ข้อผิดพลาด SSL:ไซต์นี้ไม่สามารถให้การเชื่อมต่อที่ปลอดภัยใน Chrome, Opera &Chromium

ด้วยเหตุผลบางอย่าง ฉันไม่สามารถเปิดเว็บไซต์ HTTPS บางเว็บไซต์ (ไม่ใช่ทั้งหมด!) บนแล็ปท็อป Windows 10 ของฉัน เมื่อพยายามเปิดเว็บไซต์ดังกล่าวในเบราว์เซอร์ มันแสดงข้อผิดพลาด:“This site can’t provide a secure connection ” เว็บไซต์จะไม่แสดงในเบราว์เซอร์ที่ใช้ Google Chrome, Opera และ Chromium หากไม่มี HTTPS ฉันสามารถเปิดได้เพียงบางส่วนเท่านั้นที่มีหน้าเว็บทั้งบนโปรโตคอล HTTPS และ HTTP หากฉันพยายามเปิดเว็บไซต์ HTTPS ที่มีปัญหาใน Google Chrome ข้อผิดพลาดจะมีลักษณะดังนี้:

This site can’t provide a secure connection.
sitename.com sent an invalid response.
ERR_SSL_PROTOCOL_ERROR

หรือแบบนี้:

This site can’t provide a secure connection.
sitename.com uses an unsupported protocol.
ERR_SSL_VERSION_OR_CIPHER_MISMATCH.
The client and server don’t support a common SSL protocol version or cipher suite. This is likely to be caused when the server needs RC4, which is no longer considered secure.

หรือใน Mozilla Firefox :

Secure Connection Failed

ในเบราว์เซอร์ที่ใช้ Opera และ Chromium ข้อผิดพลาดจะเกือบเหมือนกัน ฉันจะเปิดเว็บไซต์ HTTPS เหล่านี้ได้อย่างไร

คำตอบ

ตามที่คุณอาจเข้าใจ ปัญหาดังกล่าวเกี่ยวข้องกับปัญหาการเชื่อมต่อ SSL ระหว่างเบราว์เซอร์ของคุณและเว็บไซต์ที่เปิดใช้งาน HTTPS เหตุผลอาจแตกต่างกัน ในบทความนี้ ฉันพยายามรวบรวมวิธีการแก้ไขข้อผิดพลาด “This site can’t provide a secure connection, ERR_SSL_PROTOCOL_ERROR ” ในเบราว์เซอร์ยอดนิยม

ฉันต้องการที่จะทราบว่าแม้ว่าเบราว์เซอร์ที่ใช้ Google Chrome, Opera และ Chromium จะเผยแพร่โดยบริษัทต่างๆ กัน พวกเขาใช้ WebKit เดียวกัน (โครเมียม ) และปัญหาในการเปิดเว็บไซต์ HTTPS ด้วยวิธีเดียวกันทั้งหมด

ก่อนอื่น ตรวจสอบให้แน่ใจว่าไม่ใช่ปัญหาของเว็บไซต์ HTTPS เอง ลองเปิดจากอุปกรณ์อื่น (สมาร์ทโฟน แท็บเล็ต พีซีที่บ้าน/ที่ทำงาน ฯลฯ) ตรวจสอบว่าคุณสามารถเปิดเว็บไซต์ที่มีปัญหาในเบราว์เซอร์อื่นได้หรือไม่:IE/Edge หรือ Mozilla Firefox

ล้างแคชของเบราว์เซอร์ คุกกี้ และรีเซ็ตแคช SSL

แคชและคุกกี้ของเบราว์เซอร์มักทำให้เกิดปัญหาใบรับรอง SSL เราแนะนำให้ล้างแคชและคุกกี้ในเบราว์เซอร์ของคุณก่อน ใน Chrome ให้กด Ctrl + Shift + Delete (หรือไปที่ที่อยู่ chrome://settings/clearBrowserData ) , เลือกช่วงเวลา (ตลอดเวลา ) และคลิก ล้างข้อมูล .

วิธีล้างแคช SSL ใน Windows 10 หรือ 11:

1. ไปที่ แผงควบคุม -> ตัวเลือกอินเทอร์เน็ต;
2. คลิก เนื้อหา แท็บ;
3. คลิก ล้างสถานะ SSL ปุ่ม;
4. ข้อความ “The SSL cache was successfully cleared ” จะปรากฏขึ้น;
5. รีสตาร์ทเบราว์เซอร์ของคุณและตรวจสอบว่าข้อผิดพลาด ERR_SSL_PROTOCOL_ERROR ยังคงมีอยู่หรือไม่

ปิดใช้งานส่วนขยายเบราว์เซอร์ของบุคคลที่สาม

เราแนะนำให้ปิดการใช้งาน (ลบ) ส่วนขยายเบราว์เซอร์ของบุคคลที่สาม โดยเฉพาะอย่างยิ่งผู้ไม่ระบุชื่อ, พร็อกซี, VPN, ส่วนขยายโปรแกรมป้องกันไวรัส และส่วนเสริมอื่นที่คล้ายคลึงกันที่อาจรบกวนการรับส่งข้อมูลไปยังเว็บไซต์เป้าหมาย คุณสามารถดูรายการส่วนขยาย Chrome ที่เปิดใช้งานได้ในการตั้งค่า -> เครื่องมือเพิ่มเติม -> ส่วนขยาย หรือไปที่ chrome://extensions/ . ปิดการใช้งานส่วนขยายที่น่าสงสัยทั้งหมด

ตรวจสอบการตั้งค่าโปรแกรมป้องกันไวรัสและไฟร์วอลล์

หากคุณมีโปรแกรมป้องกันไวรัสหรือไฟร์วอลล์ (ซึ่งมักจะติดตั้งอยู่ในโปรแกรมป้องกันไวรัสเป็นโมดูล) บนคอมพิวเตอร์ของคุณ สิ่งเหล่านี้อาจบล็อกการเข้าถึงเว็บไซต์ หากต้องการทราบว่าโปรแกรมป้องกันไวรัสหรือไฟร์วอลล์บล็อกการเข้าถึงเว็บไซต์หรือไม่ ให้ลองหยุดชั่วคราวสักครู่

แอนตี้ไวรัสจำนวนมากมีโมดูลในตัวที่ตรวจสอบใบรับรอง SSL/TLS ของเว็บไซต์ หากโปรแกรมป้องกันไวรัสตรวจพบว่าเว็บไซต์ใช้ใบรับรองที่ไม่ปลอดภัย (หรือลงนามเอง) หรือโปรโตคอล SSL เวอร์ชันเก่า (SSL 3.0 หรือ TLS 1.0) โปรแกรมป้องกันไวรัสอาจบล็อกการเข้าถึงของผู้ใช้ไปยังไซต์ดังกล่าว ลองปิดใช้งานการสแกนการรับส่งข้อมูล HTTP/HTTPS และใบรับรอง SSL ในโปรแกรมป้องกันไวรัสที่แตกต่างกัน ตัวเลือกนี้อาจเรียกต่างกัน ตัวอย่างเช่น:

• ปิดการใช้งาน “Enable SSL/TLS protocol filtering ” ใน ESET NOD32 Antivirus;
• ใน Avast ตัวเลือกนี้เรียกว่า “Enable HTTPS scanning ” (อยู่ภายใต้การตั้งค่า -> การป้องกันที่ใช้งาน -> Web Shield -> ปรับแต่ง -> การตั้งค่าหลัก);
• ไฟร์วอลล์ intebuilt-ingrated (Spider Gate ) สามารถบล็อกเว็บไซต์ใน Dr.Web Antivirus ได้
• ใน Kaspersky Internet Security Antivirus ให้ไปที่การตั้งค่า -> ขั้นสูง -> เครือข่าย -> เพิ่มเว็บไซต์ในการยกเว้นหรือเลือก อย่าสแกนการเชื่อมต่อที่เข้ารหัส ตัวเลือก.

ตรวจสอบการตั้งค่าวันที่ &เวลา

วันที่ เวลา (หรือเขตเวลา) ที่ไม่ถูกต้องในคอมพิวเตอร์ของคุณอาจทำให้เกิดข้อผิดพลาดในการเชื่อมต่อที่ปลอดภัยสำหรับเว็บไซต์ HTTPS ในระหว่างการรับรองความถูกต้อง ระบบปฏิบัติการของคุณจะตรวจสอบวันที่ที่สร้างใบรับรองเว็บไซต์ หมดอายุ และเมื่อใบรับรองของผู้ออกใบรับรองจะหมดอายุ

ตรวจสอบให้แน่ใจว่าคุณได้ตั้งค่าเวลาและเขตเวลาที่ถูกต้อง หากเวลาถูกรีเซ็ตอย่างต่อเนื่อง โปรดดูบทความ “Windows แสดงเวลาผิดหลังจากรีบูต”

อัปเดตใบรับรองหลักของ Windows

หากคอมพิวเตอร์ของคุณอยู่ในส่วนเครือข่ายที่แยกออกมา ไม่ได้รับการอัปเดตมาเป็นเวลานาน หรือปิดใช้งานการอัปเดตอัตโนมัติ แสดงว่าอาจไม่มีใบรับรองหลักที่เชื่อถือได้ (TrustedRootCA) ใหม่ เราขอแนะนำให้คุณติดตั้งการอัปเดตความปลอดภัยล่าสุดใน Windows เสมอ

คุณสามารถอัปเดตใบรับรองหลักที่เชื่อถือได้ด้วยตนเองตามบทความ "การอัปเดตรายการใบรับรองหลักที่เชื่อถือได้ใน Windows" นอกจากนี้ ขอแนะนำให้ตรวจสอบคอมพิวเตอร์ของคุณเพื่อหาใบรับรองที่น่าสงสัยหรือไม่น่าเชื่อถือด้วย SigCheck ช่วยป้องกันการรับส่งข้อมูล HTTPS และปัญหาอื่นๆ ได้อีกมากมาย

ปิดใช้งานการสนับสนุนโปรโตคอล QUIC

ตรวจสอบให้แน่ใจว่าได้รับการสนับสนุนจาก QUIC โปรโตคอล (การเชื่อมต่ออินเทอร์เน็ต UDP ด่วน) เปิดใช้งานใน Chrome QUIC ช่วยให้สร้างการเชื่อมต่อได้เร็วขึ้นและเจรจาพารามิเตอร์ TLS (HTTPS) ทั้งหมดเมื่อเชื่อมต่อกับเว็บไซต์ อย่างไรก็ตาม ในบางกรณี อาจทำให้เกิดปัญหากับการเชื่อมต่อ SSL ลองปิดการใช้งาน QUIC:

1. ไปที่ chrome://flags/#enable-quic;
2. ค้นหา โปรโตคอล QUIC ทดลอง ตัวเลือก;
3. เปลี่ยนค่าจาก Default เป็น Disabled;
4. รีสตาร์ท Chrome

ตรวจสอบโปรโตคอล TLS/SSL ที่เบราว์เซอร์และเว็บเซิร์ฟเวอร์ของคุณรองรับ

ตรวจสอบว่าเบราว์เซอร์ของคุณรองรับเวอร์ชันโปรโตคอล TLS/SSL และวิธีการเข้ารหัส (ชุดรหัส) ใดบ้าง โดยไปที่หน้าเว็บ https://clienttest.ssllabs.com:8443/ssltest/viewMyClient.html

บริการออนไลน์ของ SSL Labs จะแสดงรายการโปรโตคอลและชุดการเข้ารหัสที่เบราว์เซอร์ของคุณรองรับ ในตัวอย่างของฉัน Chrome รองรับเฉพาะ TLS 1.3 และ TLS 1.2 . โปรโตคอลอื่นๆ ทั้งหมด (TLS 1.1, TLS 1.0, SSL3 และ SSL 2) ถูกปิดใช้งาน ด้านล่างนี้คือรายการวิธีการเข้ารหัสที่รองรับ

ชุดการเข้ารหัส (ตามลำดับความชอบ)

• TLS_AES_128_GCM_SHA256
• TLS_CHACHA20_POLY1305_SHA256
• TLS_AES_256_GCM_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
• TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
• TLS_RSA_WITH_AES_128_GCM_SHA256
• TLS_RSA_WITH_AES_256_GCM_SHA384
• TLS_RSA_WITH_AES_128_CBC_SHA
• TLS_RSA_WITH_AES_256_CBC_SHA

Get-TlsCipherSuite | Format-Table -Property CipherSuite, Name

จากนั้นตรวจสอบรายการโปรโตคอล TLS/SSL ที่เว็บไซต์รองรับ ในการดำเนินการนี้ ให้ใช้บริการตัวตรวจสอบ SSL ออนไลน์ https://www.ssllabs.com/ssltest/analyze.html?d=domain.com (แทนที่ domain.com ด้วยที่อยู่ของเว็บไซต์ที่คุณต้องการตรวจสอบ)

ตรวจสอบว่าเวอร์ชัน TLS/SSL ทั้งหมดที่เว็บไซต์รองรับมีอยู่ในเบราว์เซอร์ของคุณหรือไม่

ในตัวอย่างนี้ คุณจะเห็นว่าไซต์ไม่รองรับ TLS 3.1, SSL 3.0 และ SSL 2.0 นอกจากนี้ ให้เปรียบเทียบรายการ Cipher Suite

หากเบราว์เซอร์ของคุณไม่รองรับวิธีการเข้ารหัส คุณอาจต้องเปิดใช้งานใน Windows

หากเว็บไซต์ไม่รองรับโปรโตคอล SSL ที่ไคลเอนต์ต้องการ คุณจะเห็นข้อผิดพลาด “This site can’t provide a secure connection ” ในเบราว์เซอร์ของคุณเมื่อเชื่อมต่อกับเว็บไซต์ที่เปิดใช้งาน HTTPS

เปิดใช้งานการสนับสนุนสำหรับโปรโตคอล TLS/SSL รุ่นเก่า

และสิ่งสุดท้าย – อาจเกิดขึ้นได้ว่าเพียงพอที่จะเปิดใช้งานการสนับสนุนโปรโตคอล TLS และ SSL แบบเดิมเพื่อแก้ปัญหา ในกรณีส่วนใหญ่จะได้ผลดีที่สุด แต่ฉันได้ย้ายรายการนี้ไปยังส่วนท้ายของบทความอย่างจงใจ ฉันจะอธิบายว่าทำไม

เวอร์ชันโปรโตคอล TLS และ SSL ที่ล้าสมัยถูกปิดใช้งาน ไม่ใช่แค่เพราะนักพัฒนาต้องการ เกิดจากช่องโหว่จำนวนมากที่ทำให้แฮกเกอร์สามารถบันทึกข้อมูลของคุณในการรับส่งข้อมูล HTTPS หรือแม้แต่แก้ไขได้ การเปิดใช้งานโปรโตคอลแบบเดิมเหล่านี้ส่งผลต่อความปลอดภัยของคุณบนอินเทอร์เน็ตอย่างไม่ใส่ใจ คุณจึงไม่ควรใช้วิธีนี้เว้นแต่จะสามารถช่วยอะไรได้อีก

หากเว็บเซิร์ฟเวอร์ (ไซต์) ใช้โปรโตคอล SSL/TLS เวอร์ชันเก่ากว่าที่ไคลเอ็นต์ของคุณ (เบราว์เซอร์) รองรับ ผู้ใช้จะเห็นข้อผิดพลาดเมื่อสร้างการเชื่อมต่อที่ปลอดภัย ERR_SSL_VERSION_OR_CIPHER_MISMATCH . ข้อผิดพลาดนี้จะปรากฏขึ้นหากไคลเอ็นต์ระหว่างขั้นตอน TLS Handshake ตรวจพบว่าไซต์ใช้โปรโตคอลการเข้ารหัสหรือความยาวของคีย์ที่เบราว์เซอร์ของคุณไม่รองรับ ด้านบน เราได้แสดงวิธีกำหนดชุดโปรโตคอลและรหัสที่เซิร์ฟเวอร์รองรับ

เพื่ออนุญาตให้ใช้โปรโตคอล SSL/TLS เวอร์ชันเก่าบน Windows (โปรดทราบว่าไม่ปลอดภัย!):

1. เปิด แผงควบคุม -> ตัวเลือกอินเทอร์เน็ต;
2. ไปที่ ขั้นสูง แท็บ;
3. เปิดใช้งาน TLS 1.0 , TLS 1.1 และ TLS 1.2 (หากไม่ช่วย ให้เปิดใช้งาน SSL 3.0 , 2.0 เช่นกัน);
4. รีสตาร์ทเบราว์เซอร์ของคุณ

หากไม่มีวิธีการใดที่ช่วยกำจัดข้อผิดพลาด “ไซต์นี้ไม่สามารถให้การเชื่อมต่อที่ปลอดภัย” ให้ลองทำดังนี้:

• ตรวจสอบให้แน่ใจว่าไม่มีระเบียนคงที่ในไฟล์ C:\Windows\System32\drivers\etc\host ไฟล์โฮสต์สามารถใช้ใน Windows เพื่อบล็อกการเข้าถึงโดเมนและเว็บไซต์:Get-Content $env:SystemRoot\System32\Drivers\etc\hosts;
• ลองใช้เซิร์ฟเวอร์ DNS สาธารณะ เช่น เซิร์ฟเวอร์ DNS ของ Google ในการตั้งค่าการเชื่อมต่อเครือข่าย ให้ระบุที่อยู่ IP 8.8.8.8 เป็นที่อยู่เซิร์ฟเวอร์ DNS ที่ต้องการ
• ในแผงควบคุม -> ตัวเลือกอินเทอร์เน็ต ตรวจสอบให้แน่ใจว่าระดับความปลอดภัยสำหรับโซนอินเทอร์เน็ต สูงปานกลาง หรือ ปานกลาง . ถ้า สูง ถูกเลือก การเชื่อมต่อ SSL บางส่วนอาจถูกบล็อกโดยเบราว์เซอร์ของคุณ
• บางทีปัญหาอาจเกี่ยวข้องกับใบรับรองไซต์ ตรวจสอบโดยใช้ตัวตรวจสอบ SSL ออนไลน์
• หากคอมพิวเตอร์ของคุณใช้ VPN หรือมีการกำหนดค่าพร็อกซีเซิร์ฟเวอร์ในการตั้งค่า Windows ให้ลองปิดการใช้งาน
• ตรวจสอบให้แน่ใจว่าได้เปิดใช้งาน TLS 1.3 ใน Chrome แล้ว ไปที่ส่วนการตั้งค่า (chrome://flags ) ในแถบที่อยู่ ค้นหา TLS 1.3 ตัวเลือก. ตรวจสอบให้แน่ใจว่าได้ตั้งค่าเป็น เปิดใช้งาน หรือ ค่าเริ่มต้น . หากปิดใช้งาน ให้เปิดใช้งาน
• หากคุณใช้ระบบปฏิบัติการรุ่นเก่า (Windows XP หรือ Windows 7) ให้ติดตั้ง Mozilla Firefox เบราว์เซอร์แทน Chrome Firefox ใช้โมดูลการใช้งานของตัวเองสำหรับโปรโตคอลการเข้ารหัส SSL/TLS ต่างจากเอ็นจิ้นที่ใช้ Chromium แทนที่จะติดตั้งใน Windows