Problemen met TLS-handshake oplossen [Bijgewerkt]

Rick Akura on
In dit bericht leert u wat de fout TLS Handshake Failed is en waarom deze optreedt. Vervolgens leert u hoe u problemen met TLS-handshakes kunt oplossen.
How to troubleshoot TLS handshake issues [Updated]

Als u de foutmelding 'TLS-handshake mislukt' tegenkomt en u niet weet wat u moet doen, bent u niet de enige. TLS-handshake mislukt is een veel voorkomende fout. Hoewel het een frustrerende ervaring kan zijn, zijn er manieren om TLS-handshake-problemen op te lossen en op te lossen.

 

TLS handshake issues

 

 

In dit bericht leert u wat de TLS Handshake Failed-fout is en waarom deze optreedt. Vervolgens leert u hoe u problemen met TLS-handshakes kunt oplossen.

 

Laten we aan de slag gaan!

 

TLS/SSL begrijpen

 

U moet uw website beveiligen om veilige verbindingen tussen twee servers tot stand te brengen. Om dit te doen, moet u een Secure Sockets Layer (SSL)-certificaat (SSL-codering en beveiligingsprotocol) op uw site installeren. Hierdoor kan uw site HTTPS gebruiken om veilige verbindingen te garanderen.

 

Helaas gaan dingen soms niet zoals gepland en kunt u een probleem tegenkomen bij het maken van een verbinding tussen de server van uw site en de browser van een bezoeker. Het probleem kan optreden als een ‘TLS Handshake Failed’-fout of een ander probleem.

 

Transport Layer Security (TLS) en Secure Sockets Layer (SSL) zijn beveiligingsprotocollen die website-encryptie en -identificatie bieden. Ze worden gebruikt om gegevensoverdrachten tussen servers, applicaties, systemen zoals browsers en gebruikers te authenticeren.

 

Simpel gezegd: u heeft TLS/SSL-certificaten nodig om uw website te beveiligen met HTTPS.

 

Inzicht in TLS/SSL-handshake

 

Een TLS-handshake is een vorm van communicatie en overeenkomst tussen twee servers: de host van uw site en de server van de client. Het is de eerste stap in het proces van het tot stand brengen van een duidelijke HTTPS-verbinding.

 

Om te authenticeren en een verbinding tot stand te brengen, moeten de server van uw site en de browser van de klant elkaar de hand schudden, d.w.z.e, doorloop een reeks controles (de handdruk). Hiermee worden de HTTPS-verbindingsparameters vastgelegd.

 

Wat betekent dit?

 

De client (meestal een browser) verzendt doorgaans een verzoek om een ​​veilige verbinding met de server van de site tot stand te brengen. De server stuurt vervolgens een openbare sleutel (protocol) naar uw apparaat en zorgt ervoor dat die sleutel wordt gecontroleerd aan de hand van een vooraf opgestelde lijst met protocollen/certificaten. Het apparaat genereert vervolgens een sleutel en gebruikt de sleutel van de server om deze te coderen.

 

Als deze heen en weer communicatie geen positief resultaat oplevert, i.eAls de SSL-handshake tussen de server en de client mislukt, genereert HTTPS geen veilige verbinding, wat zal resulteren in een mislukte TLS/SSL-handshake. Deze fout kan zich in twee vormen voordoen;

 

  • HTTP/1.1 503 Dienst niet beschikbaar
  • Fatale waarschuwing ontvangen: handshake_failure (fout 525)
TLS error 525

 

Opmerking: u ziet deze foutmeldingen na een API-aanroep waarbij een TLS-handshakefout optreedt.

 

Wat veroorzaakt TLS-handshake-problemen

 

Over het algemeen betekent Fout 525 of Fout 503 meestal dat er een mislukte TLS-handshake heeft plaatsgevonden. Enkele oorzaken van de storing kunnen zijn:

 

Aan de serverzijde zijn de foutoorzaken onder meer;

  • Protocol komt niet overeen: de server ondersteunt het protocol dat de client heeft gebruikt niet.
  • Onjuist certificaat: de hostnaam van de URL van de client komt niet overeen met de hostnaam in het certificaat dat is opgeslagen aan de serverkant, of het certificaat is onvolledig of ongeldig, of het certificaat is onjuist of verlopen
  • Cipher suite komt niet overeen: de server ondersteunt de cipher suite die de client gebruikte niet.
  • SNI-enabled server: wanneer de back-end SNI (Server Name Identification) is ingeschakeld, maar de client-server niet kan communiceren met de SNI-servers.

 

Aan de kant van de cliënt kunnen de oorzaken zijn:

 

  • Als de verbinding wordt onderschept door een derde partij.
  • Als het apparaat van de client een verkeerde datum of tijd heeft.
  • Als de client een fout ervaart met de browserconfiguratie.

Problemen met TLS-handshake oplossen

 

Er zijn verschillende mogelijke oorzaken van de “TLS Handshake-problemen”.” U kunt de volgende oplossingen gebruiken om deze problemen op te lossen;

 

Methode #1: Update de datum en tijd van uw systeem

 

Een verkeerde datum- of tijdinstelling is een van de belangrijkste oorzaken van TLS-handshake-problemen. Omdat de systeemtijd helpt om te testen of het certificaat geldig of verlopen is, kan een discrepantie tussen de tijd of datum van uw apparaat en die van de server ervoor zorgen dat de certificaten verlopen lijken.

 

Pas de tijd en datum aan door deze op automatisch in te stellen, bezoek de site vervolgens opnieuw en kijk of het probleem met de TLS-handshake is opgelost.

 

Methode #2: Pas de configuratie van uw browser aan zodat deze overeenkomt met de nieuwste TLS-protocolondersteuning

 

Uw browser is de ‘man in het midden’ en kan invloed hebben op de manier waarop uw apparaat met de server communiceert. Elke verkeerde configuratie van de browser kan TLS-problemen veroorzaken.

 

Om te controleren of uw browser het probleem veroorzaakt, probeert u een andere browser te gebruiken om toegang te krijgen tot de site en kijkt u of u hetzelfde probleem ondervindt. Als het probleem zich op alle locaties voordoet, is er sprake van een systeemprobleem.

 

Misschien is er een browserextensie of beveiligingssoftware op uw apparaat die de TLS-verbindingen onderschept en de problematische TLS-handshake veroorzaakt. In een aantal gevallen was er sprake van een virus of malware op het systeem.

 

Dit probleem oplossen:

 

  1. Mogelijk moet u de beveiligingssoftware of browserextensies op uw apparaat uitschakelen, of
  2. Reset uw browser.

Methode #3: TLS-protocollen controleren en wijzigen [in Windows]

 

Browsergerelateerde problemen kunnen ook worden veroorzaakt door niet-overeenkomende protocollen.

 

Als de browser bijvoorbeeld alleen is geconfigureerd voor een specifieke TLS-waarde, bijv.G, TLS1.0 of TLS 1.1, maar de server ondersteunt alleen TLS 1.2, dan zal de communicatie tussen de twee geen wederzijds ondersteund protocol hebben. Dit leidt onvermijdelijk tot een mislukte TLS-handshake.

 

Om dit probleem in uw browser (Google Chrome) te controleren:

  1. Open de Chrome-browser
  2. Ga naar Instellingen > Geavanceerd
  3. Scroll naar beneden, open Systemen > Open de proxy-instellingen van uw computer
    Fix TLS issues
  4. In de nieuwe pop-up Windows selecteert u het tabblad Geavanceerd.
  5. Op het tabblad Geavanceerd, onder de sectie Beveiliging, kijk of het vakje naast TLS 1 gebruiken is.2 is geselecteerd > vink dit aan als dit niet is aangevinkt.
    Fix TLS issues in chrome
  6. Kijk of de vakjes voor SSL 2.0 en SSL3.0 zijn aangevinkt > schakel ze vervolgens uit als dat zo is. Doe hetzelfde voor TLS 1.0 en TLS1.1
  7. Klik op OK en controleer vervolgens of dit proces de handshake-fout heeft opgelost.

 

Opmerking: als u Mac Os of Apple Safari gebruikt, bieden deze geen optie om TLS/SSL-protocollen in of uit te schakelen, omdat TLS 1.2 is standaard automatisch ingeschakeld.

Methode #4: Controleer uw serverconfiguratie [ter ondersteuning van SNI]

 

De configuratie van de servernaamindicatie (SNI) is een van de belangrijkste oorzaken van TLS-problemen. Om de server goed te laten functioneren, zorgt de SNI ervoor dat deze veilig meerdere TLS-certificaten/protocollen voor één IP-adres kan hosten.

 

Op een server heeft elke website zijn eigen certificaat. Als de server dus niet geschikt is voor SNI, is de kans groot dat een TLS-handshake mislukt, omdat de server het huidige certificaat mogelijk niet herkent.

 

Om te controleren of de site SNI vereist, kunt u de SSL Server Test van Qualys gebruiken. u hoeft alleen de domeinnaam van uw site in te voeren, vervolgens op Verzenden te klikken en te wachten tot de test resultaten genereert.

 

Zoek op de resultatenpagina het bericht met de tekst 'Deze site werkt alleen in browsers met SNI-ondersteuning':

 

verify SNI


Methode #5: Controleer en zorg ervoor dat Cipher Suites overeenkomen

 

Een niet-overeenkomende Cipher Suites is ook een belangrijke oorzaak van problemen met de TLS-handshake, met name het mislukken van de TLS-handshake. Cipher-suites zijn slechts een reeks algoritmen, waaronder die voor bulkversleuteling, sleuteluitwisseling en berichtauthenticatiecode, die worden gebruikt om TLS/SSL-netwerkverbindingen te beveiligen.

 

Als de coderingssuites van de server niet overeenkomen met of deze van Cloudflare ondersteunen, is de kans groter op de fout 'TLD Handshake Failed'.

 

Om de Cipher Suites-configuratie te controleren, gebruikt u opnieuw de TLS Server Test van Qualys. Nogmaals, voer gewoon uw domein in, klik vervolgens op Verzenden en wacht op het rapport.

 

Kijk op de resultatenpagina onder de sectie Cipher Suites om de Cipher-informatie te vinden.

 

Let op de status, zoals de status 'Zwak'.' U kunt ze vervolgens corrigeren door ze te vergelijken met uw browserondersteuning.

 

check and ensure that cipher suites match

 

 

Eindelijk

 

Wij zijn van mening dat deze tips eenvoudig te volgen zijn en dat u het probleem met de TLS-handshake hebt kunnen oplossen. TLS is een extreem uitgebreid onderwerp en er kunnen andere oplossingen beschikbaar zijn.

 

Als u dit nuttig vindt, vindt u onze e-maillijst wellicht interessant. We delen elke dag veel nieuwe tips, trucs, probleemoplossing, handleidingen, productvergelijkingen en nog veel meer op hulp gerichte artikelen. Kort, uitgebreid, lief en praktisch!

 

Lees ook

 

> Opgelost: mogelijke Windows-updatedatabasefout gedetecteerd
> Wat is Windows Service Host SuperFetch en hoe kunt u dit oplossen
> Opgelost: Google Chrome wacht op cacheprobleem op Windows 10
> Opgelost: Ethernet heeft geen geldige IP-configuratie in Windows 10