大家好,今天来为大家分享服务器不支持ssl的一些知识点,和服务器不支持ssl怎么办的问题解析,大家要是都明白,那么可以忽略,如果不太清楚的话可以看看本篇文章,相信很大概率可以解决您的问题,接下来我们就一起来看看吧!
一、客户端和服务器不支持一般ssl协议或加密套件
当客户端与服务器之间出现“客户端和服务器不支持一般ssl协议或加密套件”的问题时,这意味着双方在建立安全连接的过程中无法就共同支持的ssl或其后继协议TLS本以及加密算法达成一致。
1、协议版本不匹配:客户端或服务器可能仅支持过时的ssl版本,而对方不支持这些旧版本。或者,服务器可能已经升级到较新的TLS版本,而客户端尚未更新以支持这些版本。
2、加密套件不兼容:客户端和服务器各自支持的加密套件列表可能没有交集,导致无法找到一种双方都接受的加密方式。有些加密套件可能因安全*原因已被弃用,客户端或服务器可能已经移除了对这些套件的支持。
3、证书问题:服务器提供的ssl、TLS证书可能使用了客户端不信任的CA(CertificateAuthority)颁发,或者CA根证书未被客户端设备预装信任。中间证书缺失或无效也可能导致连接失败。
4、第三方组件限制:使用CDN(Content Delivery Network)或其他代理服务时,这些服务可能对ssl、TLS协议版本或加密套件有特定限制。
二、发生ssl错误 无法建立到该服务器的安全连接
原因一:这是因为证书不在浏览器厂商的受信任的列表中。可通过手动添加证书安装到浏览器的“信任列表”就可以了。
方法:浏览器中选项→内容选项卡→证书-→导入即可。
但是上述的方法只适用于自签证书,而且浏览站点的每一台设备都需要这种操作,并且自签证书存在较大的安全风险,因此还是建议使用权威CA机构颁发的ssl证书,如GeoTrust,Symante、Comodo等。
原因二,网站服务器所使用的ssl证书不是由全球信任的CA机构颁发。
方法:因此推荐选择国际认证的证书,如Symantec、Geotrust、Comodo以及RapidSSL等
原因三,ssl证书没有得到正确安装,需要检查一下是否已经删除了以前存在或者测试的证书,若确认网站的证书是正确无误的话,请重启webserver。
原因四:网站证书已过期或还未生效。
分析:出现这种情况一般是电脑系统日期错误,另一种就是证书以及过了有效期,则需要续费。
方法:可查看该证书信息的有效起止日期,确定证书是否在有效期内,如在的话需查看电脑日期是否正确。否则就是第二种原因,ssl证书不在有效期内,需尽快联系证书颁发厂商,进行续费。
三、为什么我的服务器不支持SSL
客户端和服务器确实不支持一般ssl协议或加密套件。
HTTPS作为站点安全的最佳实践之一,已经得到了最广泛的支持。然而在实际生产过程中,由TLS/SSL握手失败引起的连接异常问题依然十分常见。
HTTPS的主要作用是在不安全的网络上创建一个基于TLS/SSL协议安全信道,对窃听和中间人攻击提供一定程度的合理防护。解决方案:
1、更换其他CA机构签发的证书,保证其CA根证书的在特定设备上已默认信任。
2、手动在受影响的设备上安装该CA根证书及中间证书,并配置为信任状态。
3、客户端App预置该CA根证书,并通过客户端代码配置信任该证书。
ssl协议支持哪几个加密算法:
1、RSA
RSA作为一种国际通用算法,是建立在大整数因子分解的假设基础上的。假定没有整数分解的有效算法,则认为RSA密文的完全解密是不可行的。用户创建并发布RSA的两个大质数的乘积和作为其公钥的次要值。关键要素必须保密。每个人都可以使用公钥加密信息,但是只有理解关键要素的人才能对信息进行解码。现在基本每款SSL证书都支持RSA算法。
2、ECC
ECC算法于2004年投入使用,ECC算法是在有限域上,椭圆曲线密码学依赖于椭圆曲线的代数结构。假定发现随机椭圆曲线元素与公知基点有关的离散对数是不现实的。与RSA算法相比,ECC算法的优势在于密钥较小,提高了速度和安全*。不利之处是,并非所有服务和应用程序都能与基于ECC的SSL证书进行互操作。
ECC算法成为了新一代算法趋势主流,加密速度更快,效率更高,更安全,抗攻击*更强,但在兼容*上不及RSA广泛。
四、服务器不支持ssl怎么办
客户端和服务器确实不支持一般ssl协议或加密套件。
HTTPS作为站点安全的最佳实践之一,已经得到了最广泛的支持。然而在实际生产过程中,由TLS/SSL握手失败引起的连接异常问题依然十分常见。
HTTPS的主要作用是在不安全的网络上创建一个基于TLS/SSL协议安全信道,对窃听和中间人攻击提供一定程度的合理防护。解决方案:
1、更换其他CA机构签发的证书,保证其CA根证书的在特定设备上已默认信任。
2、手动在受影响的设备上安装该CA根证书及中间证书,并配置为信任状态。
3、客户端App预置该CA根证书,并通过客户端代码配置信任该证书。
ssl协议支持哪几个加密算法:
1、RSA
RSA作为一种国际通用算法,是建立在大整数因子分解的假设基础上的。假定没有整数分解的有效算法,则认为RSA密文的完全解密是不可行的。用户创建并发布RSA的两个大质数的乘积和作为其公钥的次要值。关键要素必须保密。每个人都可以使用公钥加密信息,但是只有理解关键要素的人才能对信息进行解码。现在基本每款SSL证书都支持RSA算法。
2、ECC
ECC算法于2004年投入使用,ECC算法是在有限域上,椭圆曲线密码学依赖于椭圆曲线的代数结构。假定发现随机椭圆曲线元素与公知基点有关的离散对数是不现实的。与RSA算法相比,ECC算法的优势在于密钥较小,提高了速度和安全*。不利之处是,并非所有服务和应用程序都能与基于ECC的SSL证书进行互操作。
ECC算法成为了新一代算法趋势主流,加密速度更快,效率更高,更安全,抗攻击*更强,但在兼容*上不及RSA广泛。
五、怎么给公网ip上的服务器部署ssl证书
SSL证书通常是颁发给域名的,但是有些企业需要IP实现s加密,这时可申请IPSSL证书。IPSSL证书可以解决企业只有IP或者只方便使用IP来处理业务时的加密需求,一张证书可以支持同时绑定多个IP。
只是IP申请SSL证书需满足以下条件:
1、必须是公网IP,且申请者对该IP具有管理权限;
2、使用IP申请证书,只能申请单个IP或多个IP绑在一起的SSL证书,不支持IP段的通配符;
3、申请者可以是机构或者企业,也可以是个人用户。
IPSSL证书分为基础型IPSSL证书和企业型IPSSL证书。
ssl证书申请的3个主要步骤
1、制作CSR文件
所谓CSR就是由申请人制作的Certificate Secure Request证书请求文件。制作过程中,系统会产生2个密钥,一个是公钥就是这个CSR文件,另外一个是私钥,存放在服务器上。要制作CSR文件,申请人可以参考WEB SERVER的文档,一般APACHE等,使用OPENssl命令行来生成KEY+CSR2个文件,Tomcat,JBoss,Resin等使用KEYTOOL来生成JKS和CSR文件,IIS通过向导建立一个挂起的请求和一个CSR文件。
2、CA认证
将CSR提交给CA,CA一般有2种认证方式:
1)域名认证:一般通过对管理员邮箱认证的方式,这种方式认证速度快,但是签发的证书中没有企业的名称;
2)企业文档认证:需要提供企业的营业执照。
也有需要同时认证以上2种方式的证书,叫EV ssl证书,这种证书可以使IE7以上的浏览器栏变成绿色,所以认证也最严格。
3、证书安装
在收到CA的证书后,可以将证书部署上服务器,一般APACHE文件将KEY+CER复制到文件上,然后修改D.CONF文件;TOMCAT等,需要将CA签发的证书CER文件导入JKS文件后,复制上服务器,然后修改SERVER.XML;IIS需要处理挂起的请求,将CER文件导入。
使用ssl证书不仅能让信息的安全*更有保障,还可以提高用户对于网站的信任度。
网站如何获得SSL证书请参考:网页(SSL证书申请,如何申请SSL证书)