9月28日,Chromium提交了一个标题为Disable SHA1 in TLS server handshakes by default的部署,默认禁用了TLS握手时的SHA1加密方法,这本是一次正常且正确的发布,因为SHA1已经被公认为不安全的。但是却没想到有一些老旧的系统依然使用了较低版本的OpenSSL,而低版本的OpenSSL存在bug,会强制使用SHA1!真是无巧不成书,问题就这样合理又悄无声息地发生了。
解决办法
了解了问题发生的原因,解决办法也就呼之欲出了。
首先,可以通过 chrome://flags/#use-sha1-server-handshakes 修改Chrome的默认选项为Enabled
这样就可以正常访问了,但是修改Chrome选项对客户来说有些复杂了,而且使用SHA1也不安全。所以最好的办法是更新服务端的OpenSSL版本,以我们的服务器为例,把版本从1.0.1升级到1.1.1后,问题就解决了。
- ERR_SSL_PROTOCOL_ERROR PROTOCOL 浏览器 ERROR ERRerr_ssl_protocol_error protocol浏览器error err_ssl_protocol_error err_system_error node err_system_error system error err_ossl_evp_unsupported unsupported error ossl version err_ssl_version_or_cipher_mismatc ssl_error_unsupported_version err_system_error错误version system err_proxy_connection_failed connection浏览器 err_connection_timed_out connection浏览器 supported requests protocol浏览器