How to troubleshoot TLS handshake issues [Updated]

Rick Akura on
Σε αυτήν την ανάρτηση, θα μάθετε τι είναι το σφάλμα TLS Handshake Failed και γιατί συμβαίνει. Στη συνέχεια, θα μάθετε πώς να αντιμετωπίζετε προβλήματα χειραψίας TLS.
How to troubleshoot TLS handshake issues [Updated]

Αν αντιμετωπίσατε ένα μήνυμα σφάλματος που λέει "Η χειραψία TLS απέτυχε" και έχετε μπερδευτεί σχετικά με το τι πρέπει να κάνετε, δεν είστε μόνοι. Η χειραψία TLS απέτυχε είναι ένα συνηθισμένο σφάλμα. Αν και μπορεί να είναι μια απογοητευτική εμπειρία, υπάρχουν τρόποι αντιμετώπισης προβλημάτων χειραψίας TLS και επίλυσής τους.

 

TLS handshake issues

 

 

Σε αυτήν την ανάρτηση, θα μάθετε ποιο είναι το σφάλμα TLS Handshake Failed και γιατί συμβαίνει. Στη συνέχεια, θα μάθετε πώς να αντιμετωπίζετε προβλήματα χειραψίας TLS.

 

Ας ξεκινήσουμε!

 

Κατανόηση του TLS/SSL

 

Πρέπει να κάνετε τον ιστότοπό σας ασφαλή, ώστε να δημιουργήσετε ασφαλείς συνδέσεις μεταξύ δύο διακομιστών. Για να το κάνετε αυτό, θα χρειαστεί να εγκαταστήσετε ένα πιστοποιητικό Secure Sockets Layer (SSL) - κρυπτογράφηση SSL και πρωτόκολλο ασφαλείας - στον ιστότοπό σας. Αυτό θα επιτρέψει στον ιστότοπό σας να χρησιμοποιεί HTTPS για να εξασφαλίσει ασφαλείς συνδέσεις.

 

Δυστυχώς, μερικές φορές τα πράγματα δεν πάνε όπως τα σχεδιάζετε και μπορεί να αντιμετωπίσετε πρόβλημα κατά τη σύνδεση μεταξύ του διακομιστή του ιστότοπού σας και του προγράμματος περιήγησης ενός επισκέπτη. Το πρόβλημα μπορεί να προκύψει ως σφάλμα «TLS Handshake Failed» ή οποιοδήποτε άλλο ζήτημα.

 

Transport Layer Security (TLS) και Secure Sockets Layer (SSL) είναι πρωτόκολλα ασφαλείας που παρέχουν κρυπτογράφηση και αναγνώριση ιστότοπου. Χρησιμοποιούνται για τον έλεγχο ταυτότητας των μεταφορών δεδομένων μεταξύ διακομιστών, εφαρμογών, συστημάτων όπως προγράμματα περιήγησης και χρηστών.

 

Με απλά λόγια, χρειάζεστε πιστοποιητικά TLS/SSL για να ασφαλίσετε τον ιστότοπό σας χρησιμοποιώντας HTTPS.

 

Κατανόηση της χειραψίας TLS/SSL

 

Η χειραψία TLS είναι μια μορφή επικοινωνίας και συμφωνίας μεταξύ δύο διακομιστών - του κεντρικού υπολογιστή του ιστότοπού σας και του διακομιστή του πελάτη. Είναι το πρώτο βήμα στη διαδικασία δημιουργίας μιας καθαρής σύνδεσης HTTPS.

 

Για τον έλεγχο ταυτότητας και τη δημιουργία μιας σύνδεσης, ο διακομιστής του ιστότοπού σας και το πρόγραμμα περιήγησης του πελάτη πρέπει να δουν τα χέρια, π.χ.μι, περάστε από μια σειρά ελέγχων (τη χειραψία). Αυτό καθορίζει τις παραμέτρους σύνδεσης HTTPS.

 

Τι σημαίνει αυτό;

 

Ο πελάτης (συνήθως ένα πρόγραμμα περιήγησης) συνήθως στέλνει ένα αίτημα για τη δημιουργία ασφαλούς σύνδεσης στον διακομιστή του ιστότοπου. Στη συνέχεια, ο διακομιστής στέλνει ένα δημόσιο κλειδί (πρωτόκολλο) στη συσκευή σας και φροντίζει να ελέγχει αυτό το κλειδί σε μια προπαρασκευασμένη λίστα πρωτοκόλλων/πιστοποιητικών. Στη συνέχεια, η συσκευή δημιουργεί ένα κλειδί και χρησιμοποιεί το κλειδί του διακομιστή για να το κρυπτογραφήσει.

 

Αν αυτή η εμπρός και πίσω επικοινωνία δεν αποφέρει θετικό αποτέλεσμα, π.χ.μι, εάν η χειραψία SSL αποτύχει μεταξύ του διακομιστή και του πελάτη, το HTTPS δεν θα δημιουργήσει μια ασφαλή σύνδεση, η οποία θα οδηγήσει σε αποτυχία χειραψίας TLS/SSL. Αυτό το σφάλμα μπορεί να εμφανιστεί με δύο μορφές.

 

  • HTTP/1.1 503 Μη διαθέσιμη υπηρεσία
  • Λήψη μοιραίας ειδοποίησης: handshake_failure (Σφάλμα 525)
TLS error 525

 

Σημείωση: Θα δείτε αυτά τα μηνύματα σφάλματος μετά από μια κλήση API όπου παρουσιάζεται αποτυχία χειραψίας TLS.

 

Τι προκαλεί προβλήματα χειραψίας TLS

 

Γενικά, το Σφάλμα 525 ή το Σφάλμα 503 συνήθως σημαίνει ότι υπήρξε αποτυχημένη χειραψία TLS. Μερικές από τις αιτίες της αποτυχίας μπορεί να περιλαμβάνουν:

 

Στην πλευρά του διακομιστή, οι αιτίες σφάλματος περιλαμβάνουν:

  • Αναντιστοιχία πρωτοκόλλου: Ο διακομιστής δεν υποστηρίζει το πρωτόκολλο που χρησιμοποίησε ο πελάτης.
  • Λανθασμένο πιστοποιητικό: Το όνομα κεντρικού υπολογιστή της διεύθυνσης URL του πελάτη δεν ταιριάζει με το όνομα κεντρικού υπολογιστή στο πιστοποιητικό που είναι αποθηκευμένο στο τέλος του διακομιστή ή το πιστοποιητικό είναι ελλιπές ή μη έγκυρο ή το πιστοποιητικό είναι λανθασμένο ή έχει λήξει
  • Αναντιστοιχία σειράς κρυπτογράφησης: Ο διακομιστής δεν υποστηρίζει τη σουίτα κρυπτογράφησης που χρησιμοποίησε ο πελάτης.
  • Διακομιστής με δυνατότητα SNI: όταν το back end SNI (Server Name Identification) είναι ενεργοποιημένο, αλλά ο πελάτης-διακομιστής δεν μπορεί να επικοινωνήσει με τους διακομιστές SNI.

 

Από την πλευρά του πελάτη, οι αιτίες μπορεί να περιλαμβάνουν:

 

  • Εάν η σύνδεση παρεμποδίζεται από τρίτο μέρος.
  • Εάν η συσκευή του πελάτη έχει λάθος ημερομηνία ή ώρα.
  • Εάν ο υπολογιστής-πελάτης αντιμετωπίζει σφάλμα με τη διαμόρφωση του προγράμματος περιήγησης.

Τρόπος αντιμετώπισης προβλημάτων χειραψίας TLS

 

Υπάρχουν πολλές πιθανές αιτίες για τα «προβλήματα χειραψίας TLS.” Μπορείτε να χρησιμοποιήσετε τις παρακάτω λύσεις για την αντιμετώπιση αυτών των προβλημάτων:

 

Μέθοδος #1: Ενημερώστε την ημερομηνία και την ώρα του συστήματός σας

 

Μια λανθασμένη ρύθμιση ημερομηνίας ή ώρας είναι μία από τις βασικές αιτίες των προβλημάτων χειραψίας TLS. Επειδή η ώρα συστήματος βοηθά να ελέγξετε εάν το πιστοποιητικό είναι έγκυρο ή λήξαν, μια αναντιστοιχία μεταξύ της ώρας ή της ημερομηνίας της συσκευής σας και εκείνης του διακομιστή μπορεί να κάνει τα πιστοποιητικά να φαίνονται ληγμένα.

 

Διορθώστε την ώρα και την ημερομηνία ρυθμίζοντάς την σε αυτόματη και, στη συνέχεια, επισκεφθείτε ξανά τον ιστότοπο και δείτε εάν το πρόβλημα της χειραψίας TLS έχει διορθωθεί.

 

Μέθοδος #2: Διορθώστε τη διαμόρφωση του προγράμματος περιήγησής σας ώστε να ταιριάζει με την τελευταία υποστήριξη πρωτοκόλλου TLS

 

Το πρόγραμμα περιήγησής σας είναι ο «άνθρωπος στη μέση» και μπορεί να επηρεάσει τον τρόπο επικοινωνίας της συσκευής σας με τον διακομιστή. Οποιαδήποτε εσφαλμένη διαμόρφωση του προγράμματος περιήγησης μπορεί να προκαλέσει προβλήματα TLS.

 

Για να ελέγξετε εάν το πρόβλημα είναι το πρόγραμμα περιήγησής σας, δοκιμάστε να χρησιμοποιήσετε άλλο πρόγραμμα περιήγησης για πρόσβαση στον ιστότοπο και δείτε εάν αντιμετωπίζετε το ίδιο πρόβλημα. Εάν το πρόβλημα παρουσιάζεται σε όλους τους ιστότοπους, τότε πρόκειται για πρόβλημα συστήματος.

 

Ίσως υπάρχει μια επέκταση προγράμματος περιήγησης ή λογισμικό ασφαλείας στη συσκευή σας που παρεμποδίζει τις συνδέσεις TLS και προκαλεί την προβληματική χειραψία TLS. Σε ορισμένες περιπτώσεις, εμπλέκεται ένας ιός ή κακόβουλο λογισμικό στο σύστημα.

 

Για να διορθώσετε αυτό το πρόβλημα:

 

  1. Μπορεί να χρειαστεί να απενεργοποιήσετε το λογισμικό ασφαλείας ή τις επεκτάσεις προγράμματος περιήγησης στη συσκευή σας ή,
  2. Επαναφέρετε το πρόγραμμα περιήγησής σας.

Μέθοδος #3: Έλεγχος και αλλαγή πρωτοκόλλων TLS [στα Windows]

 

Τα προβλήματα που σχετίζονται με το πρόγραμμα περιήγησης μπορεί επίσης να προκληθούν από αναντιστοιχία πρωτοκόλλου.

 

Για παράδειγμα, εάν το πρόγραμμα περιήγησης έχει ρυθμιστεί μόνο για μια συγκεκριμένη τιμή TLS, π.χ.σολ, TLS 1.0 ή TLS 1.1, αλλά ο διακομιστής υποστηρίζει μόνο TLS 1.2, τότε υπάρχει η επικοινωνία μεταξύ των δύο θα στερείται ένα αμοιβαία υποστηριζόμενο πρωτόκολλο. Αυτό αναπόφευκτα οδηγεί σε αποτυχία χειραψίας TLS.

 

Για να ελέγξετε αυτό το ζήτημα στο πρόγραμμα περιήγησής σας (Google Chrome):

  1. Ανοίξτε το πρόγραμμα περιήγησης Chrome
  2. Μεταβείτε στις Ρυθμίσεις > Σύνθετες
  3. Κύλιση προς τα κάτω ανοιχτά Συστήματα > Ανοίξτε τις ρυθμίσεις διακομιστή μεσολάβησης του υπολογιστή σας
    Fix TLS issues
  4. Στο νέο αναδυόμενο παράθυρο επιλέξτε την καρτέλα Για προχωρημένους.
  5. Στην καρτέλα για προχωρημένους, στην ενότητα Ασφάλεια, δείτε εάν το πλαίσιο δίπλα στην επιλογή Χρήση TLS 1.Επιλέγεται 2 > ελέγξτε το εάν δεν είναι επιλεγμένο.
    Fix TLS issues in chrome
  6. Δείτε αν υπάρχουν τα πλαίσια για το SSL 2.0 και SSL 3.0 είναι τσεκαρισμένα > μετά αποεπιλέξτε τα αν ναι. Κάντε το ίδιο για το TLS 1.0 και TLS 1.1
  7. Κάντε κλικ στο OK και, στη συνέχεια, ελέγξτε εάν αυτή η διαδικασία έχει επιλύσει το σφάλμα χειραψίας.

 

Σημείωση: εάν χρησιμοποιείτε Mac Os ή Apple Safari, δεν παρέχουν επιλογή απενεργοποίησης ή ενεργοποίησης πρωτοκόλλων TLS/SSL επειδή το TLS 1.Το 2 είναι, από προεπιλογή, αυτόματα ενεργοποιημένο.

Μέθοδος #4: Επαληθεύστε τη διαμόρφωση του διακομιστή σας [για υποστήριξη SNI]

 

Η διαμόρφωση ένδειξης ονόματος διακομιστή (SNI) είναι μία από τις βασικές αιτίες προβλημάτων TLS. Για να λειτουργεί σωστά ο διακομιστής, το SNI του επιτρέπει να φιλοξενεί με ασφάλεια πολλά πιστοποιητικά/πρωτόκολλα TLS για μία διεύθυνση IP.

 

Σε έναν διακομιστή, κάθε ιστότοπος έχει το δικό του πιστοποιητικό. Έτσι, εάν ο διακομιστής δεν είναι ενεργοποιημένος με SNI, υπάρχει μεγάλη πιθανότητα αποτυχίας χειραψίας TLS, επειδή ο διακομιστής μπορεί να μην αναγνωρίσει το παρόν πιστοποιητικό.

 

Για να ελέγξετε και να δείτε εάν ο ιστότοπος απαιτεί SNI, μπορείτε να χρησιμοποιήσετε τη δοκιμή διακομιστή SSL της Qualys. θα χρειαστεί μόνο να εισαγάγετε το όνομα τομέα του ιστότοπού σας και, στη συνέχεια, κάντε κλικ στην επιλογή Υποβολή και περιμένετε να δημιουργηθούν αποτελέσματα από τη δοκιμή.

 

Στη σελίδα αποτελεσμάτων, εντοπίστε το μήνυμα που λέει "Αυτός ο ιστότοπος λειτουργεί μόνο σε προγράμματα περιήγησης με υποστήριξη SNI":

 

verify SNI


Μέθοδος #5: Ελέγξτε και βεβαιωθείτε ότι τα Cipher Suites ταιριάζουν

 

Η αναντιστοιχία του Cipher Suites είναι επίσης μια βασική αιτία προβλημάτων χειραψίας TLS, ιδιαίτερα αποτυχίας χειραψίας TLS. Οι σουίτες κρυπτογράφησης είναι απλώς ένα σύνολο αλγορίθμων, συμπεριλαμβανομένων αυτών για μαζική κρυπτογράφηση, ανταλλαγή κλειδιών και κώδικα ελέγχου ταυτότητας μηνυμάτων, που χρησιμοποιούνται για την ασφάλεια των συνδέσεων δικτύου TLS/SSL.

 

Εάν οι σουίτες κρυπτογράφησης του διακομιστή δεν ταιριάζουν ή δεν υποστηρίζουν αυτές του Cloudflare, υπάρχει μεγαλύτερη πιθανότητα σφάλματος "Αποτυχία χειραψίας TLD".

 

Για να ελέγξετε τη διαμόρφωση του Cipher Suites, θα χρησιμοποιήσετε ξανά τη δοκιμή διακομιστή TLS της Qualys. Και πάλι, απλώς εισαγάγετε τον τομέα σας και, στη συνέχεια, κάντε κλικ στην επιλογή Υποβολή και περιμένετε για την αναφορά.

 

Στη σελίδα αποτελεσμάτων, ελέγξτε την ενότητα "Σουίτες κρυπτογράφησης" για να εντοπίσετε τις πληροφορίες της κρυπτογράφησης.

 

Να είστε πρόθυμοι για την κατάσταση, όπως αυτές που γράφονται «Αδύναμος.Στη συνέχεια, μπορείτε να τα διορθώσετε συγκρίνοντάς τα με την υποστήριξη του προγράμματος περιήγησής σας.

 

check and ensure that cipher suites match

 

 

Τέλος

 

Πιστεύουμε ότι αυτές οι συμβουλές ήταν εύκολο να ακολουθηθούν και ότι μπορέσατε να επιλύσετε το πρόβλημα της χειραψίας TLS που αντιμετωπίσατε. Το TLS είναι ένα εξαιρετικά τεράστιο θέμα και μπορεί να υπάρχουν και άλλες διαθέσιμες λύσεις.

 

Εάν το βρήκατε χρήσιμο, μπορεί να σας αρέσει η λίστα email μας. Μοιραζόμαστε καθημερινά πολλές νέες συμβουλές, κόλπα, αντιμετώπιση προβλημάτων, οδηγούς τρόπους χρήσης, συγκρίσεις προϊόντων και πολλά άλλα άρθρα με επίκεντρο τη βοήθεια. Σύντομο, περίτεχνο, γλυκό και πρακτικό!

 

Επίσης, Διαβάστε

 

> Διορθώθηκε: εντοπίστηκε πιθανό σφάλμα βάσης δεδομένων ενημέρωσης των Windows
> Τι είναι το Windows Service Host SuperFetch και πώς μπορείτε να το διορθώσετε
> Διορθώθηκε: Το Google Chrome περιμένει πρόβλημα προσωρινής μνήμης στα Windows 10
> Επιλύθηκε: Το Ethernet δεν έχει έγκυρη διαμόρφωση IP στα Windows 10