1. Lỗi SSL handshake failed là gì?
Lỗi SSL handshake failed hoặc Lỗi 525 có nghĩa là máy chủ và trình duyệt không thể thiết lập kết nối an toàn. Nói chung, Lỗi 525 có nghĩa là bắt tay SSL giữa miền sử dụng Cloudflare và máy chủ web gốc không thành công.
Tuy nhiên, điều quan trọng là phải hiểu rằng lỗi SSL có thể xảy ra ở phía máy khách hoặc phía máy chủ. Các nguyên nhân phổ biến gây ra lỗi SSL ở phía máy khách bao gồm:
- Ngày hoặc giờ sai trên thiết bị khách.
- Một lỗi với cấu hình trình duyệt.
- Một kết nối đang bị chặn bởi bên thứ ba.
Một số nguyên nhân phía máy chủ bao gồm:
- Một giao thức được sử dụng bởi máy khách không được máy chủ hỗ trợ.
- Certificate không đầy đủ, không hợp lệ hoặc hết hạn.
Thông thường, nếu quá trình bắt tay SSL không thành công, sự cố có thể do trang web hoặc máy chủ và cấu hình SSL của chúng xảy ra sự cố.
2. Cách Fix lỗi SSL handshake failed?
Cách 1: Cập nhật ngày giờ hệ thống của bạn
Nếu hệ thống của bạn đang sử dụng sai ngày giờ, điều đó có thể làm gián đoạn quá trình handshake SSL . Bạn cần kiểm tra lại đúng ngày và giờ cuả máy tính.
Cách 2: Kiểm tra xem Chứng chỉ SSL của bạn có hợp lệ không
Ngày hết hạn được đặt trên chứng chỉ SSL, để giúp đảm bảo thông tin xác thực của chúng vẫn chính xác. Nói chung, hiệu lực của các chứng chỉ này kéo dài trong khoảng từ sáu tháng đến hai năm.
Nếu chứng chỉ SSL bị thu hồi hoặc hết hạn, trình duyệt sẽ phát hiện ra điều này và không thể hoàn tất quá trình handshake SSL. Nếu đã hơn một năm kể từ khi bạn cài đặt chứng chỉ SSL trên trang web của mình, có lẽ đã đến lúc cấp lại chứng chỉ đó. Để xem trạng thái của chứng chỉ SSL, bạn có thể sử dụng công cụ kiểm tra chứng chỉ SSL chẳng hạn như công cụ do Qualys cung cấp:
Công cụ này đáng tin cậy và miễn phí sử dụng. Tất cả những gì bạn cần làm là nhập tên miền của mình vào trường Tên máy chủ , sau đó nhấp vào Gửi . Sau khi trình kiểm tra phân tích xong cấu hình SSL của trang web của bạn, trình kiểm tra sẽ hiển thị cho bạn một số kết quả:
Trên trang này, bạn có thể tìm hiểu xem chứng chỉ của mình có còn hiệu lực hay không và liệu nó có bị thu hồi vì bất kỳ lý do gì không.
Cách 3: Định cấu hình trình duyệt của bạn để hỗ trợ giao thức SSL/TLS mới nhất
Như chúng tôi đã đề cập trước đó, lỗi Handshake SSL thường có thể xảy ra do cấu hình sai của trình duyệt.
Cách nhanh nhất để xác định xem một trình duyệt cụ thể có phải là vấn đề hay không là thử chuyển sang một trình duyệt khác. Bạn cũng có thể thử tắt bất kỳ plugin nào và đặt lại trình duyệt của mình về cài đặt mặc định.
Một vấn đề tiềm ẩn khác liên quan đến trình duyệt là giao thức không khớp. Ví dụ: nếu máy chủ chỉ hỗ trợ TLS 1.2 nhưng trình duyệt chỉ được định cấu hình cho TLS 1.0 hoặc TLS 1.1, thì sẽ không có sẵn giao thức hỗ trợ lẫn nhau. Điều này chắc chắn sẽ dẫn đến lỗi bắt tay SSL.
Cách bạn có thể kiểm tra xem sự cố này có xảy ra hay không sẽ khác nhau tùy theo trình duyệt bạn đang sử dụng. Ví dụ: chúng ta sẽ xem quy trình này hoạt động như thế nào trong Chrome. Đầu tiên, hãy mở trình duyệt của bạn và đi tới Cài đặt > Nâng cao . Điều này sẽ mở rộng một số tùy chọn menu.
Trong phần Hệ thống , nhấp vào Mở cài đặt proxy máy tính của bạn:
Điều này sẽ mở ra một cửa sổ mới. Tiếp theo, chọn tab Nâng cao . Trong phần Bảo mật , hãy kiểm tra xem hộp bên cạnh Sử dụng TLS 1.2 có được chọn hay không. Nếu không, hãy kiểm tra tùy chọn đó:
Bạn cũng nên bỏ chọn các hộp dành cho SSL 2.0 và SSL 3.0.- Điều tương tự cũng áp dụng cho TLS 1.0 và TLS 1.1. Khi bạn hoàn tất, hãy nhấp vào nút OK và kiểm tra xem lỗi bắt tay đã được giải quyết chưa.
Cách 4: Xác minh rằng máy chủ của bạn được cấu hình đúng để hỗ trợ SNI
Cũng có thể lỗi bắt tay SSL là do cấu hình Chỉ định tên máy chủ (SNI) không đúng . SNI là thứ cho phép máy chủ web lưu trữ an toàn một số chứng chỉ TLS cho một địa chỉ IP. Mỗi trang web trên một máy chủ có chứng chỉ riêng.
Tuy nhiên, nếu máy chủ không được kích hoạt SNI, điều đó có thể dẫn đến lỗi bắt tay SSL, vì máy chủ có thể không biết xuất trình chứng chỉ nào.
Có một số cách để kiểm tra xem một trang web có yêu cầu SNI hay không. Một tùy chọn là sử dụng Kiểm tra máy chủ SSL của Qualys, mà chúng ta đã thảo luận trong phần trước. Nhập tên miền của trang web của bạn, sau đó nhấp vào nút Gửi . Trên trang kết quả, hãy tìm thông báo có nội dung “Trang web này chỉ hoạt động trong các trình duyệt có hỗ trợ SNI”:
Nếu bạn đã quen với việc sử dụng các công cụ như bộ công cụ OpenSSL và Wireshark , bạn có thể thấy phương pháp này phù hợp hơn. Bạn có thể sử dụng openssl s_clientcó và không có -servernametùy chọn:
# without SNI
$ openssl s_client -connect host:port
# use SNI
$ openssl s_client -connect host:port -servername hostNếu bạn nhận được hai chứng chỉ khác nhau có cùng tên, điều đó có nghĩa là SNI được hỗ trợ và được định cấu hình đúng cách.
Cách 5: Đảm bảo rằng suite mismatch phù hợp
Nếu bạn vẫn chưa xác định được nguyên nhân gây ra lỗi bắt tay SSL, thì có thể là do suite mismatch không khớp .
Nếu suite mismatch mà máy chủ sử dụng không hỗ trợ hoặc khớp với những gì được Cloudflare sử dụng, điều đó có thể dẫn đến lỗi “Lỗi bắt tay SSL”.
Khi cần tìm hiểu xem có bộ mật mã nào không khớp hay không, Thử nghiệm máy chủ SSL của Qualys một lần nữa chứng tỏ là một công cụ hữu ích. Khi bạn nhập tên miền của mình và nhấp vào Gửi , bạn sẽ thấy một trang phân tích tóm tắt. Bạn có thể tìm thấy thông tin mật mã trong phần Cipher Suites:
Bạn có thể sử dụng trang này để khám phá các mật mã và giao thức mà máy chủ hỗ trợ.
Ok vậy là đã xong- chúc các bạn thành công.