Firefox "ssl_error_no_cypher_overlap" Fehler

Question

Meine Kollegen und ich haben ein Problem mit Firefox 3.0.6, um auf eine Java 1.6.0 ___ 11 Webanwendung zuzugreifen, die wir entwickeln. Alles funktioniert überall fein 1 bis 30 Minuten in der Sitzung ... aber schließlich, die Verbindung fehlschlägt und die folgende Fehlermeldung angezeigt:

Secure Connection Failed

An error occurred during a connection to 10.x.x.x.

Cannot communicate securely with peer: no common encryption algorithm(s).

(Error code: ssl_error_no_cypher_overlap)

IE funktioniert gut. Firefox wirft den Fehler sowohl in Windows als auch in Fedora, so scheint das Problem nicht an ein Betriebssystem gebunden zu sein. Die Java EE-Anwendung wird auf einem Tomcat 6.0.16-Server ausgeführt. Alle Seiten werden mit TLS 1.0 über einen Apache 2.2.8 HTTP-Server mit mod_nss verschlüsselt.

Unser Apache-Server ist so konfiguriert, dass er SSL 3.0-Verbindungen ablehnt. Eine Hypothese, die wir haben, ist, dass Firefox versucht, eine SSL 3.0-Verbindung aufzubauen ... aber warum?

einige googeln Basierend haben wir versucht, die folgenden Dinge, aber ohne Erfolg:

• mit Firefox 2.x (einige Leute Instanzen berichtet, in denen 2.x gearbeitet, aber 3.x nicht):

• SSL2 ermöglicht

• SSL3 deaktivieren

• deaktivieren OCSP (Tool> Optionen> Erweitert> Encryptio n> Validation)

• sicherzustellen, dass die anti-Virus/Firewall des Client-Computers nicht blockiert oder das Scannen Port 443 (HTTPS-Port)

Irgendwelche Ideen?

Answer 1

Unter erweiterten Einstellungen von firefox sollten Sie in der Lage sein, die Verschlüsselung einzustellen. Standardmäßig sollten SSL3.0 und TLS1.0 aktiviert sein. Wenn Firefox versucht, ssl 3.0-Connectons zu erstellen, versuchen Sie, die Einstellung ssl 3.0s zu deaktivieren.

wenn das nicht funktioniert, versuchen Sie die über die Suche: config-Seite für „ssl2“ Mein Firefox hat Einstellungen mit ssl2 auf false gesetzt standardmäßig ...

Answer 2

Anbetracht dessen, was Sie haben versucht, und der Fehler Ich würde sagen, dass dies mehr mit dem genauen Verschlüsselungsalgorithmus als mit der TLS/SSL-Version zu tun hat. Verwenden Sie zufällig eine JRE von Sun oder eine Sicherheitsimplementierung eines anderen Anbieters? Versuchen Sie eine andere JRE/OS, um Ihren Server zu testen, wenn Sie können. Ist das nicht der Fall, können Sie möglicherweise sehen, was mit Wireshark (mit einem Filter von 'tcp.port == 443') passiert.

Answer 3

Das erste, was ich überprüfen würde, ist die Konfig für mod_nss. Es ist das merkwürdige, denn es gehört dir und es gibt keines auf der Welt, das so ist :-) Wenn es aber einen großen Bug in Firefox oder mod_nss selbst gab, dann hättest du das inzwischen in deinem Firefox entdeckt Google Quest. Die Tatsache, dass Sie mit der Konfiguration herumgespielt haben (z. B. das Deaktivieren von SSL3 und verschiedene andere zufällige Verbesserungen), ist ebenfalls verdächtig.

Ich würde zurück zu einem sehr Vanille mod_nss Config verfolgen und sehen, ob das funktioniert. Dann ändern Sie die Dinge systematisch in Ihre aktuelle Konfiguration, bis Sie das Problem reproduzieren können. Die Ursache des Fehlers liegt in der Chiffre-Spezifikations-Konfiguration von mod_nss und dem zugehörigen Protokoll-Verhandlungskram. Vielleicht haben Sie versehentlich etwas geändert, als Sie versucht haben, SSLv3 zu deaktivieren (übrigens, warum SSL3 deaktivieren? Normalerweise deaktivieren Leute V2?).

Eine andere Sache zu überprüfen ist, dass Sie auf dem neuesten mod_nss sind und es ist kein bekannter Bug in diesem. Die Tatsache, dass es gelingt, die Sitzung zu beginnen und später zu scheitern, ist interessant - es deutet darauf hin, dass es vielleicht versucht, die Sitzung neu zu verhandeln und zu diesem Zeitpunkt keine Chiffren zu verhandeln. So könnten es die symmetrischen Chiffren sein. Oder es könnte einfach ein Implementierungsfehler in Ihrer Version von mod_nss sein, der das Protokoll irgendwie verzerrt.

Eine andere Idee, und das ist eine wilde Vermutung, ist der Browser versucht, eine Sitzung, die mit SSLv3 ausgehandelt wurde, bevor Sie es deaktiviert, und etwas bricht beim Versuch, diese Sitzung fortzusetzen, wenn V3 ausgeschaltet ist, oder vielleicht implementiert mod_nss es nicht richtig.

Das Java/Tomcat Zeug scheint wie ein Ablenkungsmanöver, als wenn ich Ihre Beschreibung nicht missverstanden habe, nichts davon ist in den SSL-Handshake/Protokoll beteiligt.

Answer 4

Wenn Sie den Prozess der SSL-Verhandlung bei Wikipedia überprüfen, werden Sie wissen, dass zu Beginn ClientHello und ServerHello Nachrichten zwischen dem Browser und dem Server gesendet werden.

Nur wenn die in ClientHello bereitgestellten Cipher überlappende Elemente auf dem Server haben, enthält die ServerHello-Nachricht eine von beiden Seiten unterstützte Cypher. Andernfalls wird die SSL-Verbindung nicht initiiert, da keine gemeinsame Chiffre vorhanden ist.

Um das Problem zu beheben, müssen Sie cyphers (in der Regel auf Betriebssystemebene) installieren, anstatt sich intensiv mit dem Browser zu beschäftigen (normalerweise hängt der Browser vom Betriebssystem ab). Ich bin vertraut mit Windows und IE, aber ich weiß wenig über Linux und Firefox, so kann ich nur darauf hinweisen, was falsch ist, aber kann Ihnen keine Lösung liefern.

Answer 5

Ich hatte das gleiche Problem; zu lösen war genug, um alle SSL-Schemata in "about: config" zu aktivieren. Ich habe sie gefunden, indem ich mit ssl gefiltert habe. Zuerst habe ich alle Optionen aktiviert, um die unnötigen zu deaktivieren.

Answer 6

Wenn Sie den no cipher overlap Fehler auf Firefox bekommen, und Sie haben es bei den Standardeinstellungen verlassen, verwenden Sie, was eine sehr unsichere Seite sein muss, die versucht, eine sehr schwache "Export Grade" -Chiffre zu verwenden. Die Verwendung dieser Chiffren wird in diesen Tagen abgeraten, und ich persönlich würde aufhören, eine Seite zu verwenden, die versucht, solch eine schwache Chiffre zu verwenden.

Answer 7

"Fehlercode: ssl_error_no_cypher_overlap" Fehlermeldung nach der Anmeldung, wenn Begrüßungsbildschirm erwartet - mit Firefox Browser

Lösung

Aktivieren der Unterstützung für 40-Bit-RSA-Verschlüsselung im Firefox Browser: 1: eingeben 'about: config' in Browser-Adressleiste 2: find/wählen "security.ssl3.rsa_rc4_40_md5" 3: set boolean TRUE

Answer 8

"Fehlercode: ssl_error_no_cypher_overlap" Fehlermeldung nach der Anmeldung, wenn Begrüßungsbildschirm expected-- Firefox-Braue verwenden ser Lösung 1: geben Sie "über: config" in Browser Adressleiste 2: finden/wählen Sie "security.ssl3.rsa_rc4_40_md5" 3: set boolean TRUE

Answer 9

hatte ich das gleiche Problem, während das Zertifikat für unseren Server bei www.tpsynergy.com Erneuerung Nach dem neuen Server-Zertifikat importieren und die tomcat Neustart der Fehler wir ERR_SSL_VERSION_OR_CIPHER_MISMATCH waren immer war. Nach vielen Recherchen, habe ich diesen Link https://www.sslshopper.com/certificate-key-matcher.html verwendet, um die CSR (Zertifikatsignierung Anfrage mit dem tatsächlichen Zertifikat) zu vergleichen.Sie beide nicht übereinstimmen.So habe ich ein neues csr erstellt und erhielt ein neues Zertifikat und installiert das gleiche. Es hat funktioniert.

So sind die vollständigen Schritte für das Verfahren sind

1. Aus dem gleichen Server, auf dem das Zertifikat installiert wird, erstellen CSR

keytool -keysize 2048 -genkey -alias tomcat -keyalg RSA -keystore tpsynergy.keystore (ändert der Domain-Name nach Bedarf)

Bei der Erstellung wird nach Vornamen und Nachnamen gefragt. Geben Sie nicht Ihren Namen, sondern den Domain-Namen. Zum Beispiel habe ich es als www.tpsynergy.com

2.keytool -certreq -keyalg RSA -alias tomcat -file csr.csr -keystore tpsynergy.keystore

Diese eine csr.csr Datei in das schaffen gleicher Ordner. kopiere den Inhalt davon auf die godaddy Seite und erstelle das neue Zertifikat.

3. Die Zip heruntergeladen Zertifikatsdatei drei Dateien gd_bundle-g2-g1.crt gdig2.crt youractualcert.crt

   der Download haben

4. Sie müssen Root-Zertifikat gdroot-g2.crt aus dem godaddy-Repository.

5. Kopieren Sie alle diese Dateien in das Verzeichnis, in dem Sie die CSR-Datei erstellt haben und wo sich die Keystore-Datei befindet.

6. Jetzt laufen die folgenden Befehle einen nach dem anderen, die in den Schlüsselspeicher certs

   keytool -import -trustcacerts -alias root -datei gd_bundle-G2-g1.crt -keystore tpsynergy.keystore

   zu importieren keytool -import -trustcacerts -alias root2 -datei gdroot-g2.crt -keystore tpsynergy.keystore

   keytool -import -trustcacerts -alias Zwischen -datei gdig2.crt -keystore tpsynergy.keystore

   Keytools -i mport -trustcacerts -alias tomcat -datei yourdomainfile.crt -keystore tpsynergy.keystore

7. Stellen Sie sicher, dass der Server.XML-Datei in Ordner conf hat diesen Eintrag

8. Starten Sie den Kater

Answer 10

Was für mich gearbeitet ist I:

1. Went to about: config.
2. Typ "Sicherheit" in das Suchfeld eingegeben.
3. Setzen Sie alle zurückgegebenen Einträge auf ihre Standardwerte zurück.
4. Im Suchfeld "ssl" eingegeben.
5. Legen Sie alle zurückgegebenen Ergebnisse auf ihre Standardwerte fest.
6. Aktiviert ssl2.
7. Deaktiviert ssl3.
8. Neustart von Firefox.

Hinweis zu Firefox neu zu starten: Wenn ich es starte schon bald nach der Schließung, es oft ein Dateizugriffsproblem hat, die mich places.sqlite und places.sqlite-Journal zu löschen erfordert in C: \ WINDOWS \ Anwendungsdaten \ Mozilla \ Firefox \ Profiles \ n18091xv.default. Dies führt dazu, dass ich meinen Verlauf verliere, und die Lesezeichen müssen jedes Mal, wenn dies passiert, aus einer Sicherungskopie wiederhergestellt werden. Ich warte von fünf bis zehn Minuten oder mehr, um diesen Ärger zu vermeiden.

Lauf Firefox v3.5.1 auf WinMe

Answer 11

Ich hatte ähnliche Probleme gerade auf sichere Websites (https: //) bei der Verwendung von Burp (oder zumindest ein Problem, das Sie auf dieser Seite bringen würde, wenn Google-Suche):

• ssl_error_no_cypher_overlap in Firefox
• ERR_SSL_VERSION_OR_CIPHER_MISMATCH in Chrome

Es stellte sich heraus, ein Problem zu sein mit using Java 8. Als ich zu Java 7 wechselte, hörte das Problem auf.