SSL 错误：此网站无法在 Chrome、Opera 和 Chromium 中提供安全连接

由于某种原因，我无法在 Windows 10 笔记本电脑上打开某些 HTTPS 网站（并非全部！）。当尝试在浏览器中打开此类网站时，会显示错误：“

This site can’t provide a secure connection

”。这些网站不会在 Google Chrome、Opera 和基于 Chromium 的浏览器中显示。如果没有 HTTPS，我只能打开其中一些页面可通过 HTTPS 和 HTTP 协议访问的页面。如果我尝试在 Google Chrome 中打开有问题的 HTTPS 网站，错误如下所示：

This site can’t provide a secure connection.
sitename.com sent an invalid response.
ERR_SSL_PROTOCOL_ERROR

或者像这样：

This site can’t provide a secure connection.
sitename.com uses an unsupported protocol.
ERR_SSL_VERSION_OR_CIPHER_MISMATCH.
The client and server don’t support a common SSL protocol version or cipher suite. This is likely to be caused when the server needs RC4, which is no longer considered secure.

或者在 Mozilla Firefox 中：

Secure Connection Failed

在基于 Opera 和 Chromium 的浏览器中，错误看起来几乎相同。如何打开这些 HTTPS 网站？

回答

您可能已经了解，该问题与您的浏览器和启用 HTTPS 的网站之间的 SSL 连接问题有关。原因可能有所不同。在这篇文章中，我尝试收集修复错误的所有方法“

This site can’t provide a secure connection, ERR_SSL_PROTOCOL_ERROR

”在流行的浏览器中。

我想指出的是，尽管 Google Chrome、Opera 和基于 Chromium 的浏览器是由不同公司发布的，但它们都使用相同的 WebKit (Chromium) 引擎，并且所有这些浏览器都以相同的方式解决打开 HTTPS 网站的问题。

首先确定不是HTTPS网站本身的问题。尝试从其他设备（智能手机、平板电脑、家庭/工作电脑等）打开。另请检查您是否可以在其他浏览器中打开有问题的网站：IE/Edge 或 Mozilla Firefox。

清除浏览器缓存、Cookie 并重置 SSL 缓存

浏览器缓存和 cookie 通常会导致 SSL 证书问题。我们建议首先清除浏览器中的缓存和 cookie。在 Chrome 中，按 Ctrl + Shift + Delete（或转到地址

chrome://settings/clearBrowserData

)，选择时间范围（所有时间）并点击清除数据。

要清除 Windows 10 或 11 中的 SSL 缓存：

1. 进入控制面板 -> Internet 选项；

2. 点击内容标签；

3. 点击清除SSL状态按钮；

4. 消息“

   The SSL cache was successfully cleared

   “ 会出现;

5. 重新启动浏览器并检查错误 ERR_SSL_PROTOCOL_ERROR 是否仍然存在。

禁用第三方浏览器扩展

我们建议禁用（删除）第三方浏览器扩展，尤其是匿名器、代理、VPN、防病毒扩展以及其他可能干扰目标网站流量的类似插件。您可以在设置 -> 更多工具 -> 扩展中查看已启用的 Chrome 扩展程序列表，或者转至

chrome://extensions/

。禁用所有可疑的扩展程序。

检查防病毒和防火墙设置

如果您的计算机上安装了防病毒软件或防火墙（通常作为模块内置于防病毒软件中），它们可能会阻止对网站的访问。要了解您的防病毒软件或防火墙是否阻止对某个站点的访问，请尝试将其暂停一段时间。

许多防病毒软件都有一个内置模块来检查网站的 SSL/TLS 证书。如果防病毒软件检测到网站使用不安全（或自签名）证书或旧版 SSL 协议版本（SSL 3.0 或 TLS 1.0），防病毒软件可能会阻止用户访问此类网站。尝试禁用 HTTP/HTTPS 流量和 SSL 证书的扫描。在不同的防病毒软件中，此选项的调用方式可能不同。例如：

• 禁用“

  Enable SSL/TLS protocol filtering

  ESET NOD32 Antivirus 中的“选项；

  

• 在 Avast 中，该选项称为“

  Enable HTTPS scanning

  ”（位于“设置”->“主动防护”->“Web Shield”->“自定义”->“主要设置”）；

  

• 内置防火墙（

  Spider Gate

  ）可以在Dr.Web防病毒软件中拦截网站；

• 在卡巴斯基安全软件中，转至设置 -> 高级 -> 网络 -> 将网站添加到排除项或选择不扫描加密连接选项。

  

检查日期和时间设置

您计算机上的日期、时间（或时区）不正确也可能导致 HTTPS 网站的安全连接错误。在身份验证过程中，您的操作系统会检查网站证书的创建日期、过期时间以及证书颁发机构的证书何时过期。

确保您设置了正确的时间和时区。如果时间不断重置，请参阅文章“Windows 重新启动后显示错误的时间”。

更新 Windows 根证书

如果您的计算机位于隔离网段、长时间未更新或禁用了自动更新，则可能没有新的受信任根证书 (TrustedRootCA)。我们建议您始终在 Windows 中安装最新的安全更新。

您可以按照“更新 Windows 中受信任的根证书列表”一文手动更新受信任的根证书。另外，建议使用 SigCheck 检查您的计算机是否存在可疑或不受信任的证书。它可以帮助防止捕获您的 HTTPS 流量和许多其他问题。

禁用 QUIC 协议支持

确保 Chrome 中启用了QUIC（快速 UDP 互联网连接）协议的支持。 QUIC 允许在连接到网站时更快地建立连接并协商所有 TLS (HTTPS) 参数。但是，在某些情况下，它可能会导致 SSL 连接出现问题。尝试禁用 QUIC：

1. 去

   chrome://flags/#enable-quic

   ;

2. 找到实验性QUIC协议选项；

3. 将其值从默认更改为禁用；

4. 重新启动 Chrome。

检查您的浏览器和 Web 服务器支持的 TLS/SSL 协议

检查您的浏览器支持哪些 TLS/SSL 协议版本和加密方法（密码套件）。为此，只需访问网页 https://clienttest.ssllabs.com:8443/ssltest/viewMyClient.html

SSL 实验室在线服务将返回您的浏览器支持的协议和密码套件的列表。在我的示例中，Chrome 仅支持 TLS 1.3 和 TLS 1.2。所有其他协议（TLS 1.1、TLS 1.0、SSL3 和 SSL 2）均被禁用。以下是支持的加密方法的列表。

密码套件（按优先顺序排列）

• TLS_AES_128_GCM_SHA256

• TLS_CHACHA20_POLY1305_SHA256

• TLS_AES_256_GCM_SHA384

• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

• TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256

• TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

• TLS_RSA_WITH_AES_128_GCM_SHA256

• TLS_RSA_WITH_AES_256_GCM_SHA384

• TLS_RSA_WITH_AES_128_CBC_SHA

• TLS_RSA_WITH_AES_256_CBC_SHA

可以使用 PowerShell 查看 Windows 中启用的密码套件的完整列表：

Get-TlsCipherSuite | Format-Table -Property CipherSuite, Name

然后检查站点支持的 TLS/SSL 协议列表。为此，请使用在线 SSL 检查器服务

https://www.ssllabs.com/ssltest/analyze.html?d=domain.com

（代替

domain.com

与您要检查的网站的地址）。

检查网站支持的所有 TLS/SSL 版本是否在您的浏览器中可用。

在此示例中，您可以看到该站点不支持 TLS 3.1、SSL 3.0 和 SSL 2.0。另外，比较密码套件列表。

如果您的浏览器不支持加密方法，您可能需要在 Windows 中启用它。

如果网站不支持客户端所需的 SSL 协议，您将看到错误“

This site cannot provide a secure connection

连接到启用 HTTPS 的网站时，会在浏览器中显示“”。

启用对旧版 TLS/SSL 协议的支持

最后一件事 — 可能启用旧版 TLS 和 SSL 协议支持就足以解决问题。大多数情况下这是最有效的，但我特意把这一项移到了文章的最后。我会解释原因。

过时的 TLS 和 SSL 协议版本被禁用不仅仅是因为开发人员想要它。正是由于存在大量漏洞，黑客可以在 HTTPS 流量中捕获您的数据，甚至对其进行修改。不经意地启用这些旧协议会影响您在 Internet 上的安全，因此除非有其他方法可以提供帮助，否则您不应该使用此方法。

在现代浏览器和操作系统上，默认情况下会禁用旧版和易受攻击的 SSL/TLS 协议（SSL 2.0、SSL 3.0 和 TLS 1.1）。目前，建议仅使用 TLS 1.2 或 TLS 1.3 进行 SSL 连接。

如果网络服务器（站点）使用比客户端（浏览器）支持的旧版本的 SSL/TLS 协议，则用户在建立安全连接时将看到错误

ERR_SSL_VERSION_OR_CIPHER_MISMATCH

。如果客户端在 TLS 握手阶段检测到该站点使用浏览器不支持的加密协议或密钥长度，则会出现此错误。上面我们展示了如何确定服务器支持的协议和密码集。

要允许在 Windows 上使用旧版本的 SSL/TLS 协议（请再次注意它是不安全的！）：

1. 打开控制面板 -> Internet选项；

2. 转到高级选项卡；

3. 启用TLS 1.0、TLS 1.1和TLS 1.2（如果没有帮助，请同时启用SSL 3.0、2.0）；

   

4. 重新启动浏览器。

如果这些方法都无法帮助消除错误“此站点无法提供安全连接”，请尝试以下操作：

• 确保文件中没有静态记录

  C:\Windows\System32\drivers\etc\host

  主机文件可用于 Windows 等，以阻止对域和网站的访问：

  Get-Content $env:SystemRoot\System32\Drivers\etc\hosts

  ;

• 尝试使用公共 DNS 服务器，例如 Google 的 DNS 服务器。在网络连接设置中，指定IP地址8.8.8.8作为首选DNS服务器地址；

• 在控制面板 -> Internet 选项中，确保 Internet 区域的安全级别为中高或中。如果选择高，您的浏览器可能会阻止某些 SSL 连接；

  

• 也许问题与站点证书有关。使用在线 SSL 检查器进行检查；

• 如果您的计算机正在使用 VPN 或在 Windows 设置中配置了代理服务器，请尝试禁用它们；

• 确保 Chrome 中启用了 TLS 1.3。转到设置部分（

  chrome://flags

  ）在地址栏中。搜索TLS 1.3选项。确保将其设置为启用或默认。如果禁用，则启用；

  

• 如果您使用的是旧操作系统版本之一（Windows XP 或 Windows 7），请安装 Mozilla Firefox 浏览器而不是 Chrome。与基于 Chromium 的引擎不同，Firefox 使用自己的 SSL/TLS 加密协议实现模块，而不是 Windows 内置的模块。