一次 TLS 协商失败问题分析

已于 2022-08-21 12:08:59 修改
阅读量1.6k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: web 网络 文章标签: https 网络 网络协议
于 2022-05-28 11:31:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/alading2009/article/details/125016258
本文记录了解决IE11访问OpenshiftRouter暴露的https地址时遇到的问题及解决过程,涉及TLS协议、CipherSuite匹配及微软补丁更新。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

个人博客
微软官宣 6.16 全面抛弃 IE,但对身处风险厌恶、技术保守型行业或者企业的 IT 工程师来说——夹在激进的 IT 行业和保守的业内环境之间,替换之路并不容易走,时常感到左右为难。

距离推动生产环境部署 Openshift 已近一年,负责的第一个运行其上的应用最近也正式投入使用,在兼容 IE 的过程中也踩了几个坑,拣有意思的记录一下。

遇到的其中一个问题是 IE11 访问 Openshift Router 暴露的 https 地址无法打开,提示启用相关安全协议,进 Internet 选项高级里确认默认都是勾选的,仍然不行。诡异的是在某些一样版本的 window 7 系统上,使用 IE11 又可以正常访问。

最后抓包看了一下,在 tcp 连接建立后进行 tls 协商时失败了。
在这里插入图片描述

Server Hello 信息太简洁,没有太多有价值的线索,检查 Client Hello,发现最可疑的就是 Cipher Suites,这里列举出的是客户端支持的选项,难道和服务端支持的没有匹配上?

此图片的alt属性为空;文件名为image-1.png

为了进一步验证猜测,抓包了正常的 IE11 交互过程,发现服务端响应的 Cipher Suite 是 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,连续找了两台抓包结果也是这个 Cipher Suite。同时找运维潘同学一起看了 Openshift Router 与 Cipher Suite 相关设置,貌似 Router 并没什么问题。

在这里插入图片描述

搜索了微软的官方补丁,发现在 KB3042058 (前置补丁 KB3020369)的补丁里提到新增了对 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 的支持,下载安装重启后,发现网页可以正常访问了。抓包协商过程,此时在 Client Hello Cipher Suites 里加入了 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 ,Server Hello 也进行了肯定。

说到网络,想起之前遇到的两次问题:一次是解决业务柜台连不上内部某网站,发现是防火墙策略拒绝了 ssl2;另一次是观摩其他同事解决连续几天早上 redis 连接失效问题,发现是防火墙上设置了 tcp 连接的最长有效时长为 8 小时,导致一夜过后引发 redis 半开连接问题——半开连接也是一种典型问题。

MQTT错误:TCP/TLS连接失败
CqpFsharp的博客
09-25 1847
然而,在使用MQTT时,有时候会遇到错误,其中之一是TCP/TLS连接失败。当出现MQTT错误:TCP/TLS连接失败时,需要检查网络连接、证书配置和连接参数。检查证书配置:如果使用了TLS连接,请确保证书的有效性和正确性。安全设置问题:如果使用了TLS(Transport Layer Security)加密连接,那么连接过程中可能存在证书验证问题网络问题:TCP/TLS连接需要通过网络进行通信,如果网络不稳定或存在故障,就可能导致连接失败。配置问题:连接参数的错误配置也可能导致连接失败
传输层安全协议 SSL/TLS 详细介绍
最新发布
dvlinker的技术专栏
03-25 4987
本文对SSL和TLS协议进行一个详细的介绍,以便于大家更直观的理解和认识标准TLS协议。
TLS negotiation failed with error UnknownCredentia
weixin_34023982的博客
11-12 721
Exchange 2013混合部署环境遇到一个更换证书后,本地服务器给Office 365发送邮件通过TLS方式失败问题,下面将问题解决过程分享给大家。一、问题现象 1、在Exchange 2013Mailbox服务器的系统日志中存有36870报错。 2、开启发送连接器日志后,在日志中有报错关于TLS negotiation failed with er...
TLS Https连接失败问题(协商失败)
weixin_30340745的博客
07-04 2145
IE使用TLS连接服务器失败,在经过n多查询之后发现windows如下更新说明:此更新不是最终用户能够安装的安全更新。建议只对服务器管理员使用此更新。此更新会部署一个在受影响的系统上禁用传输层安全 (TLS) 和安全套接字层 (SSL) 重新协商支持的替代方法,以帮助保护连接到此类服务器的客户端以免被该漏洞所利用。 TLS 重新协商是传输层安全协议的组件,并且是某些应用程序必需的。我们建议客户验...
解决:SSL negotiation failed: SSL error: parse tlsext (https://localhost)
sky3366的专栏
04-09 793
搭建的svn代码提交到一半的时候出现这个错误: SSL negotiation failed: SSL error: parse tlsext (https://localhost) 解决办法: 是因为 TLSv1 协议的问题,不知是 OpenSSL 的 bug 还是 Subversion 的 bug,总之无法正常工作。 解决方案:我用的是VisualSVN服务器,打开安装目录在con...
TLS协商报错Handshake failure问题解决
qq_42288975的博客
10-12 3494
介绍了curl工具协助定位tls连接问题,tcp连接报错Handshake failure可能原因是协商的加密套件存在问题导致。
网络编程开发系列】好端端的MQTT-broker重新部署后居然出现TLS握手失败
一个专注于嵌入式IoT领域的架构师,深耕IoT领域多年,深度掌握IoT领域的相关技术栈,包括但不限于RTOS内核的实现及其移植、硬件驱动移植开发、网络通讯协议开发、编译构建原理及其实现、底层汇编及编译原理、编译优化及代码重构、嵌入式IoT系统的架构设计等。
07-31 7842
本文通过一次真实的现网案例复盘,深度还原TLS握手问题的排查思路和方法,希望对广大读者有所启发和帮助。
TLS握手过程及wireshark抓包分析
weixin_46775266的博客
08-05 3711
TLS握手过程及wireshark抓包分析 1.TLS的发展 1994年,NetScape公司设计了SSL协议(Secure Sockets Layer)的1.0版,但是未发布。 1995年,NetScape公司发布SSL 2.0版,很快发现有严重漏洞。 1996年,SSL 3.0版问世,得到大规模应用。 1999年,互联网标准化组织ISOC接替NetScape公司,发布了SSL的升级版TLS 1.0版。 2006年和2008年,TLS进行了两次升级,分别为TLS 1.1版和TLS 1.2版。最新的变动是2
抓包分析TLS握手(ECDHE)
fade_away_py的博客
05-05 1500
ECDHE(Elliptic Curve Diffie-Hellman Ephemeral)是一种利用椭圆曲线加密算法的密钥交换协议。在TLS握手过程中,ECDHE与其他密钥交换算法(如RSA)相比有以下特点:秘钥安全性更高:ECDHE使用椭圆曲线算法,具有更高的安全性,可以减少中间人攻击所造成的风险。密钥协商效率更高:ECDHE对密钥的协商过程只需要进行一次,而RSA或DHE需要进行两次,因此ECDHE在密钥协商效率上比其他算法更具优势。
阿里云环境中TLS/SSL握手失败的场景分析
阿里云云栖号
07-10 5046
TLS/SSL握手是一个相对复杂的过程,在阿里云环境中结合产品,安全等特性,可能会让TLS/SSL握手过程的不定性更多。本文来总结下各种握手失败的场景。 一次TLS/SSL握手的过程 本文不详细介绍TLS/SSL基础知识,相关介绍可以参考文章。下面3张图描述了3种TLS/SSL握手的全过程。 服务器验证的完全握手 (Full Handshake with Mutual Authenticat...
发送https请求,出现Server “172.16.20.107“ shut connection during attempt to negotiate SSL session 错误
文山
08-30 8928
现象:发送https请求,出现Server "172.16.20.107" shut connection during attempt to negotiate SSL session 错误 lr_set_debug_message(16|2,1); web_custom_request("authorize", "URL=https://172.16.2
WCF 异常:无法打开安全通道,因为与远程终结点的安全协商失败。这可能是由于用于创建通道的 EndpointAddress 中不存在 EndpointIdentity .......
weixin_30538029的博客
08-02 414
遇到这个问题我的第一反应就是客户端和服务端的配置不同造成的。 如果是通过VS引用服务地址的方式添加的服务只要更新服务引用后这个问题就解决了。 但是如果是通过自己手写代码调用就要注意 检查一下EndpointAddress 中EndpointIdentity客户端和服务器设置是否统一,另外确认两端的安全级别一致。 例如 :我在服务端配置中设置了 <wsHttpB...
WCF 异常:无法打开安全通道,因为与远程终结点的安全协商失败。这可能是由于用于创建通道的 EndpointAddress 中不存在 EndpointIdentity ....
mhx123456789的博客
08-08 431
WCF 异常:无法打开安全通道,因为与远程终结点的安全协商失败。这可能是由于用于创建通道的 EndpointAddress 中不存在 EndpointIdentity ....
明御运维审计与风险控制系统远程桌面(server2012、2016系统)报错error:NLA or TLS security negotiation failure, Please check...
暂时先用这个名字
11-10 6404
研究了一天,都是从账号密码的问题上去想,重写了密码不行,重配了堡垒机也不行~~但其实这个情况主要是服务器身份验证引起的,需要服务器端修改组策略。
Unable to establish SSL connection.
a1808862593的博客
09-11 9049
出现Unable to establish SSL connection.无法建立连接错误,如果跳过证书验证后(wget --no-check-certificate)...
【Windows2016操作系统一直无法远程访问,报错:3389协议协商错误】
追求诗和远方的路上
11-17 2106
心累记录:用户的Windows2016操作系统一直无法远程访问,在网上尝试过很多方法,一种说是远程桌面服务120天到期了,无法再远程访问,在知乎上找到一个远程桌面120天授权破解方法,结果时间是破解了,通过堡垒机还是无法远程访问服务器,另外又添加远程桌面服务的角色功能,通过cmd上输入gptdit.msc配置远程桌面服务功能,还是不行,服务器重启了几十百把遍,几个同事弄了两天,都没解决,最后还是一位帅气的大哥说出以往的经验,才得以解决,原来只需两步就可以完美解决!!! 第一步:进入服务器管理器----&g
wireshark协议类型匹配错误
赵凯月的博客
06-27 584
不同的协议有不同的解码器,wireshark尝试为每个包尝试找到正确的解码器,特定的情况有可能会选择错误的解码器。现有TLS/SSL over TCP的客户端、服务端相互通信,其中,服务端监听TCP端口6000。期待Wireshark解析的是TLS协议,但实际并非如此,而是X11协议。例如,我设置59739的TCP端口按照TLS协议解析,可得到上图结果。当然,更合理的是,对TCP端口是6000的包按照TLS协议解析。将(none)修改为“TLS”:(你的真正的、实际的通信协议)
lr笔记--打开https回放报错解决方式attempt to negotiate SSL session [MsgId: MERR-27776]
似水方无涯的博客
08-02 2114
回放录制https会报错:Error -27776: Server "www.365edai.cn" shut connection during attempt to negotiate SSL session   [MsgId: MERR-27776] 解决办法:Virtual  User Generator ->Action->Run-time Setting ->prefere
Openssl, Alert, Fatal, handshake failure 40
mzhan017的博客
06-24 3298
openssl 握手失败,fatal failure 40
解决HTTPS用户重定向问题:故障分析与处理策略
1. 分析用户访问日志,找出失败的具体环节。 2. 检查网络设备配置,确认重定向规则是否正确设置。 3. 如果是认证问题,更新用户账户状态或处理欠费问题。 4. 更新或修复Web服务器证书,确保安全通信。 5. 调整TLS...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值