Ayusin ang TSL Handshake Failed Error

Kung nakatagpo ka ng mensahe ng error na nagsasabing "Nabigo ang TLS handshake» at hindi mo alam kung ano ang gagawin, hindi ka nag-iisa. Ang TLS handshake ay nabigo ay isang karaniwang error. Bagama't maaari itong maging isang nakakadismaya na karanasan, may mga paraan upang i-troubleshoot ang TLS handshake at lutasin ito.

Sa post na ito, malalaman mo kung ano ang TSL handshake failed error at kung bakit ito nangyayari. Pagkatapos, matututunan mo kung paano i-troubleshoot ang TLS handshake.

 Magsimula tayo!

Pag-unawa sa TLS/SSL

Dapat mong gawing secure ang iyong website upang makapagtatag ng mga secure na koneksyon sa pagitan ng dalawang server. Upang gawin ito, dapat kang mag-install ng certificate ng Secure Sockets Layer (SSL) (seguridad ng SSL at encryption protocol) sa iyong site. Papayagan nito ang iyong site na gumamit ng HTTPS upang matiyak ang mga secure na koneksyon.

Sa kasamaang palad, kung minsan ang mga bagay ay hindi napupunta gaya ng binalak at maaari kang makatagpo ng problema sa pagtatatag ng koneksyon sa pagitan ng server ng iyong site at browser ng isang bisita. Maaaring mangyari ang isyu bilang isang error na "TLS Handshake Failed" o anumang iba pang isyu.

Ang Transport Layer Security (TLS) at Secure Sockets Layer (SSL) ay mga protocol ng seguridad na nagbibigay ng pag-encrypt at pagkilala sa website. Ginagamit ang mga ito upang patotohanan ang mga paglilipat ng data sa pagitan ng mga server, application, system tulad ng mga browser, at mga user.

Sa madaling salita, kailangan mo ng mga TLS/SSL certificate para ma-secure ang website gamit ang HTTPS.

Pag-unawa sa TLS/SSL handshake

Ang TLS handshake ay isang paraan ng komunikasyon at kasunduan sa pagitan ng dalawang server: ang host ng iyong site at ang client server. Ito ang unang hakbang sa proseso ng pagtatatag ng malinaw na koneksyon sa HTTPS.

Upang mapatunayan at makapagtatag ng isang koneksyon, ang server ng iyong site at ang browser ng kliyente ay dapat makipagkamay, iyon ay, dumaan sa isang serye ng mga pagsusuri (ang pagkakamay). Itinatakda nito ang mga parameter ng koneksyon sa HTTPS.

Ano ang ibig sabihin nito?

Ang kliyente (karaniwan ay isang browser) ay karaniwang nagpapadala ng isang kahilingan upang magtatag ng isang secure na koneksyon sa server ng site. Pagkatapos ay magpapadala ang server ng pampublikong key (protocol) sa iyong device at tinitiyak na i-verify ang key na iyon laban sa isang inihandang listahan ng mga protocol/certificate. Ang device ay bubuo ng isang susi at ginagamit ang susi ng server upang i-encrypt ito.

Kung ang round trip na komunikasyon na ito ay hindi nagdulot ng positibong resulta, ibig sabihin, kung ang SSL handshake ay nabigo sa pagitan ng server at ng kliyente, ang HTTPS ay hindi bubuo ng secure na koneksyon, na magreresulta sa isang TLS/SSL handshake error . Maaaring magpakita ang error na ito sa dalawang paraan;

• Hindi available ang HTTP/1.1 503 na Serbisyo
• Nakatanggap ng nakamamatay na alerto: handshake_failure (Error 525)

Tandaan: Makikita mo ang mga mensahe ng error na ito pagkatapos ng isang tawag sa API kung saan nabigo ang TLS handshake.

Ano ang sanhi ng error sa TLS handshake?

 Sa pangkalahatan, ang Error 525 o Error 503 ay karaniwang nangangahulugan na nagkaroon ng bigong TLS handshake. Ang ilan sa mga sanhi ng pagkabigo ay maaaring kabilang ang;

Sa panig ng server, ang mga sanhi ng error ay kinabibilangan ng;

• Protocol mismatch: Hindi sinusuportahan ng server ang protocol na ginamit ng kliyente.
• Masamang certificate: Ang hostname ng client URL ay hindi tumutugma sa hostname sa certificate na nakaimbak sa server, o ang certificate ay hindi kumpleto o hindi wasto, o ang certificate ay hindi tama o nag-expire
• Cipher suite mismatch: Hindi sinusuportahan ng server ang cipher suite na ginamit ng client.
• SNI Enabled Server: Kapag ang backend ng SNI (Server Name Identification) ay pinagana, ngunit hindi maaaring makipag-ugnayan ang client-server sa mga SNI server.

Sa panig ng kliyente, ang mga sanhi ay maaaring kabilang ang:

• Kung ang koneksyon ay naharang ng isang third party.
• Kapag may maling petsa o oras ang client device.
• Kung ang customer ay nakakaranas ng error sa mga setting ng browser.

Paano Ayusin ang TLS Handshake Failed Error

Mayroong ilang potensyal na dahilan para sa "mga isyu sa TLS handshake." Maaari mong gamitin ang mga sumusunod na solusyon upang malutas ang mga problemang ito;

Pamamaraan Blg. Tip #1: I-update ang petsa at oras ng iyong system

Ang maling configuration ng petsa o oras ay isa sa mga pangunahing dahilan ng mga problema sa handshake ng TLS. Dahil nakakatulong ang oras ng system na patunayan kung wasto o nag-expire ang certificate, ang pagkakaiba sa pagitan ng oras o petsa sa iyong device at ng server ay maaaring maging sanhi ng paglabas ng mga certificate na nag-expire.

Itama ang oras at petsa sa pamamagitan ng pagtatakda nito sa awtomatiko, pagkatapos ay bisitahin muli ang site at tingnan kung naayos na ang isyu ng TLS handshake.

Pamamaraan Blg. Ayusin ang #2: Itama ang iyong mga setting ng browser upang tumugma sa pinakabagong suporta sa TLS protocol

Ang iyong browser ay ang 'man in the middle' at maaaring makaapekto sa kung paano nakikipag-ugnayan ang iyong device sa server. Ang anumang maling configuration ng browser ay maaaring magdulot ng mga isyu sa TLS.

Upang tingnan kung ang iyong browser ang problema, subukang gumamit ng isa pang browser upang ma-access ang site at tingnan kung nakatagpo ka ng parehong problema. Kung ang problema ay nangyayari sa lahat ng mga site, ito ay isang problema sa system.

Maaaring may extension ng browser o software ng seguridad sa iyong device na humaharang sa mga koneksyon sa TLS at nagdudulot ng problemang TLS handshake. Sa ilang mga kaso, isang virus o malware sa sistema.

Upang malutas ang problemang ito:

• Maaaring kailanganin mong i-disable ang software ng seguridad o mga extension ng browser sa iyong device
• I-restart ang iyong browser.

Paraan 3: Suriin at baguhin ang mga TLS protocol [sa Windows]

Ang mga isyu na nauugnay sa browser ay maaari ding sanhi ng hindi pagkakatugma ng protocol.

Halimbawa, kung ang browser ay na-configure lamang para sa isang partikular na halaga ng TLS, tulad ng TLS 1.0 o TLS 1.1, ngunit sinusuportahan lamang ng server ang TLS 1.2, kung gayon ang komunikasyon sa pagitan ng dalawa ay kulang sa magkatugmang protocol. Ito ay tiyak na humahantong sa pagkabigo ng TLS handshake.

Upang suriin ang problemang ito sa iyong browser (Google Chrome):

• Buksan ang browser kromo 
• Pagkatapos, dapat kang pumunta sa opsyon na Mga Setting> Advanced
• Pagkatapos nito, dapat kang mag-scroll pababa upang buksan ang Systems> Buksan ang mga setting ng proxy ng iyong computer

• Sa bagong pop-up window, piliin ang tab na Advanced.
• Sa loob ng advanced na tab, sa seksyong Seguridad, tingnan kung napili ang kahon sa tabi ng Use TLS 1.2 > suriin ito kung hindi ito naka-check.

• Suriin kung ang mga kahon para sa SSL 2.0 at SSL 3.0 ay may check > pagkatapos ay alisan ng check ang mga ito kung gayon. Gawin ang parehong para sa TLS 1.0 at TLS 1.1.
• I-click ang OK, pagkatapos ay tingnan kung nalutas ng prosesong ito ang error sa handshake.

Nota: kung gumagamit ka Kapote ako o Apple Safari, hindi sila nag-aalok ng opsyon na huwag paganahin o paganahin ang mga TLS/SSL protocol dahil ang TLS 1.2 ay, bilang default, ay awtomatikong pinagana.

Pamamaraan Blg. Tip #4: Suriin ang configuration ng iyong server [upang suportahan ang SNI]

Ang pag-configure ng Server Name Indication (SNI) ay isa sa mga pangunahing sanhi ng mga problema sa TLS. Para gumana nang maayos ang server, pinapayagan ka ng SNI na secure na mag-host ng maraming TLS certificate/protocol para sa isang IP address.

Sa isang server, ang bawat website ay may sariling sertipiko. Samakatuwid, kung ang server ay hindi pinagana ang SNI, malaki ang posibilidad na mabigo ang TLS handshake dahil maaaring hindi makilala ng server ang kasalukuyang certificate.

Upang suriin at makita kung ang site ay nangangailangan ng SNI, maaari mong gamitin ang Qualys SSL Server Test. Ang kailangan mo lang gawin ay ilagay ang domain name ng iyong site, pagkatapos ay i-click ang Isumite at hintayin ang pagsubok na makabuo ng mga resulta.

Sa pahina ng mga resulta, hanapin ang mensaheng nagsasabing "Gumagana lang ang site na ito sa mga browser na katugma sa SNI."

Pamamaraan Blg. Tip #5: Suriin at Tiyaking Tugma ang Cipher Suites

Ang hindi pagkakatugma sa mga cipher suite ay isa ring pangunahing dahilan ng mga problema sa TLS handshake, lalo na sa TLS handshake failure. Ang mga cipher suite ay isang hanay lamang ng mga algorithm, kabilang ang maramihang pag-encrypt, pagpapalitan ng susi, at code ng pagpapatunay ng mensahe, na ginagamit upang ma-secure ang mga koneksyon sa network ng TLS/SSL.

Kung ang mga cipher suite ng server ay hindi tumutugma o hindi tugma sa Cloudflare's, may mas mataas na posibilidad na magkaroon ng error na "TLD Handshake Failed."

Upang subukan ang configuration ng iyong cipher suite, muli mong gagamitin ang pagsubok sa server ng Qualys TLS. Muli, ilagay ang iyong domain, pagkatapos ay i-click ang Isumite at hintayin ang ulat.

Sa pahina ng mga resulta, tingnan ang seksyong Cipher Suites upang mahanap ang impormasyon ng Cipher.

Tingnan kung interesado ka sa katayuan tulad ng nakasulat na 'Mahina'. Maaari mo nang iwasto ang mga ito sa pamamagitan ng paghahambing sa mga ito sa suporta ng iyong browser.

Konklusyon

Sa tingin namin ay madaling sundin ang mga tip na ito at naresolba mo ang error sa TLS handshake na naranasan mo. Ang TLS ay isang napakalaking paksa at maaaring may iba pang magagamit na mga solusyon.

Kung nakita mong kapaki-pakinabang ito, maaari mong magustuhan ang iba pang mga publikasyong mayroon kami para sa iyo sa aming portal. Araw-araw ay nagbabahagi kami ng maraming mga bagong tip, Trick, pag-troubleshoot, mga gabay sa kung paano, at marami pang artikulong nakatuon sa tulong. Maikli, detalyado, matamis at praktikal!