Sunucu güncellemesi sonrası bazı tarayıcılarda SSL bağlantı hatası yaşıyorum, neden olabilir?

tugce_kara28 profil fotoğrafı tugce_kara28
1

Yakın zamanda sunucumuzda kapsamlı bir işletim sistemi ve web sunucusu yazılımı güncellemesi gerçekleştirdim. Bu güncelleme ile birlikte mevcut ssl sertifikamızı da yeniledik. Ancak, bu işlemlerin ardından bazı kullanıcılarımızdan, özellikle eski nesil tarayıcılar veya belirli kurumsal ağlar üzerinden erişim sağlamaya çalışanlardan 'SSL_VERSION_OR_CIPHER_MISMATCH' hatası aldıklarına dair bildirimler gelmeye başladı. Kendi denemelerimde güncel tarayıcılarda herhangi bir sorun yaşamıyorum, ancak eski bir Firefox veya internet Explorer sürümü ile denediğimde benzer bir hatayla karşılaşıyorum. sunucu tarafında SSL/TLS yapılandırmasını kontrol ettim; TLS 1.2 ve 1.3'ü aktif tuttum, eski ve zayıf şifrelemeleri devre dışı bıraktım. Acaba bu durum, güncel güvenlik standartlarını uygularken gözden kaçırdığım bir uyumluluk sorunundan mı kaynaklanıyor? Bu tür bir durumda TLS el sıkışma hatası nedeniyle web servisime neden bağlanamıyorum? (Kaynakta belirtildiği gibi) makalesinde belirtilen durumlar dışında farklı bir yaklaşım sergilemem mi gerekiyor?

#tls
Daha fazla keşfet: SSL / HTTPS Kategorisi

Cevaplar (1)

0
volkan-eroglu-87 profil fotoğrafı volkan-eroglu-87
Kısa Cevap: sunucu güncellemesi sonrası yaşanan 'SSL_VERSION_OR_CIPHER_MISMATCH' hatası, Modern TLS/şifreleme standartlarına yükseltilmiş sunucu yapılandırmanızın, eski tarayıcılar veya istemciler tarafından desteklenmemesinden kaynaklanmaktadır. Bu bir uyumluluk sorunudur.

Sunucu güncellemesi ve ssl sertifikası yenileme işlemleri sonrasında belirli tarayıcılarda 'SSL_VERSION_OR_CIPHER_MISMATCH' hatası ile karşılaşmanız, Web servisinizin güvenlik standartlarını yükseltirken ortaya çıkan yaygın bir uyumluluk vakasıdır. Bu durum, genellikle sunucu tarafındaki TLS (Transport Layer Security) protokol ve şifreleme süiti (cipher suite) yapılandırmanızın, istemci tarafındaki (eski tarayıcılar veya kısıtlı kurumsal ağlar) desteklenen protokol ve şifreleme seçenekleriyle örtüşmemesinden kaynaklanır.

Bu tür bir durumun Teknik ve idari çözüm yolları mevcuttur. Güvenlik ve erişilebilirlik arasındaki dengeyi doğru kurarak sorunu gidermek mümkündür.

Sorunun temel analizi, sunucunuzun artık yalnızca TLS 1.2 ve 1.3 gibi modern ve güvenli protokolleri ve belirli güçlü şifreleme süitlerini desteklemesidir. Eski tarayıcılar (örneğin eski Firefox veya internet Explorer sürümleri) veya bazı kurumsal ağlar ise bu modern standartları ya hiç desteklemez ya da desteklediği şifreleme süitleri sunucunuzun kabul ettikleri arasında yer almaz. Bu durum, TLS el sıkışma (handshake) sürecinde bir anlaşmaya varılamamasına ve dolayısıyla bağlantı hatasına yol açar.

Aşağıdaki adımları uygulayarak bu sorunu çözebilirsiniz:

  1. Etkilenen İstemcileri Belirleyin: hata alan kullanıcıların kullandığı tarayıcı sürüm ve işletim sistemi bilgilerini mümkün olduğunca detaylı toplayın. Bu, sorunun kapsamını anlamanıza yardımcı olacaktır.
  2. Sunucu TLS Yapılandırmasını Gözden Geçirin: Web sunucunuzun (Apache, nginx vb.) SSL/TLS yapılandırma dosyalarını dikkatlice inceleyin. SSLProtocol veya Ssl_protocols yönergelerinin yalnızca TLSv1.2 ve TLSv1.3'ü içerdiğinden emin olun. Ayrıca, SSLCipherSuite veya Ssl_ciphers yönergelerindeki şifreleme süitlerinin listesini kontrol edin.
  3. Geçici ve Kontrollü Geriye Uyumluluk Sağlayın (risk Değerlendirmesi Yapın): Eğer eski tarayıcı desteği kritikse, çok kısıtlı ve dikkatli bir şekilde TLS 1.1'i (veya zorunlu hallerde TLS 1.0'ı) ve çok seçilmiş, görece daha az zayıf birkaç şifreleme süitini (örneğin AES256-SHA gibi) geçici olarak etkinleştirmeyi düşünebilirsiniz. Ancak bu, güvenlik riskini artıracaktır. Bu seçeneği kullanırken, yalnızca en kritik eski istemciler için gerekli olanları eklemeli ve düzenli olarak güvenlik denetimi yapmalısınız. Örneğin, Nginx için: 
    Ssl_protocols TLSv1.2 TLSv1.3; # Gerekirse TLSv1.1 ekleyebilirsiniz
ssl_ciphers 'ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256'; # Gerekirse eski şifreleri ekleyin
  4. SSL Labs Testi Yapın: Qualys SSL Labs'ın çevrimiçi SSL Sunucu Testi aracını kullanarak sunucunuzun SSL/TLS yapılandırmasını detaylı bir şekilde analiz edin. Bu araç, hangi protokol ve şifreleme süitlerinin desteklendiğini, zayıflıkları ve hangi tarayıcılarla uyumlu olup olmadığını gösterir. Bu testin sonuçları, sorunun kaynağını net bir şekilde ortaya koyacaktır.
  5. İstemci Tarafı Çözümler Önerin: Mümkünse, kullanıcılara tarayıcılarını güncellemelerini veya modern bir tarayıcı kullanmalarını tavsiye edin. Kurumsal ağlarda ise BT departmanlarına başvurmaları ve ağ proxy/güvenlik duvarı ayarlarını kontrol etmeleri gerektiğini belirtin.

Teknik Not:

TLS el sıkışması, istemci ile sunucu arasında güvenli bir bağlantı kurmak için yapılan bir dizi adımdır. İstemci, desteklediği TLS versiyonlarını ve şifreleme süitlerini sunucuya bildirir. Sunucu da kendi destekledikleri arasından en güvenli ve her iki tarafın da ortak desteklediği bir versiyon ve şifreleme süiti seçer. Eğer sunucu yalnızca modern ve güçlü seçenekleri desteklerken, istemci bu seçeneklerden hiçbirini desteklemiyorsa, ortak bir nokta bulunamaz ve el sıkışma başarısız olur. Bu durum, 'SSL_VERSION_OR_CIPHER_MISMATCH' hatasına yol açar.

İlginizi Çekebilir