어떤 이유로 내 Windows 10 랩톱에서 일부 HTTPS 웹사이트(전부는 아닙니다!)를 열 수 없었습니다. 브라우저에서 이러한 웹사이트를 열려고 하면 "This site can’t provide a secure connection
오류가 표시됩니다. ". 사이트는 Google Chrome, Opera 및 Chromium 기반 브라우저에 표시되지 않습니다. HTTPS가 없으면 HTTPS 및 HTTP 프로토콜을 통해 페이지를 사용할 수 있는 페이지 중 일부만 열 수 있습니다. Chrome에서 문제가 있는 HTTPS 웹사이트를 열려고 하면 오류가 다음과 같이 표시됩니다.
This site can’t provide a secure connection. sitename.com sent an invalid response. ERR_SSL_PROTOCOL_ERROR
또는 다음과 같이:
This site can’t provide a secure connection. sitename.com uses an unsupported protocol. ERR_SSL_VERSION_OR_CIPHER_MISMATCH. The client and server don’t support a common SSL protocol version or cipher suite. This is likely to be caused when the server needs RC4, which is no longer considered secure.
또는 Mozilla Firefox에서 :
Secure Connection Failed
Opera 및 Chromium 기반 브라우저에서 오류는 거의 동일하게 보입니다. 이러한 HTTPS 웹사이트를 어떻게 열 수 있습니까?
답변
이해하셨겠지만 이 문제는 브라우저와 HTTPS 지원 웹사이트 간의 SSL 연결 문제와 관련이 있습니다. 이유는 다를 수 있습니다. 이 글에서는 "This site can’t provide a secure connection, ERR_SSL_PROTOCOL_ERROR
오류를 수정하는 모든 방법을 수집하려고 했습니다. ” 인기 있는 브라우저에서.
Google Chrome, Opera 및 Chromium 기반 브라우저가 다른 회사에서 출시되고 있음에도 불구하고 동일한 WebKit을 사용하고 있음을 알려드립니다. (크롬 ) 엔진과 HTTPS 사이트를 여는 문제는 모두 동일한 방식으로 해결됩니다.
먼저 HTTPS 웹사이트 자체의 문제가 아닌지 확인합니다. 다른 기기(스마트폰, 태블릿, 집/회사 PC 등)에서 열어보세요. 또한 IE/Edge 또는 Mozilla Firefox와 같은 다른 브라우저에서 문제가 있는 웹사이트를 열 수 있는지 확인하십시오.
브라우저 캐시, 쿠키 지우기 및 SSL 캐시 재설정
브라우저 캐시와 쿠키는 종종 SSL 인증서 문제를 일으킵니다. 먼저 브라우저에서 캐시와 쿠키를 지우는 것이 좋습니다. Chrome에서 Ctrl + Shift + Delete를 누릅니다. (또는 주소 chrome://settings/clearBrowserData
로 이동합니다. ) , 시간 범위(전체 시간 ) 데이터 지우기를 클릭합니다. .
Windows 10 또는 11에서 SSL 캐시를 지우려면:
- 제어판으로 이동 -> 인터넷 옵션;
- 콘텐츠를 클릭합니다. 탭;
- SSL 상태 지우기 를 클릭합니다. 버튼;
- “
The SSL cache was successfully cleared
"가 나타납니다. - 브라우저를 다시 시작하고 ERR_SSL_PROTOCOL_ERROR 오류가 지속되는지 확인합니다.
타사 브라우저 확장 프로그램 비활성화
타사 브라우저 확장, 특히 익명화, 프록시, VPN, 바이러스 백신 확장 및 대상 웹사이트로의 트래픽을 방해할 수 있는 기타 유사한 추가 기능을 비활성화(삭제)하는 것이 좋습니다. 설정에서 활성화된 Chrome 확장 프로그램 목록을 볼 수 있습니다. -> 추가 도구 -> 확장 또는 chrome://extensions/
로 이동합니다. . 의심스러운 확장 프로그램을 모두 비활성화합니다.
바이러스 백신 및 방화벽 설정 확인
컴퓨터에 안티바이러스 또는 방화벽(종종 안티바이러스에 모듈로 내장됨)이 설치되어 있으면 웹사이트에 대한 액세스가 차단될 수 있습니다. 바이러스 백신 또는 방화벽이 사이트에 대한 액세스를 차단하는지 확인하려면 잠시 일시 중지해 보십시오.
많은 안티바이러스에는 웹사이트의 SSL/TLS 인증서를 확인하는 모듈이 내장되어 있습니다. 안티바이러스가 웹사이트가 안전하지 않은(또는 자체 서명된) 인증서 또는 레거시 SSL 프로토콜 버전(SSL 3.0 또는 TLS 1.0)을 사용하고 있음을 감지하면 안티바이러스가 해당 사이트에 대한 사용자의 액세스를 차단할 수 있습니다. HTTP/HTTPS 트래픽 및 SSL 인증서 검사를 비활성화해 보십시오. 다른 바이러스 백신에서 이 옵션은 다르게 호출될 수 있습니다. 예:
- "
Enable SSL/TLS protocol filtering
비활성화 ESET NOD32 Antivirus의 "옵션; - Avast에서 옵션은 "
Enable HTTPS scanning
라고 합니다. "(설정 -> 활성 보호 -> Web Shield -> 사용자 지정 -> 기본 설정에 있음); - 내장형 방화벽(
Spider Gate
) Dr.Web 바이러스 백신에서 웹사이트를 차단할 수 있습니다. - Kaspersky Internet Security Antivirus에서 설정 -> 고급 -> 네트워크 -> 제외에 웹사이트 추가로 이동하거나 암호화된 연결을 검사하지 않음을 선택합니다. 옵션.
날짜 및 시간 설정 확인
컴퓨터의 잘못된 날짜, 시간(또는 시간대)도 HTTPS 웹사이트에 대한 보안 연결 오류를 일으킬 수 있습니다. 인증하는 동안 운영 체제는 웹 사이트 인증서가 생성된 날짜, 만료 날짜 및 인증 기관 인증서 만료 날짜를 확인합니다.
올바른 시간과 시간대가 설정되어 있는지 확인하십시오. 시간이 계속 재설정되는 경우 "재부팅 후 Windows가 잘못된 시간 표시" 문서를 참조하십시오.
Windows 루트 인증서 업데이트
컴퓨터가 격리된 네트워크 세그먼트에 있거나 오랫동안 업데이트되지 않았거나 자동 업데이트가 비활성화된 경우 신뢰할 수 있는 새 루트 인증서(TrustedRootCA)가 없을 수 있습니다. 항상 Windows에 최신 보안 업데이트를 설치하는 것이 좋습니다.
"Windows에서 신뢰할 수 있는 루트 인증서 목록 업데이트" 문서에 따라 신뢰할 수 있는 루트 인증서를 수동으로 업데이트할 수 있습니다. 또한 SigCheck를 사용하여 의심스럽거나 신뢰할 수 없는 인증서가 있는지 컴퓨터를 확인하는 것이 좋습니다. HTTPS 트래픽 캡처 및 기타 여러 문제를 방지하는 데 도움이 될 수 있습니다.
QUIC 프로토콜 지원 비활성화
QUIC 지원 확인 (빠른 UDP 인터넷 연결) 프로토콜이 Chrome에서 활성화되어 있습니다. QUIC를 사용하면 웹 사이트에 연결할 때 더 빠르게 연결을 설정하고 모든 TLS(HTTPS) 매개변수를 협상할 수 있습니다. 그러나 경우에 따라 SSL 연결에 문제가 발생할 수 있습니다. QUIC 비활성화 시도:
chrome://flags/#enable-quic
로 이동;- 실험적 QUIC 프로토콜 찾기 옵션;
- 기본값에서 사용 안함으로 값 변경;
- Chrome을 다시 시작합니다.
브라우저 및 웹 서버에서 지원하는 TLS/SSL 프로토콜 확인
브라우저에서 지원하는 TLS/SSL 프로토콜 버전 및 암호화 방법(암호 제품군)을 확인하십시오. 이렇게 하려면 웹 페이지 https://clienttest.ssllabs.com:8443/ssltest/viewMyClient.html
로 이동하십시오.SSL Labs 온라인 서비스는 브라우저가 지원하는 프로토콜 및 암호 제품군 목록을 반환합니다. 내 예에서 Chrome은 TLS 1.3만 지원합니다. 및 TLS 1.2 . 다른 모든 프로토콜(TLS 1.1, TLS 1.0, SSL3 및 SSL 2)은 비활성화됩니다. 다음은 지원되는 암호화 방법 목록입니다.
암호화 모음(선호도 순)
- TLS_AES_128_GCM_SHA256
- TLS_CHACHA20_POLY1305_SHA256
- TLS_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
- TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_AES_256_CBC_SHA
Windows에서 활성화된 전체 암호 제품군 목록은 PowerShell을 사용하여 볼 수 있습니다.
Get-TlsCipherSuite | Format-Table -Property CipherSuite, Name
그런 다음 사이트에서 지원하는 TLS/SSL 프로토콜 목록을 확인합니다. 이렇게 하려면 온라인 SSL 검사기 서비스 https://www.ssllabs.com/ssltest/analyze.html?d=domain.com
를 사용하십시오. (domain.com
대체 확인하려는 사이트의 주소로).
웹사이트에서 지원하는 모든 TLS/SSL 버전이 귀하의 브라우저에서 사용 가능한지 확인하십시오.
이 예에서 사이트가 TLS 3.1, SSL 3.0 및 SSL 2.0을 지원하지 않는 것을 볼 수 있습니다. 또한 Cipher Suite 목록을 비교하십시오.
암호화 방법이 브라우저에서 지원되지 않는 경우 Windows에서 활성화해야 할 수 있습니다.
웹사이트가 클라이언트가 요구하는 SSL 프로토콜을 지원하지 않는 경우 "This site can’t provide a secure connection
" 오류가 표시됩니다. " HTTPS 지원 웹사이트에 연결할 때 브라우저에 표시됩니다.
기존 TLS/SSL 프로토콜 지원 활성화
마지막으로 문제를 해결하기 위해 레거시 TLS 및 SSL 프로토콜 지원을 활성화하는 것으로 충분할 수 있습니다. 대부분의 경우 가장 효과적이지만 이 항목을 의도적으로 기사의 끝으로 옮겼습니다. 이유를 설명하겠습니다.
오래된 TLS 및 SSL 프로토콜 버전은 개발자가 원하기 때문에 비활성화된 것이 아닙니다. 해커가 HTTPS 트래픽에서 데이터를 캡처하거나 수정할 수 있는 수많은 취약점 때문입니다. 이러한 레거시 프로토콜을 활성화하면 인터넷 보안에 무심코 영향을 미치므로 다른 방법이 도움이 되지 않는 한 이 방법을 사용해서는 안 됩니다.
최신 브라우저 및 운영 체제에서 레거시 및 취약한 SSL/TLS 프로토콜은 기본적으로 비활성화되어 있습니다(SSL 2.0, SSL 3.0 및 TLS 1.1). 현재는 TLS 1.2만 사용하는 것이 좋습니다. 또는 TLS 1.3 SSL 연결용.
웹 서버(사이트)가 클라이언트(브라우저)에서 지원하는 것보다 이전 버전의 SSL/TLS 프로토콜을 사용하는 경우 보안 연결을 설정할 때 사용자에게 오류가 표시됩니다. ERR_SSL_VERSION_OR_CIPHER_MISMATCH
. 이 오류는 TLS 핸드셰이크 단계 동안 클라이언트가 사이트에서 브라우저에서 지원하지 않는 암호화 프로토콜 또는 키 길이를 사용하는 것을 감지한 경우 나타납니다. 위에서 우리는 서버에서 지원하는 프로토콜 및 암호 세트를 결정하는 방법을 보여주었습니다.
SSL/TLS 프로토콜의 레거시 버전을 Windows에서 사용할 수 있도록 하려면(안전하지 않다는 점에 다시 주의하십시오!):
- 제어판 열기 -> 인터넷 옵션;
- 고급으로 이동 탭;
- TLS 1.0 사용 , TLS 1.1 및 TLS 1.2 (도움이 되지 않으면 SSL 3.0을 활성화하세요. , 2.0 또한);
- 브라우저를 다시 시작하세요.
이러한 방법 중 어느 것도 "이 사이트는 보안 연결을 제공할 수 없습니다" 오류를 제거하는 데 도움이 되지 않으면 다음을 시도하십시오.
C:\Windows\System32\drivers\etc\host
파일에 정적 레코드가 없는지 확인하십시오. 호스트 파일은 무엇보다도 Windows에서 도메인 및 웹 사이트에 대한 액세스를 차단하는 데 사용할 수 있습니다.Get-Content $env:SystemRoot\System32\Drivers\etc\hosts
;- Google의 DNS 서버와 같은 공개 DNS 서버를 사용해 보세요. 네트워크 연결 설정에서 IP 주소 8.8.8.8을 지정합니다. 기본 DNS 서버 주소로,
- 제어판 -> 인터넷 옵션에서 인터넷 영역의 보안 수준이 중간 높음인지 확인합니다. 또는 중간 . 높음인 경우 선택하면 일부 SSL 연결이 브라우저에 의해 차단될 수 있습니다.
- 아마도 문제는 사이트 인증서와 관련이 있습니다. 온라인 SSL 검사기를 사용하여 확인하십시오.
- 컴퓨터에서 VPN을 사용하거나 프록시 서버가 Windows 설정에서 구성된 경우 비활성화해 보세요.
- Chrome에서 TLS 1.3이 사용 설정되어 있는지 확인하세요. 설정 섹션(
chrome://flags
) 주소 표시줄에 TLS 1.3 검색 옵션. 사용으로 설정되어 있는지 확인합니다. 또는 기본값 . 비활성화된 경우 활성화합니다. - 기존 OS 버전(Windows XP 또는 Windows 7) 중 하나를 사용하는 경우 Mozilla Firefox 크롬 대신 브라우저. Chromium 기반 엔진과 달리 Firefox는 Windows에 내장된 것이 아니라 SSL/TLS 암호화 프로토콜에 자체 구현 모듈을 사용합니다.