Как исправить предупреждение ERR_SSL_OBSOLETE_VERSION в Chrome

Одной из наиболее неприятных ошибок, с которой могут столкнуться посетители вашего сайта, является предупреждение системы безопасности. Со всеми атаками грубой силы, вредоносными программами и атаками типа «отказ в обслуживании» для пользователей Интернета критически важно безопасно просматривать и делать покупки. Если на вашем сайте отображается предупреждение ERR_SSL_OBSOLETE_VERSION, посетители не смогут получить доступ к вашему сайту, не щелкнув ссылку в ошибке, которая, по сути, говорит им, что им не следует возвращаться.

В этом посте мы обсудим, что такое предупреждение ERR_SSL_OBSOLETE_VERSION и какие шаги вы можете предпринять, чтобы исправить это. Мы также покажем вам, как протестировать эти исправления локально на двух наиболее распространенных веб-серверах — Apache и NGINX. Давайте рок-н-ролл.

Что такое предупреждение ERR_SSL_OBSOLETE_VERSION?

Предупреждение ERR_SSL_OBSOLETE_VERSION — это сообщение об ошибке, которое видят посетители вашего сайта, если ваш сертификат безопасности использует устаревшую версию, такую ​​как TLS 1.0 или 1.1. Начиная с выпуска Chrome 72 эти версии больше не поддерживаются.

Что такое TLS против SSL?

Transport Layer Security (TLS) — это протокол интернет-безопасности, который обеспечивает аутентификацию и безопасную доставку контента в Интернете. Например, он делает безопасными такие вещи, как использование кредитной карты для покупок или заполнение приложений сотрудников с конфиденциальной информацией на веб-сайтах.

Secure Socket Layers (SSL) — это устаревший метод шифрования соединения между клиентом и сервером, который был заменен новым методом TLS. Разница между TLS и SSL в наши дни на самом деле заключается только в терминологии. Большинство людей по-прежнему используют термин SSL, несмотря на то, что на самом деле используется протокол TLS.

Почему вы должны заботиться о TLS, если у вас есть SSL?

Как упоминалось ранее, технически ваш сайт все равно больше не использует SSL. Вообще говоря, в наши дни все сертификаты SSL на самом деле являются сертификатами TLS. Большинство хостинг-провайдеров по-прежнему используют термин SSL-сертификат из-за известности, которую он приносит, но используют TLS из-за его преимуществ в безопасности и скорости.

Как обновление версии TLS вашего сервера может исправить ERR_SSL_OBSOLETE_VERSION

В 2019 году Google объявил, что прекращает поддержку TLS 1.0 и 1.1 в Chrome из-за их уязвимостей в системе безопасности. С момента выпуска TLS 1.3 в 2018 году для Chrome требуется как минимум версия 1.2 для отображения веб-сайтов без предупреждения. В результате все веб-сайты, использующие предыдущие версии TLS, получают неприглядное сообщение ERR_SSL_OBSOLETE_VERSION. Использование неподдерживаемых версий TLS опасно не только для вашего сайта, но и для ваших посетителей.

Большинство основных браузеров теперь поддерживают TLS 1.3 (за исключением IE), и с 2020 года он используется по умолчанию для безопасности транспорта для Google, Youtube и Netflix, среди прочих. TLS 1.3 не только обеспечивает более высокий уровень безопасности, но и намного быстрее передает данные. Например, TLS 1.3 требует в два раза меньше времени для передачи данных из браузера вашего посетителя на ваш сервер, чем TLS 1.2. Кроме того, другие интернет-протоколы, такие как HTTPS, SMTP и POP3 (используемые для электронной почты), уже используют более новые версии TLS. Даже если вы не получаете предупреждение на своем сайте, вы должны убедиться, что на вашем сайте работает по крайней мере версия TLS 1.2. От этого зависит безопасность вашего сайта.

Как исправить ERR_SSL_OBSOLETE_VERSION в Chrome

Если вы уже видите эту ошибку в Chrome при попытке доступа к вашему веб-сайту, скорее всего, на вашем сайте используется устаревшая версия TLS. Для решения этой проблемы потребуются различные методы, которые в конечном итоге зависят от вашего конкретного хостинг-провайдера. Однако для начала лучше всего проверить, какая версия TLS работает на вашем сайте.

Как узнать, какая версия TLS работает на вашем сайте

Вы можете получить доступ к этой информации в Chrome с помощью инструментов разработчика и сочетания клавиш. Нажмите клавиши Command+Option+C (на Mac) или Control+Shift+C (в Windows и Linux). Далее нажмите на вкладку безопасность . Появится экран, на котором будет показана версия TLS, работающая на вашем сайте.

Как узнать, какая версия TLS работает на хосте/сервере вашего веб-сайта

Прежде чем связываться с вашим хостом или вносить какие-либо изменения в файлы вашего веб-хостинга, рекомендуется проверить, поддерживает ли ваш хост-сервер TLS 1.2 или 1.3. Вы можете сделать это, посетив средство проверки TLS Geekflare. Введите URL-адрес вашего хоста и нажмите «Отправить». Когда появятся результаты, прокрутите вниз, пока не увидите установленные протоколы. Ищите TLS 1.2 и 1.3. Если они поддерживаются, вы увидите да рядом с каждым.

Свяжитесь с вашим хостинг-провайдером или обновите его

После того, как вы убедились, что на вашем сайте и/или сервере используется устаревшая версия TLS, самое простое решение ошибки ERR_SSL_OBSOLETE_VERSION — обратиться к вашему хостинг-провайдеру, чтобы определить, можно ли обновить вашу версию TLS. Переключение с TLS 1.0 или 1.1 на TLS 1.2+ решит вашу проблему. Если это не вариант, пришло время начать поиск нового хостинга для вашего сайта.

Мы провели тесты нескольких ведущих хостинг-провайдеров, чтобы проверить способность их серверов работать с TLS 1.3. Siteground, WP Engine, Pressable, Flywheel, Bluehost и Cloudways поддерживают его. Итак, если вы размещаете у любого из этих провайдеров, скорее всего, вы не увидите ошибку ERR_SSL_OBSOLETE_VERSION. Тем не менее, мы должны отметить, что только потому, что хостинг-провайдер может поддерживать самую последнюю версию TLS, это не означает, что он на самом деле использует ее. Некоторые веб-хосты по-прежнему используют 1.1 по умолчанию, что не очень хорошо. Вот почему важно проверить, какая версия в настоящее время установлена ​​на вашем сайте.

Тестирование исправления ошибки ERR_SSL_OBSOLETE_VERSION на локальном сервере

Если вы хотите убедиться, что обновление версии TLS исправит ошибку ERR_SSL_OBSOLETE_VERSION для вашего веб-сайта, вы всегда можете протестировать ее на локальном сервере.

Если вы используете WordPress, ваш хостинг-провайдер, скорее всего, использует веб-серверы Apache или NGINX. В этом руководстве мы будем использовать локальный сервер и MAMP Pro для редактирования файлов SSLProtocol на Apache и NGINX, чтобы отключить TLS 1.0 и 1.1. Далее мы включим поддержку TLS 1.2 и 1.3. Если вы используете компьютер с Windows, вы можете следовать за нами, используя WAMP для выполнения той же задачи.

Мы хотели бы повторить, что вы должны уточнить у своего хоста, поддерживает ли он TLS 1.2 или 1.3. Внесение изменений в ваши SSL-протоколы без надлежащей поддержки приведет к нарушению вашего SSL-сертификата.

Как обновить версию TSL в Apache с помощью Mamp Pro

Если вы используете MAMP Pro для этого руководства, мы предполагаем, что вы уже знакомы с тем, как создать сайт WordPress и установить SSL. Если вам нужно какое-то руководство о том, как это сделать, ознакомьтесь с нашим Полным руководством по MAMP Pro для пользователей WordPress.

Как отключить TLS 1.0 и 1.1 в Apache

Чтобы отключить TLS 1.0 и 1.1 в Apache, вам необходимо отредактировать файл конфигурации, содержащий SSLProtocol для вашего веб-сервера. В зависимости от используемой вами платформы этот файл может находиться в разных местах.

В расположении Apache по умолчанию он, скорее всего, будет находиться здесь:
/usr/local/apache2/conf/extra/httpd-ssl.conf

Если вы используете сервер Ubuntu/Debian, файл, скорее всего, будет найден здесь:
/etc/apache2/mods-enabled/ssl.conf

Наконец, если вы используете локальный сервер на macOS через MAMP Pro (как мы), вы найдете файл здесь:
/mamp/conf/apache/extra/httpd-ssl.conf

Далее найдите раздел Поддержка протокола SSL , который будет состоять из нескольких строк кода. Это настройка по умолчанию для вашего файла httpd-ssl.conf:

Чтобы определить, какие протоколы включены, посмотрите на последние две строки кода.

Нам нужно будет указать Apache запускать только версии TLS 1.2 или выше. На данный момент включены все версии. Чтобы изменить это, вы измените SSLProtocol all -SSLv3 SSLProxyProtocol all -SSLv3 на следующее:

 SSLProtocol TLSv1.1 TLSv1.2

Теперь файл должен выглядеть так:

Последний шаг — перезапустить сервер. После перезагрузки сервера откройте свой сайт в окне инкогнито. Предупреждение ERR_SSL_OBSOLETE_VERSION должно исчезнуть. Откройте свой сайт и используйте инструменты разработчика, чтобы просмотреть настройки безопасности.

Как обновить версию TLS в NGINX с помощью Mamp Pro

Чтобы обновить SSLProtocol на веб-сервере NGINX, вам необходимо найти файлы конфигурации вашего сайта. Он также может быть расположен в основном файле конфигурации NGINX, как в MAMP Pro. Чтобы отредактировать файл с помощью MAMP, перейдите в mamp/conf/nginx/nginx.conf . Откройте файл в HTML/текстовом редакторе. Для этого урока мы используем BBedit, но подойдет любой редактор. Если вы не используете MAMP Pro, файл nginx.conf обычно находится в /etc/nginx/nginx.conf .

Прокрутите вниз, пока не увидите строку, начинающуюся с ssl_protocols . Если у вас включены все версии TLS, ваш файл будет выглядеть так:

Как видите, TLS 1.0, 1.1 и 1.2 включены, но поддержка 1.3 отсутствует. Чтобы изменить это, вам нужно изменить ssl_protocols TLSv1 TLSv1.1 TLSv1.2; к следующему:

ssl_protocols TLSv1.2 TLSv1.3;

Теперь файл должен выглядеть так:

Теперь ваш сервер должен использовать только TLS версий 1.2 и 1.3. Для подтверждения перезапустите сервер и откройте свой сайт в Chrome. Проверьте свои настройки с помощью инструментов инспектора разработчиков. Как упоминалось ранее, вы можете сделать это, нажав клавиши Command+Option+C (на Mac) или Control+Shift+C (в Windows и Linux), а затем щелкнув вкладку безопасности .

Мы хотели бы отметить, что настройки в вашей конфигурации по умолчанию могут быть перезаписаны блокировкой сервера отдельного домена. Если вы внедрили наше исправление и по-прежнему получаете предупреждение ERR_SSL_OBSOLETE_VERSION, это может быть основной причиной.

Подведение итогов

Поскольку проблемы безопасности растут быстрыми темпами, важно поддерживать ваш сайт в актуальном состоянии с помощью последних версий TLS. Мы знаем, что ошибки браузера могут вызывать разочарование, особенно если вы не знаете, что делать, чтобы их исправить. Вы можете подтвердить проблему, используя такие инструменты, как Chrome Dev Tools и средство проверки TLS от Geekflare. Но, к сожалению, решением проблемы является обновление версии TLS, которое можно сделать только на уровне сервера. Поэтому лучше всего связаться с вашим хостом или, при необходимости, обновить вашего хостинг-провайдера, чтобы убедиться, что он поддерживает новые версии TLS. Также может быть полезно протестировать новые версии TLS на вашем сайте локально на веб-серверах Apache и NGINX. Это поможет гарантировать, что ваши посетители не столкнутся с неприглядным предупреждением ERR_SSL_OBSOLETE_VERSION, когда вы введете эти изменения в действие.

Вы когда-нибудь сталкивались с предупреждающей ошибкой ERR_SSL_OBSOLETE_VERSION в Chrome? Если это так, выключите звук в разделе комментариев ниже.

Featured Image Валерия Козориз, Funtap / Shutterstock.com