Помилка ERR_SSL_PROTOCOL_ERROR у браузері – як виправити?

При відкритті окремих сайтів у Google Chrome, Microsoft Edge або Яндекс Браузері деякі користувачі стикаються з помилкою ERR_SSL_PROTOCOL_ERROR з поясненням "Цей сайт не може забезпечити безпечне з'єднання" або аналогічним. Суть – помилка протоколу SSL, а ось чим вона може бути викликана не завжди зрозуміло.

У цій інструкції детально про способи виправити помилку ERR_SSL_PROTOCOL_ERROR при відкритті сайтів у різних браузерах Windows.

Помилка SSL на стороні сайту

Найчастіше причина помилки ERR_SSL_PROTOCOL_ERROR криється не у вашому браузері або операційній системі, а виникає на стороні сайту, який ви намагаєтеся відкрити. Тому для початку рекомендую спробувати:

  1. Перевірити відкриття цього сайту з іншого пристрою, наприклад, з телефону, можна — використовуючи інший тип з'єднання (наприклад, мобільна мережа замість Wi-Fi). Якщо з іншого пристрою ви спостерігаєте ту ж помилку, найчастіше це повідомляє про те, що проблема саме з сайтом і нею має зайнятися його власник.
  2. Якщо можливості відкрити сайт з іншого пристрою немає, можна спробувати використовувати сторонні сервіси для перевірки SSL сертифікатів сайту, наприклад https://www.sslchecker.com/sslchecker просто введіть адресу сайту і натисніть кнопку Check. Якщо ви побачите будь-які рядки, виділені червоним, є ймовірність, що помилка SSL виникає саме на сайті, до якого ви хочете підключитися.

І ще два важливі моменти:

У випадку, якщо ви дійшли висновку, що причина в самому сайті, який ви намагаєтеся відкрити, є можливими варіантами рішення:

  • Дочекатися, коли проблему буде вирішено власником сайту.
  • Перевірити, чи відкривається сайт за незахищеним протоколом http (замінивши в адресному рядку https на http).

Очищення SSL

Якщо ви дійшли висновку, що проблема не у сайті, а у вашій системі або браузері, спробуйте почати з очищення кеша SSL у властивостях Інтернету Windows, для цього:

  1. Натисніть клавіші Win+R на клавіатурі (Win – клавіша з емблемою Windows), введіть inetcpl.cpl та натисніть Enter.
  2. Перейдіть на вкладку "Вміст", натисніть кнопку "Очистити SSL".
  3. Після успішного очищення кеша SSL закрийте вікно, перезапустіть браузер і перевірте, чи збереглася помилка ERR_SSL_PROTOCOL_ERROR

Вимкнення протоколу QUIC

Перевірте, чи вирішить проблему відключення експериментального протоколу QUIC (Quick UDP Internet Connections) у браузері:

  1. Введіть в адресний рядок браузера chrome://flags (для Google Chrome), edge://flags (для Microsoft Edge) або browser://flags (для Яндекс Браузера) та натисніть Enter.
  2. У пошуку експериментальних функцій введіть «quic»
  3. Вимкніть опцію «Experimental QUIC protocol» (встановіть у Disabled) і перезапустіть браузер за допомогою кнопки перезапуску, яка з'явиться.

Увімкнення всіх версій SSL та TLS

Наступний крок, якщо попередній не приніс результату – включення всіх версій SSL та TLS для цього:

  1. Натисніть клавіші Win+R, введіть inetcpl.cpl та натисніть Enter.
  2. Перейдіть на вкладку "Додатково".
  3. Увімкніть усі пункти, що стосуються SSL та TLS, застосуйте налаштування.
  4. Перезапустіть браузер.

Додаткові способи вирішення проблеми

Якщо описані вище методи не виправили помилку ERR_SSL_PROTOCOL_ERROR, при цьому ви впевнені, що справа не у сайті, можна спробувати кілька додаткових варіантів:

  • Перевірте, чи зберігається помилка при відключеному VPN (якщо увімкнено), а також якщо відключити всі розширення в браузері (навіть потрібні та корисні), вимкніть проксі.
  • Спробуйте виконати скидання мережі. Як скинути налаштування мережі Windows 11, Скинути установки мережі Windows 10.
  • Якщо на вашому комп'ютері встановлено антивірус із функціями захисту в Інтернеті, перевірте, чи зберігається помилка, якщо тимчасово зупинити захист.
  • Перевірте, чи правильна дата, час і часовий пояс встановлені у параметрах Windows.
  • Якщо проблема спостерігається лише в одній мережі (при підключенні до одного роутера), спробуйте перезавантажити його.
  • Спробуйте очистити дані браузера, це можна зробити в його налаштуваннях або, наприклад, у Google Chrome, натиснувши клавіші Ctrl+Shift+Delete.
  • Очистіть вміст файлу hosts (як змінити hosts у Windows) або просто видаліть файл.
  • Виконайте перевірку комп'ютера на віруси та наявність шкідливих програм. Якщо ваш антивірус нічого не знаходить, можна використати сукупність утиліт Dr.Web CureIt! та AdwCleaner.

Якщо один із способів спрацював, поділіться в коментарях, що саме допомогло у вашому випадку — це може бути корисним для інших читачів.

А раптом і це буде цікаво:

  • Найкращі безкоштовні програми для Windows
  • Resilio Sync — синхронізація папок між пристроями та інші можливості
  • Файл недоступний на сайті або потрібна авторизація при завантаженні файлів – причини та рішення
  • Як заблокувати інсталяцію та видалити Outlook New у Windows 11 та 10
  • Брандмауер захисника Windows заблокував деякі функції цієї програми – що робити?
  • На вибраному диску знаходиться таблиця MBR-розділів при встановленні Windows 11 і 10 – рішення
  • Windows 11
  • Windows 10
  • Android
  • Завантажувальна флешка
  • Лікування вірусів
  • Відновлення даних
  • Установка з флешки
  • Налаштування роутера
  • Все про Windows
  • У контакті
  • Однокласники

    torsumy 28.12.2022 о 21:31

Здрастуйте.
А з датою та часом порядок на комп'ютері? Та й на роутері теж краще правильні поставити (там теж це налаштування є).
Просто при захищеному поєднанні цей фактор є важливим.
Думаю, що, наприклад, сайти без https у вас повинні відкриватися, як приклад для перевірки

Помилка ERR_SSL_PROTOCOL_ERROR у браузері – як виправити? - Mriya.v.ua

Технічна оптимізація – основа основ у просуванні сайту. Якщо ваш ресурс має проблеми з безпекою та захистом даних, вам буде дуже складно рухатися в ТОП видачі.

Раніше ми писали про базові правила безпеки сайту та важливість переходу на HTTPS. У цій статті ми розповімо про налаштування SSL-/TLS-сертифіката та типові помилки, які можуть зашкодити сайту.

Технологія SSL/TLS та її роль у безпеці сайту

SSL (Secure Sockets Layer) і TLS (Transport Layer Security) — стандартизована технологія шифрування, яка захищає дані, що передаються сайтом і сайту. Вона безпосередньо пов'язана з HTTPS (Hypertext Transfer Protocol Secure): якщо сайт використовує підключення HTTPS, це означає, що дані передаються за протоколом SSL або TLS.

SSL була представлена ​​в 1995 році і оновлена ​​до TLS у 1999-му – технологія видозмінювалася, реагуючи на нові вразливості. Протоколи постійно оновлюються і більшість попередніх версій вважаються застарілими. Важливо стежити за оновленнями та використовувати найновішу версію SSL/TLS.

Як SSL/TLS впливає на просування

Для Google безпека завжди серед головних пріоритетів: пошуковик враховує наявність HTTPS при ранжируванні з 2014 року та постійно оновлює вимоги до SSL-/TLS-сертифікатів.

Більшість браузерів маркують незахищені сторінки – перевірити безпеку з'єднання можна за значком замка в адресному рядку. Safari показує цей значок тільки якщо сайт використовує адекватне шифрування; Firefox показує перекреслений замок при недостатньому рівні захисту на сайтах, які використовують дані користувача; Chrome показує червоний трикутник із проблемами безпеки та піктограму замка при безпечному з'єднанні.

Інформація про безпеку підключення у Chrome

Хоча переваги технології SSL/TLS досить очевидні, багато сайтів досі не перейшли на HTTPS або використовують недостатньо надійні версії протоколів. Статистика 2019 говорить про те, що 20% найбільших сайтів у світі не використовують безпечний протокол, а за даними на початок 2020 року, тільки 18% доменних імен в зоні .ru використовують вузли HTTPS.

Багато власників сайтів не хочуть морочитися з покупкою та оновленням SSL-/TLS-сертифіката або вважають, що він їм не потрібен, якщо ресурс не збирає дані користувача. Але в сучасних реаліях ваш сайт просто втрачатиме клієнтів і позиції в пошуку, якщо ви не перейдете на HTTPS і не стежитимете за актуальністю шифрування. Для вашої зручності існує безліч інструментів для налаштування та моніторингу SSL-/TLS-сертифікатів, у тому числі безкоштовні, як Let's Encrypt.

Як виправляти типові помилки SSL/TLS

Якщо у вас вже є SSL-/TLS-сертифікат, він потребує регулярного оновлення та моніторингу.Щоб уникнути помилок, перевіряйте свій сайт на наявність проблем із SSL/TLS. Ви можете швидко виявити можливі помилки за допомогою «Аудиту сайту» SE Ranking — для цього перейдіть в розділ «Звіт про помилки» та секцію «Безпека сайту»:

Давайте розглянемо 4 часті помилки SSL/TLS-сертифікатів і пояснимо, як їх виправити.

1. Недійсний сертифікат

Сертифікат безпеки має певний термін дії. Він постійно зменшувався: до 5 років 2011-го, до 3 років 2015-го, до 2 років 2018-го. Зараз сертифікати дійсні лише 398 днів (13 місяців) — з 2020 року Safari, Chrome та Mozilla припинили підтримку сертифікатів із великим терміном дії.

Інформація про дату закінчення дії сертифіката доступна у браузері:

Що ж відбувається, якщо сертифікат SSL-/TLS застаріває? Сайт стає недоступним – користувачі побачать повідомлення про небезпеку в браузері. Результат – суттєві втрати трафіку та, відповідно, прибутку.

Тому варто знати дату закінчення дії сертифіката та вчасно його оновлювати. Допоможуть вам у цьому автоматизовані рішення типу Let's Encrypt, AWS Certificate Manager. Також є інструменти, які кілька разів сповіщають вас перед закінченням терміну дії сертифіката. Іноді взагалі нічого робити не потрібно, адже багато центрів сертифікації пропонують автоматичне оновлення.

Якщо ви все ж таки опинилися в ситуації недійсного сертифіката, потрібно вручну його оновити або придбати новий. Що саме потрібно зробити:

  • Вибрати тип сертифіката. Більшість центрів сертифікації пропонують кілька варіантів, що покривають потреби сайтів різного масштабу.Якщо ви тільки оновлюєте існуючий сертифікат і не хочете змінити його тип, цей крок у вас вже виконано (іноді логічно переключитися на більш потужний тип сертифіката — наприклад, придбати Wildcard-сертифікат, якщо у вашого сайту з'явилися піддомени). Купуючи новий сертифікат, уважно перевіряйте авторитетність виробника. Ви можете налаштувати CAA-запис, щоб обмежити коло центрів, що засвідчують, які мають право випускати сертифікати для вашого домену. Серед найпопулярніших центрів сертифікації – GlobalSign, Digicert, Sectigo, Thawte.
  • Згенерувати запит на отримання сертифіката. Після покупки потрібно згенерувати CSR (certificate signing request) у хостинг-провайдера. В результаті ви отримаєте файл ключа та сам запит для завантаження в налаштуваннях сертифіката.
  • Активувати та валідувати сертифікат. Далі потрібно підтвердити свої права на домен через email, запис CNAME або підтверджуючий файл. Як і в попередньому процесі особливості налаштування залежать від обраного провайдера.
  • Перевірити коректність роботи сертифіката. Після встановлення сертифіката перевірте його за допомогою онлайн-інструменту. Наприклад:

Якщо це ваша перша покупка SSL-/TLS-сертифіката, вам також слід додати HTTPS-версію сайту до сервісів для вебмайстрів та перенаправити на неї HTTP-трафік. Дізнайтесь більше про правильний переїзд на HTTPS з нашої статті.

Рекомендуємо використовувати інструменти моніторингу та налаштовувати нагадування про закінчення терміну дії – так вам не доведеться розбиратися з наслідками, якщо термін дії сертифіката закінчиться.

2. Застаріла версія протоколу безпеки

Технології шифрування вдосконалюються, але й атаки хакерів стають все витонченішими.Ризики, що постійно зростають, — одна з причин скорочення терміну дії SSL-/TLS-сертифікатів та оновлення протоколу.

Протокол TLS був представлений як апгрейд SSL (версії 3.0 на той момент), тому будь-яка версія TLS безпечніша за SSL. Найактуальніший протокол – TLS 1.3, випущений у 2018 році, – має вдосконалений криптографічний алгоритм і дозволяє браузеру швидше приєднатися до сервера сайту. З 2020 року всі основні браузери не підтримують застарілі версії TLS (1.0 та 1.1), а отже, не пускають користувачів на сайти, які використовують ці версії.

Важливо використовувати актуальну версію протоколу безпеки та відключати усі попередні версії. Існує кілька способів перевірити, який протокол у сайту:

  • У вкладці Security у Chrome DevTools:
  • В онлайн-інструментах, які перевіряють, які версії TLS та SSL включені на сайті. Наприклад:

Щоб увімкнути останню версію TLS, переконайтеся, що ваш сайт підтримує її. Запустіть серверну перевірку — наприклад, у SSL Labs — та перегляньте результати конфігурації:

Після цього зв'яжіться зі своїм хостинг-провайдером, щоб дізнатися, як підключити актуальну версію протоколу. Вам потрібно буде вказати правильну версію у конфігураційному файлі сервера.

Скажімо, ваш сайт розміщено на сервері Nginx. Вам потрібно відредагувати файл nginx.conf, вказавши встановлену версію TLS. Також видаліть з файлу всі версії, що раніше використовувалися, які визнані застарілими. Рядок конфігурації виглядатиме так:

ssl_protocols TLSv1.2 TLSv1.3;

Якщо виявиться, що ваш сайт не підтримує TLS 1.2 або 1.3, варто звернутися до провайдера і по можливості змінити тариф (або провайдера).

3. Невідповідність імені сертифіката

Помилка неправильного імені сертифіката викликана тим, що доменне ім'я, вказане в SSL-/TLS-сертифікаті, не відповідає введеному адресному рядку. Користувачі не зможуть зайти на сайт.

Причини невідповідності імені SSL-/TLS-сертифіката:

  • На сайт заходять через внутрішнє доменне ім'я, не вказаний у сертифікаті. Наприклад, ви вводите в адресний рядок vashsajt.localhostтоді як ваш сертифікат містить тільки vashsajt.com. Ви можете вирішити цю проблему за допомогою сертифіката з альтернативним ім'ям суб'єкта SAN – такий тип дозволяє включати цілий ряд імен хостів. Перевіряйте наявність сертифікатів SAN у різних центрах, що засвідчують.
  • Сайт доступний і з префіксом www, і без, тоді як у сертифікаті вказано лише одну версію. Вам потрібно вирішити, чи ви хочете використовувати www в доменному імені, перенаправити весь трафік сайту на відповідну версію і вказати її в SSL-/TLS-сертифікаті. Ми детальніше розбираємо це питання у статті про префікс www та його вплив на SEO.
  • Сайт ділить IP-адресу з іншими та не має окремого протоколу. Для більшості сайтів необов'язкова окрема IP-адреса, а використання спільного економить бюджет. Якщо ваш сайт спільний IP, вкажіть доменне ім'я в розширенні протоколу SNI. За допомогою SNI сервер вибиратиме унікальний для вашого імені хоста TLS-сертифікат та відповідний ключ. Без такого розширення сервер буде використовувати шаблонний сертифікат, загальний для декількох сайтів, і він може бути слабшим за встановлений вами протокол.
  • Хостинг-провайдер сайту використовує шаблонні налаштування, які визначають SSL/TLS для доменного імені.Щоб вирішити цю проблему, потрібно зв'язатися з провайдером і дізнатися, як замінити їх сертифікат на ваш, або змінити провайдера.

В онлайн-інструментах можна перевірити, які доменні імена включені до вашого SSL-/TLS-сертифіката:

4. Застарілий алгоритм шифрування

Коли користувач заходить на сайт відбувається процес «рукостискання»: клієнт (браузер) і сервер ідентифікують один одного, браузер при цьому перевіряє справжність SSL-/TLS-сертифіката. Набір алгоритмів шифрування дуже важливий для цього процесу: браузер повідомляє, які комбінації шифрів він підтримує, і сервер вибирає найкращу. Якщо набір алгоритмів шифрування, який використовується у конкретному сертифікаті, недостатньо надійний, браузер видасть попередження про застарілу криптографію.

Набір алгоритмів шифрування складається з кількох шифрів, які відповідають різні функції. Перед розробкою TLS 1.3 найнадійнішою була така комбінація:

  • Алгоритм для обміну ключами між сервером та браузером (ECDHE)
  • Цифровий підпис, що засвідчує сертифікат (ECDSA)
  • Шифр для обміну даними (AES-256-GCM)
  • Алгоритм для автентифікації повідомлень (SHA384)

Комбінація в TLS 1.3 містить лише два останні шифри і за умовчанням не підтримує застарілі алгоритми для обміну ключами та автентифікації сертифіката.

Версія TLS 1.2 досі вважається досить надійною, але має вразливість через більшу варіативність алгоритмів шифрування та їх якості. З TLS 1.3 вибір шифрів обмежений найбезпечнішими і весь процес «рукостискання» відбувається простіше та швидше.

Якщо ви не знаєте, які шифри підтримуються сертифікатом, варто перевірити їх актуальність. Можна запустити онлайн-тест:

Якщо ви виявите застарілі алгоритми, потрібно вимкнути їх у налаштуваннях сервера. Крім того, можна проаналізувати рейтинг шифрів та вказати пріоритетний порядок, щоб браузери вибирали найнадійніший із підтримуваних у вашому сертифікаті.

Забезпечте сайту безкомпромісний захист

Просувати сайт без піклування про його безпеку не вдасться. Щоб захистити свій сайт від кібератак та вразливості даних, потрібен надійний SSL-/TLS-сертифікат із найактуальнішими налаштуваннями. Ми рекомендуємо використовувати останню версію TLS, поставити нагадування про дату закінчення терміну дії, підключити найнадійніші алгоритми шифрування та регулярно перевіряти стан протоколу.

Помилка ERR_SSL_PROTOCOL_ERROR у браузері – як виправити? - Mriya.v.ua

SSL — протокол захищеного з'єднання, являє собою шифрування інформації, що передається між веб-сайтом і браузером, який гарантує безпеку та конфіденційність особистих даних користувачів.

Наявність ssl сертифіката на сайті підвищує довіру потенційних клієнтів, особливо якщо на сайті використовуються платіжні шлюзи, форми авторизації з введенням особистих даних, облікові записи користувачів з особистими паролями.

Якщо ви ще не замовили і не встановили сертифікат ssl на свій сайт рекомендуємо це зробити прямо зараз.

Так що робити, якщо ви відкрили сторінку в браузері і з'явилася помилка підключення ssl?

Помилки SSL-з'єднання та їх усунення

Давайте розберемося чому виникає помилка SSL і як правильно здійснити налаштування браузера та системи, щоб уникнути цієї проблеми.

Збій актуальних дати та часу

Браузери звіряють дату та час на вашому комп'ютері, щоб переконатися, що термін дії сертифіката не минув.Тому, якщо дата та час не відповідають поточному, ви отримаєте помилку SSL-з'єднання. В даному випадку браузер сам вказує можливий код помилки та повідомляє, що необхідно встановити коректну дату та час.

Щоб усунути помилку, потрібно встановити актуальну дату та час на своєму пристрої та перезавантажити браузер або запитувану веб-сторінку.

SSL-сертифікат не викликає довіри

Якщо ви відкрили сайт і отримали повідомлення про те, що «SSL-сертифікат сайту не заслуговує на довіру». З'явиться вона може через неправильно встановлені дати і час, а також якщо браузер не має можливості перевірити ланцюжок сертифіката, оскільки немає кореневого сертифіката.

Щоб позбавитися від помилки в даному випадку необхідно завантажити та встановити GeoTrust Primary Certification Authority, у якому містяться кореневі сертифікати.

Щоб відкрити центр сертифікатів, натисніть клавіші Win+R викликаємо термінал та вводимо команду certmgr.msc і клацаємо Ok.

Знаходимо розділ «Довірені кореневі центри сертифікації», переходимо в «Сертифікати», натискаємо правою кнопкою мишки, щоб відкрити список опцій, що випливає, і вибираємо «Усі завдання – імпорт».

Після запуску імпорту клацаємо Далі.

Після чого клацаємо Огляд та вибираємо завантажений сертифікат.

У діалоговому вікні вказуємо розміщення Довірені кореневі центри сертифікації.

Перевіряємо відображення сайту після перезавантаження комп'ютера. Цей метод рекомендується використовувати лише за крайньої необхідності, оскільки налаштування може сильно вплинути на безпеку системи. Робити радимо лише для довірених надійних сайтів.

Брандмауер або антивірус, що блокують сайт

Брандмауер може блокувати деякі веб-сайти.Щоб переконатись, що справа саме в ньому, потрібно тимчасово відключити брандмауер та перевірити роботу сайту. В Internet Explorer є можливість додати сайт до списку надійних, виключивши його перевірку. Ці дії не рекомендовані, оскільки знижують безпеку пристрою.

Також варто перевірити, чи не відбувається блокування з боку антивірусу. Перевіряємо тимчасово відключивши антивірус (або відключивши перевірку протоколів SSL та HTTPS — зараз особливо стосується встановлених самопідписаних сертифікатів та Let's Encrypt), після чого зайти на сайт. У цьому випадку можна виключити сканування антивірусної програми сайту.

Включений експериментальний протокол QUIC

QUIC — це новий протокол, який використовується для швидкого підключення до Інтернету. Основою QUIC є підтримка кількох з'єднань. Ви можете вимкнути цей протокол у конфігурації вашого браузера.

Наприклад, як відключити QUIC, скористаємося найпопулярнішим браузером Google Chrome: відкриваємо браузер і вводимо команду chrome://flags/#enable-quic; у вікні знаходимо параметр: Experimental QUIC protocol. У меню вибираємо опцію Disable. Перезавантажуємо браузер. Перевіряємо роботу сайтів. Це універсальний спосіб для Windows та MacOS.

Відсутність оновлень операційної системи

Якщо системні оновлення давно не проводилися, це може призвести до помилки SSL-з'єднання. Ця проблема особливо стосується старих версій ПЗ Windows (7, Vista, XP і т.п.). Оновіть систему та перевірте роботу захищеного з'єднання.

Помилки Invalid CSR при генерації сертифіката

Якщо в процесі генерації сертифіката у вас виникла помилка Invalid CSR, то, найімовірніше, це наслідок однієї з цих проблем:

  • невірно вказаний домен (доменне ім'я вказуємо види domain.com та subdomain.domain.com (у разі наявності субдоменів). Без уточнення www. або http://;
  • для wildcard-сертифікатів доменне ім'я має бути виду *.domain.com;
  • CSR та пароль повинні складатися виключно з латинських букв та цифр. Якщо присутні спецсимволи або латинські літери, виникатиме помилка;
  • неправильно вказано код країни. Код країни складається з дволітерного ISO 3166-1 коду (наприклад, UA, US тощо);
  • CSR-запит починається і закінчується керуючим рядком (–BEGIN CERTIFICATE REQUEST–) (–END CERTIFICATE REQUEST–);
  • прописується рядок без прогалин спочатку та наприкінці;
  • довжина ключа не менше 2048 біт;
  • у CSR-коді для сертифіката, за допомогою захисту одного домену, не можна вказувати Subject Alternative Names. SAN-імена присутні лише для мультидоменних (UCC) сертифікатів;
  • Під час перевипуску або продовження сертифіката змінилося поле Common Name. Це поле не повинно змінюватись.

Висновок

Ми розглянули найпоширеніші причини помилок підключення SSL (Secure Socket Layer) протоколу та варіанти їх вирішення. Сподіваємося, що дотримуючись наших інструкцій, вам вдалося знайти вирішення проблеми і продовжити безпечно користуватися мережею Інтернет.
Пам'ятайте, що переходити на сайти без захищеного з'єднання може бути небезпечно.

з важливими анонсами, розіграшами та мемами