ssllabs 显示测试结果 A+ 但 Handshake Simulation 却有 handshake_failure 错误

2016-11-24 14:10:34 +08:00

greatonce

IE 8 / XP No FS 1 No SNI 2 Server sent fatal alert: handshake_failure

Chrome 49 / XP SP3 Server sent fatal alert: handshake_failure

Android 2.3.7 No SNI 2 Server sent fatal alert: handshake_failure

这种问题有遇到过吗？请教怎么解决？

3327 次点击

所在节点

问与答

6 条回复

shiji

2016-11-24 14:31:47 +08:00

我印象里这样的情况是因为设置了特殊的 cipher suite 或者禁止里无 sni 支持的客户端的访问，忽略就好了

greatonce

2016-11-24 14:48:22 +08:00

@shiji 但是 IE8 的浏览器握手失败，无法打开 https 啊，其它浏览器可以，很怪。

shiji

2016-11-24 14:52:21 +08:00

@greatonce tls1 和 1.1 打开了吗？把 Web 服务器 ssl 相关的配置贴来看看

greatonce

2016-11-24 14:55:36 +08:00

ssl on;
ssl_certificate /usr/local/nginx/conf/ssl_wildcard/ssl-bundle.crt;
ssl_certificate_key /usr/local/nginx/conf/ssl_wildcard/private.key;
ssl_prefer_server_ciphers on;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

@shiji 谢谢，上面是关于 ssl 设置部分，很奇怪 IE 下浏览器打不开，难道只支持 ssl3 ？

shiji

2016-11-24 15:52:35 +08:00

@greatonce 我的测出来也和你差不多，并不是 IE8 打不开，是 XP 系统下的 IE8 打不开。

https://www.ssllabs.com/ssltest/viewClient.html?name=IE&version=8&platform=XP&key=101

XP 系统下的 IE8 安全的 cipher suite 非常有限（ 3DES ），而且不支持 SNI

>= Win7 的 IE8 就开始支持 AES 了，并且支持 SNI 了

greatonce

2016-11-24 17:49:00 +08:00

@shiji 对， xp 系统，就怕有用户是用这个系统的

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/322960

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.