Включить фильтрацию протокола SSL/TLS»;
В Avast опция называется «Включить сканирование HTTPs» (находится в разделе Настройки -> Активная защита -> Веб экран -> Настройки -> Основные настройки).
В Kaspersky Internet Security нужно перейти в Настройки -> Дополнительно -> Сеть -> добавьте сайт в исключения или выберите опцию Не проверять защищенные соединения.

Проверьте настройки даты и времени

Неправильная дата и время (и часового пояса) на компьютере также может быть причиной ошибки при установке защищенного соединения с HTTPS сайтами. Ведь при выполнении аутентификации система проверяет срок создания и дату истечения сертификата сайта и вышестоящего центра сертификации.

Проверьте что у вас установлено правильно время и часовой пояс. Если время постоянно сбивается – смотри статью “Сбивается время на компьютере при выключении: что делать?”.

Обновите корневые сертификаты Windows

Если ваш компьютер находится в изолированном сегменте, давно не обновлялся или на нем совсем отключена служба автоматического обновления, на вашем компьютере могут отсутствовать новые корневые доверенные сертификаты (TrustedRootCA). Рекомендуем выполнить обновление системы: установить последние обновления безопасности и обновления часовых поясов.

Вы можете вручную обновить корневые сертификаты по статье: Как вручную обновить корневые сертификаты в Windows (так же рекомендуем проверить хранилище сертификатов на предмет недоверенных сертификатов, это позволит предотвратить перехват вашего HTTPs трафика и ряд других проблем).

Отключите поддержку протокола QUIC

Перейдите на страницу: chrome://flags/#enable-quic;
Найдите опцию Experimental QUIC protocol;

Experimental QUIC protocol - отключить в chrome

Проверьте версии протоколов TLS, поддерживаемых вашим браузером и сайтом

Проверьте, какие версии протоколов TLS/SSL и методы шифрования (Cipher Suite ) поддерживаются вашим браузером. Для этого просто откройте веб страницу https://clienttest.ssllabs.com:8443/ssltest/viewMyClient.html

Онлайн сервис SSL Labs вернет список протоколов и методов шифрования, которые поддерживает ваш блаузер. Например, в моем примере Chrome поддерживает TLS 1.3 и TLS 1.2. Все остальные протоколы (TLS 1.1, TLS 1.0, SSL3 и SSL 2) отключены.

Чуть ниже указан список поддерживаемых методов шифрования.

Cipher Suites (in order of preference)

TLS_AES_128_GCM_SHA256
TLS_CHACHA20_POLY1305_SHA256
TLS_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA

какие версии tls и ssl поддерживает ваш браузер

Get-TlsCipherSuite | Format-Table -Property CipherSuite, Name

Затем проверьте список протоколов TLS/SSL, которые поддерживает ваш сайт. Для этого воспользуйтесь онлайн сервисом проверки SSL https://www.ssllabs.com/ssltest/analyze.html?d=domain.ru (замените domain.ru на адрес сайта, который вы хотите проверить).

Проверьте, все ли версии TLS/SSL поддерживаемые сайтом доступны в вашем браузере.

В этом примере видно, что сайт не поддерживает TLS 3.1 и SSL3/2. Аналогично сравните список Cipher Suite.

список tls ssl протоколов и методов ширования, поддерживаемых сайтом/сервером

Если метод шифрования не поддерживается вашим браузером, возможно нужно включить его в Windows.

Если сайт не поддерживает SSL протоколы, которые требует использовать клиент, то при подключении вы увидите ошибку “ Этот сайт не может обеспечить безопасное соединение”.

Включите поддержку старых версий протоколов TLS и SSL

И самый последний пункт. Cкорее всего для решения проблемы вам достаточно будет включить поддержку старых версий протоколов TLS и SSL. В большинстве случае он окажется самым эффективным, но я намеренно перенес его в конец статьи. Объясню почему.

Если на стороне сайта используется более старая версия протокола SSL/TLS, чем поддерживается клиентом/браузером, пользователь видит ошибку установки безопасного подключения ERR_SSL_VERSION_OR_CIPHER_MISMATCH. Такая ошибка появляется, если клиент на этапе TLS Handshake обнаружил, что на сайте используется протокол шифрования или длина ключа, которая не поддерживается вашим браузером. Выше мы показали, как определить набор протоколов и шифров, поддерживаемых сервером.

Чтобы разрешить использовать старые версии протоколов SSL/TLS в Windows (еще раз отмечаю – это небезопасно!):

включить TLS 1.0, TLS 1.1

Откройте Панель Управления -> Свойства браузера;
Перейдите на вкладку Дополнительно;
Включите опции TLS 1.0, TLS 1.1 и TLS 1.2 (если не помогло, включите также SSL 3.0,2.0).
Перезапустите браузер.

1. Проверить, что в файле C:\Windows\System32\drivers\etc\hosts отсутствуют статические записи. Файл hosts может использоваться в Windows в том числе для блокировки доступа к сайтам. Выведите содержимое файла hosts с помощью PowerShell: Get-Content $env:SystemRoot\System32\Drivers\etc\hosts
2. Попробуйте использовать публичные DNS сервера, например – DNS сервер Google. В настройках сетевого подключения в качестве предпочитаемого DNS сервера укажите IP адрес 8.8.8.8;
3. В Панели управления -> свойства браузера, убедитесь, что для зоны Интернет выбрана уровень безопасности Выше среднего или Средний. Если выбрана зона Высокий, некоторые SSL подключения могут блокироваться браузером.
4. Возможно проблема связана с сертификатом сайта. Проверьте его с помощью онлайн утилит SSL Checker;
5. Если на компьютере используется VPN или задан прокси сервер в Windows, попробуйте отключите их;
6. В тестовых целях, если вам нужно быстро просмотреть содержимое сайта, можно отключить ошибки проверки SSL сертификатов в Chrome. Для этого нужно запустить его с параметром —ignore-certificate-errors: «C:\Program Files (x86)\Google\Chrome\Application\chrome.exe» —ignore-certificate-errors (не работайте в таком режиме постоянно и не отправляйте конфиденциальные данные пароли/кредитки в такой сессии);
7. В Chrome проверьте, включен ли протокол TLS 1.3. В адресной строке перейдите в раздел настроек chrome://flags, С помощью поиска найдите параметр TLS 1.3. Убедитесь, что он включен (Enabled) или находится в состоянии Default. Если отключен – его нужно включить;
8. Если у вас используется одна из старых версий ОС (Windows XP или Windows 7), установите вместо Chrome браузер Mozilla Firefox. В отличии от движков на базе Chromium, Mozilla не использует собственные модули реализации протоколов шифрования SSL/TLS, а не встроенные в Windows.
Предыдущая статья Следующая статья

"Сайт не может обеспечить безопасное соединение". Как решить проблему?

Неправильно настроен сайт (раз ssl cloudflare).
Или лишние "копочки понажимали" в настройках "облака".

Первое — вернее. У разных cms — свои настройки ssl. Они-то и не выполнены. Стоит обратиться на специализированый форум конкретной cms, у всех — свои нюансы.

Ну. например, в Джумла! (я работаю, в основном, с этой cms) настройки ssl зависят от:
— версия cms: 1.013, 1.15, 2.5, 3.х. (У всех версий настройки — разные).
— настроек сервер/хостер
— версия php

А править нужно — файлы "ядра", configuration.php, .htaccess

А в cloudflare — свои "прибабахи". некоторые стоит и отключать.

что делать если протокол ssl не совпадает с шифр rc4

Ошибка «Этот сайт не может обеспечить безопасное соединение» в Chrome, Opera и Яндекс Браузер

У меня почему-то перестали открываться некоторые HTTPS сайты (не все!). При попытке открыть такой сайт в браузере появляется окно с ошибкой «Этот сайт не может обеспечить безопасное соединение». Сайты не отображаются как в Google Chrome, так и в Opera и в Яндекс Браузере. Без HTTPS некоторые сайты открываются, но не все, только те, у которых страницы доступны и по протоколу HTTPS и по протоколу HTTP.В Google Chrome ошибка при открытии HTTPS сайт выглядит так:

В Opera и Яндекс Браузер ошибка выглядит примерно также. Как мне открыть такие сайты?

Ответ

Как вы уже вероятно поняли, проблема связана с проблемами при SSL взаимодействии между вашим компьютеров и HTTPS сайтом. Причины такой ошибки могут быть довольно разные. В этой статье я попробовал собрать все методы исправления ошибки «Этот сайт не может обеспечить безопасное соединение» (This site can’t provide a secure connection, ERR_SSL_PROTOCOL_ERROR) в различных браузерах.

Сразу хочется отметить, что несмотря на то, что браузеры Google Chrome, Opera и Яндекс Браузер выпускаются разными компаниями, на самом деле все эти браузеры основаны на одном и том же движке — Chrome и проблема с ошибками открытия HTTPS сайтов в них решается одинаково.

В первую очередь нужно убедиться, что проблема не на стороне самого HTTPS сайта. Попробуйте открыть его с других устройств (телефон, планшет, домашний/рабочий компьютер и т.д.). Также проверьте, открывается ли в других браузерах, например, IE/Edge или Mozilla Firefox. В Firefox похожая ошибка обсуждалась в статье Ошибка при установлении защищённого соединения в Mozilla Firefox.

Очистите кэш и куки браузера, SSL кэш

Кэш и куки браузера могут быть частой причиной возникновения ошибок с SSL сертификатами. Рекомендуем сначала очистить в браузере кэш и куки. В Chrome нужно нажать сочетание клавиш Ctrl + Shift + Delete, выберите промежуток времени (Все время) и нажмите кнопку очистки данных (Удалить данные / Clear Data).

Чтобы очистить SSL кэш в Windows:

Отключите сторонние расширения в браузере

Проверьте настройки антивируса и файрвола

Если на вашем компьютере установлены антивирусная программа или межсетевой экран (часто он встроен в антивирус), возможно доступ к сайту блокируется именно ими. Чтобы понять, ограничивают ли доступ к сайту антивирусы или файрволы, попробуйте на время приостановить их работу.
Во многих современных антивирусах по-умолчанию присутствует модуль проверки SST/TLS сертификатов сайтов. Если антивирус обнаружит, что сайт использует недостаточно защищенный (или самоподписанный) сертификат или устаревшую версию протокола SSL (тот же SSL v3 или ниже), доступ к пользователя к такому сайту может быть ограничен. Попробуйте отключить сканирование HTTP/HTTPS трафика и SSL сертификатов. Как вы понимает, все зависит от того, какой антивирус и вас установлен. Например:

Проверьте настройки даты и времени

Неправильная дата и время (и часового пояса) на компьютере также может быть причиной ошибки при установке защищенного соединения с HTTPS сайтами. Ведь при выполнении аутентификации система проверяет срок создания и дату истечения сертификата сайта и вышестоящего центра сертификации.

Проверьте что у вас установлено правильно время и часовой пояс. Если время постоянно сбивается – смотри статью “Сбивается время на компьютере при выключении: что делать?”.

Обновите корневые сертификаты Windows

Если ваш компьютер находится в изолированном сегменте, давно не обновлялся или на нем совсем отключена служба автоматического обновления, на вашем компьютере могут отсутствовать новые корневые доверенные сертификаты (TrustedRootCA). Рекомендуем выполнить обновление системы: установить последние обновления безопасности, в случае с Windows 7 – обязательно установить SP1 (KB976932) и обновления часовых поясов (KB2998527).

Вы можете вручную обновить корневые сертификаты по статье: Как вручную обновить корневые сертификаты в Windows (так же рекомендуем проверить хранилище сертификатов на предмет недоверенных сертификатов, это позволит предотвратить перехват вашего HTTPs трафика и ряд других проблем).

Отключите поддержку протокола QUIC

Проверьте, не включена ли в Chrome поддержка протокола QUIC (Quick UDP Internet Connections). Протокол QUIC позволяет гораздо быстрее открыть соединение и согласовать все параметры TLS (HTTPs) при подключении к сайту. Однако в некоторых случая он может вызывать проблемы с SSL подключениями. Попробуйте отключить QUIC:

Включите поддержку протоколов TLS и SSL

И самый последний пункт – скорее всего для решения проблемы вам достаточно будет включить поддержку старых версий протоколов TLS и SSL. В большинстве случае он окажется самым эффективным, но я намеренно перенес его в конец статьи. Объясню почему.

Старые версии протоколов TLS и SSL отключены не по простой прихоти разработчиков, а в связи с наличием большого количества уязвимостей, которые позволяют злоумышленникам перехватить ваши данные в HTTPS трафике и даже видоизменить их. Бездумное включение старых протоколов существенно снижает вашу безопасность в Интернете, поэтому к этому способу нужно прибегать в последнюю очередь, если все другое точно не помогло.

Современные браузеры и ОС уже давно отказались от поддержки устаревших и уязвимых протоколов SSL/TLS (SSL 2.0, SSL 3.0 и TLS 1.1). Стандартном сейчас считаются TLS 1.2 и TLS 1.3

Если на стороне сайта используется меньшая версия протокола SSL/TLS, чем поддерживается клиентом/браузером, пользователь видит ошибку установки безопасного подключения.

Чтобы включить старые версии протоколов SSL/TLS (еще раз отмечаю – это небезопасно):

Если все рассмотренные способы не помогли избавиться от ошибки «Этот сайт не может обеспечить безопасное соединение» также попробуйте:

Клиент и сервер поддерживают разные версии протокола SSL или набора шифров

При открытии web-страничек появляются ошибки без каких либо на то причин? Или браузер выдает сообщение, что нельзя установить безопасное соединение? Пытаетесь открыть zakupki.gov.ru и lkul.nalog.ru, а появляется ошибка «Клиент и сервер поддерживают разные версии протокола ssl или набора шифров»? Пора разобраться, чем это вызвано и как выйти из сложившейся ситуации.

Вышеуказанные проблемы проявляются при открытии HTTPS платформ и ресурсов, у которых есть опция входа с цифровой подписью. Прежде, чем приступить к устранению ошибок, нужно убедиться, что проблема связана не с вашим ПО и компьютером. Попробуйте открыть необходимый интернет-ресурс на другом устройстве или подключившись к другой интернет-сети. Посмотрите, как обстоят дела со входом через прочие браузеры.

Клиент и сервер поддерживают разные версии протокола SSL в Закупках

Начинайте с очистки кэша и куки

Первое, что нужно сделать для решения проблемы с SSL — это почистить браузер от мусора, включая куки и кэш. В Хроме, Яндексе и Опере в меню очистки можно попасть через комбинацию «CTRL+H». В Мозилле скопируйте вот этот адрес: about:preferences#privacy и найдите пункт «Куки и данные сайтов». Делая очистку, следует указать в строке выбора временного промежутка «Все время». В меню очистки выберите все пункты и подтвердите действие.

Очистка кэша и куки в Firefox

Отключите лишние расширения

Доступ может блокироваться из-за различных установленных расширений и дополнений в рабочих браузерах. В первую очередь это касается плагинов, вмешивающихся в трафик и сетевые экраны, например ВПН, антивирусы, прокси. После открытия раздела с расширениями нужно удалить все подозрительные. Если нужный сайт по прежнему не открывается, попробуйте отключить все установленные расширения.

Попасть в меню управления плагинами достаточно просто. Можете просто скопировать этот путь в своем браузере:

Файрвол и антивирус

Блокировать открытые ресурсы могут антивирусники и межсетевой экран. Попробуйте ненадолго их отключить, чтобы проверить, не они ли блокируют доступ к необходимому HTTPS сайту.

Последние версии антивирусных программ содержат в себе опцию проверки SST/TLS сертификатов. Опция эта работает в автоматическом режиме. Если антивирусник заметит, что интернет-платформа применяет самоподписанный или плохо защищенный сертификат (бесплатные SSL) — он может ограничить к ней доступ. Это также касается неактуальной версии SSL-протокола.

Для выхода из сложившейся ситуации необходимо открыть параметры антивирусной программы, найти раздел со сканированием и отключить режим проверки SSL сертификатов и HTTP/HTTPS трафика. Единого решения для всех антивирусников нет, так как каждый из них блокирует свои разделы. Так, например, в Dr.Web может не пускать на страницу опция «SpIDer Gate», а ESET NOD 32 — в фильтр веб-протоколов.

Настройка фильтрации веб-протоколов в ESET

Часовой пояс

Даже такие незначительные детали, как часовой пояс или не отвечающая действительности дата, могут послужить причиной отказа в доступе к HTTPS площадке. Связана такая закономерность с выполнением сетевой аутентификации. Система осуществляет проверку даты создания и истечения сертификатов, из-за чего и появляются «несостыковки». Во избежание подобных сложностей в настройках лучше всегда правильно указывать часовой пояс.

Правильно узнать свой часовой пояс можно через сервис 2ip.ru, который укажет город регистрации вашего провайдера. Именно по этому городу выставляйте свой часовой пояс. В случае с правильным временем нужно установить автоматическое определение.

Сертификаты ОС

Одна из вероятных причин блокировки доступа к определенным платформам может заключаться в корневых сертификатах вашей операционки. Если вы долгий период не обновляли Windows, то на ПК с большой долей вероятности отсутствует «TrustedRootCA» — корневые сертификаты (доверенные). Этот нюанс решается простым и очевидным решением — обновлением операционной системы. Следует запустить установку актуальных апдейтов через Центр обновлений. Если же на ПК установлена Windows 7, то необходимо заняться обязательной инсталляцией SP1 (KB976932), а также обновлением KB2998527.

Поддержка протоколов

Чтобы дальше спокойно заходить на открытые ресурсы без каких либо сложностей, можно обратиться к чуть более сложному способу, чем указанные выше — следует включить поддержку TLS и SSL.

Устаревшие версии указанных протоколов отключены потому, что сейчас злоумышленники могут создавать слишком много угроз для перехвата данных в трафике HTTPS типа. Включение старых протоколов может поставить под угрозу безопасность пользователя во время использования Интернета. Используйте способ только в том случае, если предыдущие не помогли.

На сегодняшний день браузеры не используют ненадежные старые протоколы и уже давно перешли на актуальные. Чтобы активировать устаревшие протоколы SSL/TLS необходимо:

Активация TSL протоколов в браузере

Если и этот способ не помог, то можно попробовать такой вариант:

Повышение уровня безопасности для сайтов

Клиент и сервер поддерживают разные версии протокола SSL при входе в zakupki.gov.ru

Если аналогичные ошибки возникают при входе на сайт zakupki.gov.ru или прочие государственные порталы — следует проверить следующие моменты:

Полную инструкцию с детальным описанием каждого пункта можно найти на сайте zakupki.gov.ru/epz, скачав «Инструкцию по настройке рабочего стола».

Заключение

Как показывает практика — на обновленных Windows такие ошибки на сайтах не выскакивают, а клиент и сервер поддерживают совместимые версии ssl-протоколов и наборы шифров соответствуют всем требованиям. В случае с закупками советуем обновить Internet Exprolel и провести настройку доступов, строго придерживаясь указанной в ссылке инструкции.

Протокол не поддерживается клиент и сервер используют разные версии протокола SSL или разные наборы шифров

Многие пользователи при входе на некоторые HTTPS-сайты, требующие цифровую подпись, сталкиваются с различными ошибками или уведомлениями о невозможности установления безопасного соединения. Если при попытке зайти на ресурс система сообщает о том, что «Протокол не поддерживается Клиент и сервер используют разные версии протокола SSL или разные наборы шифров», для решения проблемы стоит воспользоваться одним из описанных ниже способов.

Очистка cash и cookie

Прежде всего нужно сделать очистку браузера, включая cookie-файлы и cash. В Google Chrome, Yandex Browser и Opera комбинация клавиш «CTRL» + «H» открывает меню очистки истории. В Mozilla Firefox нужно вставить в адресную строку about:preferences#privacy и выделить галочками пункты «Cookie и данные сайтов» и «Кэшированное веб-содержимое». Для полной очистки необходимо выбрать временной промежуток «Все время» и нажать на клавишу «Удалить».

Отключение лишних расширений

Конфликт протоколов может быть вызван различными расширениями и дополнениями, которые были установлены в используемый браузер. Первым делом нужно отключить плагины, вмешивающиеся в трафик (VPN, антивирусные утилиты, proxy), и межсетевые экраны (программно-аппаратные средства, предназначенные для информационной защиты от анализа трафика). Для этого потребуется открыть меню расширений и удалить лишние. Если проблема с открытием нужного сайта не решилась, стоит отключить все дополнения. Открыть раздел настройки плагинов можно, вставив в адресную строку следующую комбинацию:

Антивирус и файрвол

Антивирусные приложения, как и межсетевые экраны, могут стать причиной блокировки веб-сайтов. Поэтому в случае конфликта протоколов стоит временно отключить их. Большинство антивирусов позволяет проверять SST/TLS сертификаты. Если программа зафиксирует факт использования сайтом самоподписанных или обладающих плохой защитой сертификатов (бесплатных SSL), она автоматически заблокирует ресурс. То же самое может произойти с неактуальными версиями SSL-протоколов. Для решения проблемы нужно зайти в настройки антивируса, открыть раздел сканирования и выключить опцию автоматической проверки HTTPS/HTTP трафика и сертификатов SSL.

Для разных антивирусов решение будет отличаться, поскольку каждая программа может блокировать свои подразделы. К примеру, NOD32 фильтрует веб-протоколы, а Dr.Web не пропускает модуль проверки HTTP-трафика SpIDer Gate.

Настройка часового пояса

Некорректные настройки часового пояса или неправильно установленная дата могут стать причиной блокировки HTTPS-ресурса. Конфликт протоколов в данном случае связан с сетевой аутентификацией. ОС автоматически сверяет дату создания и истечения сертификатов, и при выявлении нестыковок доступ к определенному веб-сайту блокируется. Поэтому рекомендуется проверить настройки часового пояса и убедиться в том, что они установлены правильно.

Получить информацию о своем часовом поясе можно с помощью сервиса 2ip.ru. Сайт идентифицирует город, в котором зарегистрирован провайдер. Нужно выставить время, актуальное для своего населенного пункта, либо воспользоваться функцией автоматического определения.

Сертификаты операционной системы

Одна из самых распространенных причин конфликта протоколов связана с корневыми сертификатами операционной системы. Если ОС Windows долгое время не обновлялась, то скорей всего на компьютере будут отсутствовать доверенные (корневые) сертификаты Trusted Root. Исправить данный недочет можно посредством обновления ОС. Устанавливать актуальные апдейты необходимо с помощью «Центра обновлений». Если на компьютере установлена Windows 7, нужно обязательно загрузить Service Pack 1 (KB976932).

Поддержка протоколов

Для доступа к открытым веб-ресурсам без каких-либо затруднений можно воспользоваться усложненным способом (в отличие от описанных выше), который предполагает активацию поддержки SSL и TLS протоколов. Из-за того, что мошенники используют разные уловки и приемы для перехвата информации в HTTPS-трафике, указанные протоколы могут быть отключены. Активация устаревших версий SSL и TLS представляет собой серьезную угрозу для безопасности ОС во время пользования интернетом.

Прибегать к данному способу рекомендуется только в том случае, если перечисленные выше варианты не помогли устранить конфликт протоколов. Большинство популярных браузеров отказалось от ненадежных старых протоколов в пользу актуальных. Для активации устаревших TLS/SSL протоколов нужно проделать такие действия:

Если данный алгоритм не помог решить проблему, стоит воспользоваться следующим вариантом:

Остается в «Панели управлений» кликнуть по свойствам браузера и установить средний либо высокий уровень безопасности для интернет-соединения. Пропускать данный шаг нельзя, в противном случае устранить проблему с блокировкой сайтов не получится.

Поддержка разных версий протокола SSL клиентом и сервером

Если конфликт протоколов наблюдается при попытке зайти на один из государственных порталов, нужно сделать следующие действия:

В случае устаревшего сертификата нужно сделать его перерегистрацию.

Заключение

Если при попытке зайти на сайт возникает системное уведомление о том, что «Протокол не поддерживается Клиент и сервер используют разные версии протокола SSL или разные наборы шифров», нужно очистить cash и cookie, отключить лишние плагины, расширения и антивирусную защиту. Также необходимо правильно установить настройки часового пояса, обновить сертификаты операционной системы и активировать поддержку SSL и TLS протоколов.

На сайте используется неподдерживаемый протокол — как зайти?

Иногда попытки защитить данные пользователей приводят к невозможности открытия определённого сайта и появлению непонятных предупреждений. Данный материал расскажет, что делать, если в браузере выскакивает сообщение: «На сайте используется неподдерживаемый протокол или комплект шифров например RC4» и как зайти на страницу в такой ситуации.

Что это за сбой?

На сайте используется неподдерживаемый протокол – это сбой в безопасном подключении к ресурсу, который может быть спровоцирован несколькими факторами. Среди них – некорректная работа (обработка) SSL-протоколов, вирусная атака на устройство, а также неправильная настройка браузера.

Ошибка неподдерживаемого протокола

Чаще всего такое предупреждение выскакивает на сайтах государственных органов: gosuslugi.ru, zakupki.gov.ru, fzs.roskazna.ru и др. Причем, сбой не зависит и от браузера — это могут быть Яндекс Браузер, Google Chrome, Mozilla, Opera.

Причины появления

Подливает масла в огонь и то, что вышеупомянутое уведомление может выскочить на постоянно посещаемых и стабильных сайтах, в том числе в социальных сетях – Одноклассники, ВКонтакте, Facebook, Youtube.

Выделяют несколько причин внезапной потери доступа:

Что делать, если на сайте используется неподдерживаемый протокол

Далее мы рассмотрим несколько вариантов, которые наверняка помогут в решении проблемы. Причем, эти решения будут актуальны и выполнимы для всех браузеров.

Сброс SSL

Самой популярной причиной возникновения проблемы становится SSL – это современный протокол передачи информации, обладающий несколькими уровнями защиты информации от кражи посредством уникального шифрования (HTTPS). По факту, это самый совершенный на данный момент способ сохранности информации в сети.

Для сброса настроек протокола данных следуем следующей инструкции:

Если знакомы с командной строкой, также советуем опробовать 2 полезные команды (запускаем окно с правами администратора, вводим коды по порядку):

Поочередно выполните сканирование Windows и сброс кеша DNS

Сканирование на наличие вирусов

Разнообразные вирусные программы совершенствуются, поэтому простого удаления и переустановки браузера в наше время недостаточно.

Действуем по следующей схеме:

После этого для верности проведём сканирование двумя программами поочерёдно:

Обязательно проверьте ПК на зловреды

Важно – удаляем ВСЕ заражённые папки, найденные утилитами. Даже если вам кажется, что программа, попавшая в список, полностью чиста: вирус мог просто-напросто проникнуть в ранее безопасную.

Грамотная настройка браузера

Захламлённый браузер – тоже нередкий катализатор сбоев в работе подключения:

Отключите лишние расширения в браузере

Хочу заметить, что браузер может не работать с уже устаревшей Windows XP. Если у вас данная операционка, попробуйте открыть ресурс через Mozilla FireFox.

Как зайти на сайт?

После проведения всех инструкций просто перезагружаем ПК и пытаемся зайти на проблемный ресурс – всё должно вновь заработать! В случае, если ни один из методов решения не помог – остаётся лишь ждать. Скорее всего, неполадки связаны с указанными в самом начале техническими работами ресурса.

Если страдаете только вы, а у знакомых всё в порядке – обратитесь в ближайший сервисный центр по ремонту современной техники. Чаще всего диагностику проводят бесплатно / за несущественную стоимость.

Надеемся, данный материал помог вам разобраться, что же делать в случае появления уведомления «На сайте используется неподдерживаемый протокол» — приятного сёрфинга в сети!

Включение шифра rc4 в internet explorer 11. Самостоятельное решение проблемы

Читайте также

У меня почему-то перестали открываться некоторые HTTPS сайты (не все!). При попытке открыть такой сайт в браузере появляется окно с ошибкой «Этот сайт не может обеспечить безопасное соединение». Сайты не отображаются как в Google Chrome, так и в Opera и в Яндекс Браузере. Без HTTPS некоторые сайты открываются, но не все, только те, у которых страницы доступны и по протоколу HTTPS и по протоколу HTTP.В Google Chrome ошибка при открытии HTTPS сайт выглядит так:

Этот сайт не может обеспечить безопасное соединение.
На сайте sitename.ru используется неподдерживаемый протокол.
ERR_SSL_VERSION_OR_CIPHER_MISMATCH.
Клиент и сервер поддерживают разные версии протокола SSL и набора шифров. Скорее всего, сервер использует шифр RC4, который считается небезопасный.»

В Opera и Яндекс Браузер ошибка выглядит примерно также. Как мне открыть такие сайты?

Ответ

Как вы уже вероятно поняли, проблема связана с проблемами при SSL взаимодействии между вашим компьютеров и HTTPS сайтом. Причины такой ошибки могут быть довольно разные. В этой статье я попробовал собрать все методы исправления ошибки «Этот сайт не может обеспечить безопасное соединение» (This site can’t provide a secure connection, ERR_SSL_PROTOCOL_ERROR) в различных браузерах.

Сразу хочется отметить, что несмотря на то, что браузеры Google Chrome, Opera и Яндекс Браузер выпускаются разными компаниями, на самом деле все эти браузеры основаны на одном и том же движке — Chrome и проблема с ошибками открытия HTTPS сайтов в них решается одинаково.

Очистите кэш и куки браузера, SSL кэш

Чтобы очистить SSL кэш в Windows:

Отключите сторонние расширения в браузере

Проверьте настройки антивируса и файрвола

Если на вашем компьютере установлены антивирусная программа или межсетевой экран (часто он встроен в антивирус), возможно доступ к сайту блокируется именно ими. Чтобы понять, ограничивают ли доступ к сайту антивирусы или файрволы, попробуйте на время приостановить их работу.
Во многих современных антивирусах по-умолчанию присутствует модуль проверки SST/TLS сертификатов сайтов. Если антивирус обнаружит, что сайт использует недостаточно защищенный (или ) сертификат или устаревшую версию протокола SSL (тот же ), доступ к пользователя к такому сайту может быть ограничен. Попробуйте отключить сканирование HTTP/HTTPS трафика и SSL сертификатов. Как вы понимает, все зависит от того, какой антивирус и вас установлен. Например:

Проверьте настройки даты и времени

Неправильная дата и время (и ) на компьютере также может быть причиной ошибки при установке защищенного соединения с HTTPS сайтами. Ведь при выполнении аутентификации система проверяет срок создания и дату истечения сертификата сайта и вышестоящего центра сертификации.

Обновите корневые сертификаты Windows

Если ваш компьютер находится в изолированном сегменте, давно не обновлялся или на нем совсем отключена служба автоматического обновления, на вашем компьютере могут отсутствовать новые корневые доверенные сертификаты (TrustedRootCA). Рекомендуем выполнить обновление системы: установить последние обновления безопасности, в случае с Windows 7 – обязательно установить SP1 () и обновления часовых поясов ().

Отключите поддержку протокола QUIC

Проверьте, не включена ли в Chrome поддержка протокола QUIC (Quick UDP Internet Connections). Протокол QUIC позволяет гораздо быстрее открыть соединение и согласовать все параметры TLS (HTTPs) при подключении к сайту. Однако в некоторых случая он может вызывать проблемы с SSL подключениями. Попробуйте отключить QUIC:

Включите поддержку протоколов TLS и SSL

И самый последний пункт – скорее всего для решения проблемы вам достаточно будет включить поддержку старых версий протоколов TLS и SSL. В большинстве случае он окажется самым эффективным, но я намеренно перенес его в конец статьи. Объясню почему.

Старые версии протоколов TLS и SSL отключены не по простой прихоти разработчиков, а в связи с наличием большого количества уязвимостей, которые позволяют злоумышленникам перехватить ваши данные в HTTPS трафике и даже видоизменить их. Бездумное включение старых протоколов существенно снижает вашу безопасность в Интернете, поэтому к этому способу нужно прибегать в последнюю очередь, если все другое точно не помогло.

Современные браузеры и ОС уже давно отказались от поддержки устаревших и уязвимых протоколов SSL/TLS (SSL 2.0, SSL 3.0 и TLS 1.1). Стандартном сейчас считаются TLS 1.2 и TLS 1.3

Если на стороне сайта используется меньшая версия протокола SSL/TLS, чем поддерживается клиентом/браузером, пользователь видит ошибку установки безопасного подключения.

Чтобы включить старые версии протоколов SSL/TLS (еще раз отмечаю – это небезопасно):

Если все рассмотренные способы не помогли избавиться от ошибки «Этот сайт не может обеспечить безопасное соединение» также попробуйте:

Компании Google, Microsoft и Mozilla огласили сроки полного прекращения поддержки алгоритма шифрования RC4.

Уже более десяти лет исследователи сетуют на несовершенство RC4, указывая на возможность подбора случайных значений, используемых для создания шифротекстов по этому алгоритму. При наличии определенного времени, вычислительных мощностей и доступа к некоторому количеству TLS-запросов расшифровка для атакующего не составит большого труда.

В 2013 году исследование, проведенное Дэниелом Бернстайном (Daniel J. Bernstein) на базе университета штата Иллинойс, позволило ему создать практичный способ атаки против известной уязвимости в RC4 с целью компрометации TLS-сессии. Это был один из первых таких опытов, преданных гласности.

В минувшем июле бельгийские исследователи атаки на RC4, позволяющие перехватывать куки-файл жертвы и расшифровывать его за гораздо меньшее время, чем это считалось возможным ранее.

Общая теория: расширение протокола передачи данных HTTP, поддерживающее шифрование этих данных, – HTTPS – не является собственно протоколом шифрования. За шифрование отвечают криптографические протоколы – SSL или TLS.

При этом не все йогурты одинаково полезны: SSL устарел полностью, TLS версии 1.0 – тоже, поэтому сегодня рекомендуется использовать лишь TLS версий 1.1 или 1.2. К слову, последняя на сегодня версия спецификации HTTPS, принятая еще в 2000 году, так и называется HTTP over TLS, про SSL там уже почти не упоминается.

Но это лишь теория, на практике же TLS 1.2 до сих пор поддерживается лишь на ограниченном числе сайтов, с TLS 1.1 – уже заметно получше, но тоже не повсеместно. Проблема поддержки современных версий TLS присутствует и «на стороне клиента», об этом позже.

Итак, для того, чтобы пользоваться у себя на компьютере только актуальными версиями актуального криптографического протокола (Ну-ка, дети, напомните, как он называется? Правильно, TLS! А какой версии? Правильно, не ниже 1.1), необходимо сделать ряд нелепых телодвижений. Почему? Правильно, потому что никто за нас не включит TLS 1.1/1.2 на нашем компьютере. За нас только проверку «подлинности» Windows включат и кучу «мусора» в автозагрузку напихают. Впрочем, я отвлекся.

Лирическое отступление: я искренне убежден (и эта убежденность подтверждается практикой), что 90% пользователей компьютеров могли бы до сих пор пользоваться Windows 3.11 (была такая ОС в начале 90-х), или, в крайнем случае, Windows 98 SE – «пишущая машинка» и браузер ничего другого и не требуют, чтобы нам там не врали про новые, еще более улучшенные интерфейсы и прочие рюшечки «революционных» новых версий ОС.

Правдой также является то, что современные технологии, связанные с безопасностью, к устаревшим ОС никак не прикрутить. Не потому, что это в принципе невозможно, а потому, что их производитель этого не сделал, как не сделал и ничего для того, чтобы прикрутить их смогли сторонние производители ПО. Поэтому, все ОС семейства Windows версии ниже XP (да и та уже в обозримом будущем), увы, безнадежно устарели в аспекте сетевой безопасности.

На этом с лирикой закончим: все следующие рассуждения будут построены на том, что используется ОС Windows XP или более поздняя (Vista, 7 или 8). И на том, что мы сами себе – вовсе не злобные Буратины, а потому своевременно устанавливаем на используемую ОС все полагающиеся обновления и «заплатки».

Итак, для начала нам стоит включить поддержку TLS 1.1 и TLS 1.2 и отключить SSL и TLS 1.0 на уровне самой ОС, за что отвечает Microsoft TLS/SSL Security Provider (schannel.dll). Что нам это даст? А вот что: все программы, которые не имеют собственного модуля поддержки TLS, а используют системный, будут использовать актуальные версии TLS.

А делаем мы следующее: идем в реестр по адресу
HKLM\SYSTEM\CurrentControlSet\Control\Se curityProviders\SCHANNEL\Protocols, находим там разделы PCT 1.0, SSL 2.0, SSL 3.0 и TLS 1.0, в каждом из них – подразделы Client и Server, и создаем в них ключи DisabledByDefault (тип – DWORD), которым присваиваем значение 1 (единица).

Затем там же находим разделы TLS 1.1 и TLS 1.2 и аналогичным образом создаем в них вышеупомянутый ключ, но значение ему присваиваем другое – 0 (ноль). Там же мы отключаем слабые алгоритмы шифрования и хеширования RC2, RC4, DES, MD4 и MD5 а также запрещаем устанавливать безопасные соединения без шифрования (да, бывает и такое. в чьих-то нездоровых фантазиях), оставляя лишь относительно стойкие Triple DES и SHA.

Поскольку расписывать как, что и где менять, мне откровенно лениво, ниже будет приведено содержимое.reg файла, вносящего соответствующие изменения в реестр. Надо аккуратненько скопировать все это содержимое в буфер обмена, создать новый текстовой файл, вставить содержимое туда, сохранить этот файл с расширением.reg и запустить его, после чего – перезагрузиться.

Если случилось так, что после перезагрузки появились проблемы с сетевым соединением, ту же самую операцию надо будет проделать уже со следующим файлом – он удаляет из реестра все сделанные нами изменения, после чего (правильно, дети) снова перезагрузиться. Не обнаружив в реестре вообще никаких значений в испорченном нами разделе реестра, ОС при загрузке создаст их заново со значениями по умолчанию.

Продвинутые пользователи могут вместо полного отката изменений пошаманить с включением и отключением отдельных протоколов и алгоритмов, редактируя первый из файлов. Хозяйке на заметку: если для подключения к Интернету используется корпоративная локальная сеть, а тем более с доменом, то проблемы вероятны, и искать пути их решения рекомендуется за распитием бутылочки пива с администратором сети;)

Также на заметку: браузеры Chrome, Firefox, Opera и Safari, т.е. все, которые не основаны на движке Internet Explorer, используют собственные модули поддержки SSL и TLS, а потому не зависят от рассмотренных нами настроек. Но это не значит, что ими можно пренебречь (в смысле, настройками). А вот о настройках самих браузеров мы поговорим в следующий раз.
Related posts: