Код ошибки err ssl version or cipher mismatch

When you visit a website running over HTTPS a series of steps are performed between the browser and the web server to ensure the certificate and SSL/TLS connection is valid.

Some of these include the TLS handshake, the certificate being checked against the certificate authority, and decryption of the certificate.

What Is the ERR_SSL_VERSION_OR_CIPHER_MISMATCH Error?

If for some reason the browser doesn’t like what it sees, such as a misconfiguration or unsupported version, your browser might display the following error: “ERR_SSL_VERSION_OR_CIPHER_MISMATCH” which prevents you from accessing the site.

Check out a few recommendations on how to fix this error.

What Causes the ERR_SSL_VERSION_OR_CIPHER_MISMATCH Error?

The ERR_SSL_VERSION_OR_CIPHER_MISMATCH error typically happens on older operating systems or browsers.

But that is not always the case. In fact, we just recently encountered a user having this issue on their WordPress site who was migrating to Kinsta from another host. We were, of course, running the latest version of Chrome, so the issue was with their SSL certificate. Chrome is actually protecting you by not letting you load it.

You might also see a variation of the error, such as:

• Error 113 (net::err_ssl_version_or_cipher_mismatch): unknown error
• The client and server don’t support a common SSL protocol version or cipher suite

Check out reasons below on why this happens and what you can do about it.

• Check Your SSL Certificate
• Check for Certificate Name Mismatch
• Check for Old TLS version
• Check RC4 Cipher Suite
• Clear SSL State In Chrome
• Use a New Operating System
• Temporary Disable Antivirus

Check Your SSL Certificate

If you see this error, the first and easiest place to start is to perform an SSL check on the certificate that is installed on the site. We recommend using the free SSL check tool from Qualys SSL Labs. It is very reliable and we use it for all Kinsta clients when verifying certificates. Simply input your domain into the Hostname field and click on “Submit.”

Check Out Our Video Guide to Fixing SSL Errors

You can also select the option to hide public results if you prefer. It could take a minute or two to scan your site’s SSL/TLS configuration on your web server.

Check for Certificate Name Mismatch

In this particular instance, the customer migrating to Kinsta had a certificate name mismatch which was throwing up the ERR_SSL_VERSION_OR_CIPHER_MISMATCH error. As you can see from the SSL Labs test below, this is pretty quick and easy to diagnose. As SSL Labs states, a mismatch can be a number of things such as:

• The site does not use SSL, but shares an IP address with some other site that does.
• The site no longer exists, yet the domain still points to the old IP address, where some other site is now hosted.
• The site uses a content delivery network (CDN) that doesn’t support SSL.
• The domain name alias is for a website whose name is different, but the alias was not included in the certificate.

Another easy way to check the current domain name issue on the certificate is to open up Chrome DevTools on the site. Right-click anywhere on the website and click on “Inspect.” Then click on the security tab and click on “View certificate.” The issued domain will show in the certificate information. If this doesn’t match the current site you’re on, this is a problem.

Remember though, there are wildcard certificates and other variations, but for a typical site, it should match exactly. However, in our case, the ERR_SSL_VERSION_OR_CIPHER_MISMATCH error actually prevented us from being able to check it in Chrome DevTools. That is where a tool like SSL Labs can come in handy.

Check for Old TLS version

Another possible reason is that the TLS version running on the web server is old. Ideally, it should be running at least TLS 1.2 (better yet, TLS 1.3). If you are a Kinsta customer you never have to worry about this as we always upgrade our servers to the latest and greatest supported versions. Kinsta supports TLS 1.3 on all of our servers and our Kinsta CDN. Cloudflare also enables TLS 1.3 by default.

(Suggested reading: if you’re using legacy TLS versions, you might want to fix ERR_SSL_OBSOLETE_VERSION Notifications in Chrome).

This is something the SSL Labs tool can also help with. Under configuration, it will show you the current version of TLS running on the server with that certificate. If it is old, reach out to your host and ask them to update their TLS version.

Check RC4 Cipher Suite

Another reason according to Google’s documentation for ERR_SSL_VERSION_OR_CIPHER_MISMATCH is that the RC4 cipher suite was removed in Chrome version 48. This is not very common, but it could happen in say larger enterprise deployments that require RC4. Why? Because everything usually takes longer to upgrade and update in bigger and more complex configurations.

Security researchers, Google, and Microsoft recommend that RC4 be disabled. So you should make sure the server configuration is enabled with a different cipher suite. You can view the current cipher suite in the SSL Labs tool (as seen below).

Clear the SSL State In Chrome

Another thing to try is clearing the SSL state in Chrome. Just like clearing your browser’s cache this can sometimes help if things get out of sync. To clear the SSL state in Chrome on Windows, follow these steps:

• Click the Google Chrome – Settings icon (Settings) icon, and then click Settings.
• Click Show advanced settings.
• Under Network, click Change proxy settings. The Internet Properties dialog box appears.
• Click the Content tab.
• Click “Clear SSL state”, and then click OK.
• Restart Chrome.

If you are on a Mac, see these instructions on how to delete an SSL certificate.

We’ve taken our knowledge of effective website management at scale, and turned it into an ebook and video course. Click on the link to download The Guide to Managing 60+ WordPress Sites!

Use a New Operating System

Older operating systems fall out of date with newer technologies such as TLS 1.3 and the latest cipher suites as browsers stop supporting them. Specific components in the latest SSL certs will simply stop working. Google Chrome, in fact, pulled the plug on Windows XP back in 2015. We always recommend upgrading to newer operating systems if possible, such as Windows 10 or the latest version of Mac OS X.

Temporary Disable Antivirus

The last thing we recommend trying if you are still seeing the ERR_SSL_VERSION_OR_CIPHER_MISMATCH error is to ensure you don’t have an antivirus program running. Or try temporarily disabling it. Some antivirus programs create a layer between your browser and the web with their own certificates. This can sometimes cause issues.

Если вы столкнулись с ошибкой ERR_SSL_VERSION_OR_CIPHER_MISMATCH, мы понимаем, в каком состоянии вы сейчас находитесь. Вы расстроены, Вам любопытно, и Вы немного злитесь. Когда клиенты стали спрашивать о сообщении ERR_SSL_VERSION_OR_CIPHER_MISMATCH, эксперты по SSL всерьез занялись этим вопросом и нашли некоторые решения.

---

Изучая анатомию этой ошибки, обнаружили, что устаревшее у Google и Mozilla шифрования RC4 вызывает данную ошибку. Итак, придумали четыре возможных решения, чтобы уничтожить ошибку из ваших систем. Прежде чем перейти к исправлениям, обратите внимание на следующие вещи:

1. Если одно решение не работает, попробуйте следующее;
2. Некоторые из этих решений не совсем безопасны, поскольку они предусматривают использование более старых, небезопасных протоколов.

Давайте начнем!

Решение 1. Включите все версии SSL / TLS

Примечание. Этот шаг включает старые, небезопасные протоколов. Если вас это не пугает, вы можете им воспользоваться на свой страх и риск.

1. Открыть Chrome;
2. Нажмите на три точки, которые вы видите в верхнем правом углу;
3. Теперь перейдите в Настройки и найдите «прокси» в поле поиска;
4. Вы должны увидеть опцию Open proxy settings, нажмите на нее;
5. Перейдите на вкладку «Дополнительно»;
6. Теперь отметьте все версии SSL и TLS;
7. Нажмите кнопку «Применить»;
8. Перезапустите Chrome.

Хоть мы предлагаем это, как возможное решение, мы не можем подчеркнуть, что это безопасно. Старые версии TLS и особенно SSL известны уязвимостями. На данный момент вы действительно не должны подключаться ни к чему, кроме TLS 1.2.

Решение 2. Отключите защиту Интернета в антивирусе / брандмауэре

Мы не можем дать вам пошаговые инструкции для этого, поскольку они будут отличаться для каждого антивируса / брандмауэра. Вероятно, Вы найдете то, что ищете на web-сайте поставщика. Как и в первом шаге, здесь также нужно включить все версии SSL и TLS.

Решение 3: Отключить протокол QUIC

1. Поиск chrome: // flags / # enable-quic в адресной строке;
2. Отключение по протоколу Experimental QUIC protocol;
3. Перезапустите Chrome.

Решение 4. Очистите состояние SSL

1. Откройте Chrome;
2. Нажмите на три точки, которые вы видите в правом верхнем углу;
3. Теперь нажмите «Настройки»;
4. Теперь перейдите в Настройки и найдите «прокси» в поле поиска;
5. Вы должны увидеть опцию Open proxy settings, нажмите на нее;
6. Перейдите на вкладку «Содержимое»;
7. Нажмите «Очистить состояние SSL»;
8. Перезапустить Chrome.

Мы очень надеемся, что одно из этих четырех решений помогло вам устранить ошибку ERR_SSL_VERSION_OR_CIPHER_MISMATCH. Если нет, поделитесь своими проблемами вместе с проблемным URL-адресом, и мы постараемся Вам помочь.

Код ошибки ERR_SSL_VERSION_OR_CIPHER_MISMATCH появляется, когда браузер не может установить безопасное соединение с сервером (веб-страницей) из-за неподдерживаемого протокола безопасности SSL.

Проблема (обычно) на стороне пользователя (чаще всего — браузера), поэтому ошибка может возникать даже при заходе на заведомо безопасные сайты: nalog.ru, zakupki.gov.ru и другие, использующие SSL-сертификаты (HTTPS-сайты). При этом может появляться сообщение следующего характера (в зависимости от браузера):

• Этот сайт не может обеспечить безопасное соединение.
• На сайте *адрес_сайта* используется неподдерживаемый протокол.
• Безопасное соединение не может быть установлено, потому что этот сайт использует неподдерживаемый протокол.

Ошибка появляется только при попытке открыть https-сайты. Устранить проблему несовместимости браузера и SSL-сертификата легко, если знать причину, которых всего несколько.

Причины и исправление ошибки ERR_SSL_VERSION_OR_CIPHER_MISMATCH:

1. В браузере не отключен протокол QUIC. Это также приводит к ошибке ERR_QUIC_PROTOCOL_ERROR. QUIC является экспериментальным протоколом и его работу никто не гарантирует. Для отключения нужно открыть настройки chrome://flags/#enable-quic и перевести QUIC в положение Отключено/Disabled (для Chrome).
2. В браузере не включена поддержка протокола TLS 1.3. Нужно открыть страницу настроек chrome://flags, найти параметр TLS 1.3 и включить его, если он был отключен.
3. Вы используете устаревшую версию Windows (XP или ранее), где браузеры Google Chrome и Internet Explorer уже не поддерживаются и могут работать некорректно.
4. Ошибка состояния SSL из-за переполнения/сбоя в накопленных браузером данных. Нужно очистить кэш и куки в браузере, а также историю просмотров и другие сохраненные данные за все время. Сохраненные пароли, кредитные карты и иные введенные данные можно не удалять.
5. В Google Chrome — ввести в адресную строку chrome://flags и выставить параметру Minimum SSLv3 version support значение SSLv3 (если есть). Это включит поддержку SSL не ниже нужной версии. Если у сайта ниже, можно попробовать открыть HTTP-версию страницы вместо HTTPS (обычно срабатывает перенаправление обратно, так что метод так себе).
6. Зайти в Пуск -> Панель управления -> Сеть и интернет -> Свойства браузера и Очистить SSL, чтобы сбросить всю информацию о сертификатах. Это можно сделать и в настройках браузеров.

На практике, для избавления от ошибки с кодом ERR_SSL_VERSION_OR_CIPHER_MISMATCH достаточно отключить QUIC, включить TLS 1.3 и очистить кэш и куки. Если это не помогло, можно воспользоваться браузером Mozilla Firefox — на этом браузере ошибка практически никогда не возникает, в отличие от Google Chrome и браузеров на его основе.

Также, для разового решения проблемы можно открыть нужную страницу в режиме инкогнито — в нем ошибка появляется реже. Можно попробовать зайти на сайт по обычному протоколу (http вместо https), но это срабатывает редко.

Радикальное решение проблемы — сбросить общие настройки SSL и TLS сразу для всех браузеров:

1. Зайти в Пуск, открыть Панель управления.
2. Найти Свойства браузера, в открывшемся окне перейти во вкладку Дополнительно.
3. Нажать на кнопки Восстановить дополнительные параметры и Сброс.

После сброса настроек браузера (не важно, в самом браузере или через Панель управления) нужно перезагрузить компьютер. После этого можно повторить подключение — сайт должен открываться нормально.

Если вообще ничего не помогло, то лучше обратиться за помощью к специалистам или системному администратору. Сброса данных и выставления правильных настроек SSL и TLS достаточно для исправления ошибки в 99% случаев. Сканирование компьютера на вирусы, отключение антивируса и брандмауэра, использование CCleaner и другие популярные действия, которые советует каждая вторая статья, редко помогают конкретно с этой ошибкой. Исключение — если используется антивирус Avast!, его имеет смысл отключить, либо добавить нужный сайт в «исключения» антивируса.

Есть одно исключение из ситуации: когда ошибка ERR_SSL_VERSION_OR_CIPHER_MISMATCH появляется при попытке зайти на сайты, использующие дешевые/старые версии SSL с SNI (указатель серверного имени) и открытым алгоритмом цифровых подписей ECSDA. Такие протоколы не поддерживаются ни Google Chrome, ни Яндекс Браузером последних версий. Если проблема наблюдается только на одном сайте (особенно на Windows XP) — легче пересесть на Mozilla Firefox для работы с конкретным ресурсом, чем пытаться перенастроить неподдерживаемый сертификат и настройки.