ssllabs 显示测试结果 A+ 但 Handshake Simulation 却有 handshake_failure 错误

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

V2EX 提问指南

这是一个创建于 2903 天前的主题，其中的信息可能已经有所发展或是发生改变。

IE 8 / XP No FS 1 No SNI 2 Server sent fatal alert: handshake_failure

Chrome 49 / XP SP3 Server sent fatal alert: handshake_failure

Android 2.3.7 No SNI 2 Server sent fatal alert: handshake_failure

这种问题有遇到过吗？请教怎么解决？

6 条回复 • 2016-11-24 17:49:00 +08:00

shiji

2016-11-24 14:31:47 +08:00 via Android

我印象里这样的情况是因为设置了特殊的 cipher suite 或者禁止里无 sni 支持的客户端的访问，忽略就好了

greatonce

2016-11-24 14:48:22 +08:00

@shiji 但是 IE8 的浏览器握手失败，无法打开 https 啊，其它浏览器可以，很怪。

shiji

2016-11-24 14:52:21 +08:00 via Android

@greatonce tls1 和 1.1 打开了吗？把 Web 服务器 ssl 相关的配置贴来看看

greatonce

2016-11-24 14:55:36 +08:00

ssl on;
ssl_certificate /usr/local/nginx/conf/ssl_wildcard/ssl-bundle.crt;
ssl_certificate_key /usr/local/nginx/conf/ssl_wildcard/private.key;
ssl_prefer_server_ciphers on;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

@shiji 谢谢，上面是关于 ssl 设置部分，很奇怪 IE 下浏览器打不开，难道只支持 ssl3 ？

shiji

2016-11-24 15:52:35 +08:00

@greatonce 我的测出来也和你差不多，并不是 IE8 打不开，是 XP 系统下的 IE8 打不开。

https://www.ssllabs.com/ssltest/viewClient.html?name=IE&version=8&platform=XP&key=101

XP 系统下的 IE8 安全的 cipher suite 非常有限（ 3DES ），而且不支持 SNI

>= Win7 的 IE8 就开始支持 AES 了，并且支持 SNI 了

greatonce

2016-11-24 17:49:00 +08:00

@shiji 对， xp 系统，就怕有用户是用这个系统的