Функция SSL соединения очень важна для корректного использования сайтов, особенно для учреждений, которые активно работают с финансами. Данный протокол безопасности полностью защищает все данные передаваемые клиентом на сервер и наоборот.
Действует данное соединение по принципу шифратора, вся информация, которая подготавливается к передаче между пользователем и сервером, шифруется под определённый ключ. Этим ключом обладает только сервер и ваш обозреватель, после чего данные отправляются в защищенном виде и дешифруются в системе пользователя. Такой подход гарантирует, что ваши данные, даже если их перехватят, будут защищены. Обычно SSL сертификаты приобретают учреждения продающие услуги, товары или занимающиеся онлайн банкингом/рекламой.
Так как текущее соединение используется для обмена важной информацией, то следует особенно осторожно отнестись к работе с такими сайтами, где возникает ошибка SSL.
Также не редкость, что причина проблемы кроется вовсе не в сомнительной безопасности сайта, а в неверных настройках или сбоях работы приложений самого пользователя.
Причины возникновения ошибки SSL
Распространенная ошибка, которую устранить не удастся – это покупка сертификата для сайта у поставщика, который не обладает данными полномочиями или полное отсутствие корневого сертификата. Здесь всё зависит от владельца сайта и вы вряд ли сможете повлиять на это соединение.
Другие причины возникновения ошибки поправимы, так как вызваны неисправностью приложений установленных у вас на компьютере или сбоем системных настроек. Ключевые ошибки SSL:
Устранение ошибки SSL
Прежде всего вам следует убедиться, что проблема именно с вашей стороны, для этого следует зайти на сайт с другого браузера, лучше устройства. Если ошибка сохранилась, велика вероятность проблемы с серверной стороны.
В случае, когда проблема во всех браузерах одного устройства, а на других платформах её нет, тогда вам следует проверить антивирус и настройки даты/времени.
Настройка антивируса
Большинство таких приложений включают в себя функции защиты вашего интернет соединения от заражения со стороны недобросовестных сайтов. Для работы приложения требуется сканирование подключения, информации о сайте и передаваемых данных. Такое вмешательство браузером может быть расценено, как перехват трафика, из-за чего и возникает ошибка.
Для устранения проблемы нужно убрать сканирование SSL или HTTPS подключений в настройках антивируса. Делается это подобным образом во всех приложениях, рассмотрим на примере Avast Internet Security:
Вероятно, изменения вступят в силу после перезагрузки компьютера, но как минимум, браузер перезапустить придется.
Настройка браузера
Излишняя безопасность также может быть вредна, об этом свидетельствует данная проблема, если она кроется в браузере. Решением будет выступать понижение уровня безопасности в обозревателе. Рассмотрим на примере Google Chrome:
После всех этих действий обозреватель необходимо полностью перезапустить и снова попробовать перейти на нужный сайт, на котором наблюдалась ошибка.
Изменение настроек времени и даты
Несоответствие данной настройки также может восприниматься как потенциальная опасность и соответственно блокироваться браузером из-за наличия подозрений о сбоях в SSL.
Решается проблема довольно просто, вам просто следует правильно установить данные настройки. Рассмотрим стандартный случай:
Для случаев, когда изменение времени производится самопроизвольно и оно сбивается с определённой периодичностью, предлагаем изучить подробную статью по данной теме. Для этого перейдите по ссылке, указанной выше.
Очистка системы от вирусов
Обычно здесь замешаны вирусы, которые вызывают дополнительные рекламные баннеры в вашем браузере. Сейчас проблема распространена и набирает обороты, поэтому вам следует обратить на неё внимание. Ошибка вызывается из-за попытки вируса, просканировать сайт и добавить дополнительную рекламу.
Решается проблема легко с помощью приложения Malwarebytes Anti-Malware, которое в автоматическом режиме всё исправит. Существуют и более сложные ситуации, решение, которых описано здесь.
Также следует отметить, что ошибка SSL вовсе не приговор сайту, вы успешно можете войти на него, только на свой страх и риск. Если вы вполне доверяете ресурсу, сделать это можно нажав на ссылку «Дополнительно» после текста ошибки и выбрав «Все равно перейти на сайт». Для того, чтобы в дальнейшем на текущем сайте не возникала подобная проблема, вы можете внести сертификат в список доверенных в браузере.
Помимо всего остального, причиной возникновения ошибки может быть просто неправильная ссылка на сайт, некоторые ресурсы используют защищенное соединение для зарегистрированных пользователей и обычное для гостей. В этом случае, вам следует просто заменить https на http в адресе сайта.
Рейтинг статьи 3.3 / 5. Голосов: 6
Пока нет голосов! Будьте первым, кто оценит этот пост.
Почему возникают ошибки SSL-соединения и как их исправить?
Зачастую после установки SSL-сертификатов многие пользователи сталкиваются с ошибками, которые препятствуют корректной работе защищенного протокола HTTPS.
Предлагаем разобраться со способами устранения подобных ошибок.
Что такое SSL?
SSL (Secure Socket Layer) — это интернет-протокол для создания зашифрованного соединения между пользователем и сервером, который гарантирует безопасную передачу данных.
Когда пользователь заходит на сайт, браузер запрашивает у сервера информацию о наличии сертификата. Если сертификат установлен, сервер отвечает положительно и отправляет копию SSL-сертификата браузеру. Затем браузер проверяет сертификат, название которого должно совпадать с именем сайта, срок действия сертификата и наличие корневого сертификата, выданного центром сертификации.
Причины возникновения ошибок SSL-соединения
Когда сертификат работает корректно, адресная строка браузера выглядит примерно так:
Но при наличии ошибок она выглядит несколько иначе:
Существует множество причин возникновения таких ошибок. К числу основных можно отнести:
Давайте рассмотрим каждую из них подробнее.
Проблемы с датой и временем
Если на устройстве установлены некорректные дата и время, ошибка SSL-соединения неизбежна, ведь при проверке сертификата происходит проверка срока его действия. Современные браузеры умеют определять такую ошибку самостоятельно и выводят сообщение о неправильно установленной дате или времени.
Для исправления этой ошибки достаточно установить на устройстве актуальное время. После этого необходимо перезагрузить страницу или браузер.
Ненадежный SSL-сертификат
Иногда при переходе на сайт, защищенный протоколом HTTPS, появляется ошибка «SSL-сертификат сайта не заслуживает доверия».
Одной из причин появления такой ошибки, как и в предыдущем случае, может стать неправильное время. Однако есть и вторая причина — браузеру не удается проверить цепочку доверия сертификата, потому что не хватает корневого сертификата. Для избавления от такой ошибки необходимо скачать специальный пакет GeoTrust Primary Certification Authority, содержащий корневые сертификаты. После скачивания переходим к установке. Для этого:
После вышеперечисленных действий можно перезагрузить устройство и проверить отображение сайта в браузере.
Брандмауэр или антивирус, блокирующие сайт
Некоторые сайты блокируются брандмауэром Windows. Для проверки можно отключить брандмауэр и попробовать зайти на нужный сайт. Если SSL-сертификат начал работать корректно, значит дело в брандмауэре. В браузере Internet Explorer вы можете внести некорректно работающий сайт в список надежных и проблема исчезнет. Однако таким образом вы снизите безопасность своего устройства, так как содержимое сайта может быть небезопасным, а контроль сайта теперь отключен.
Также SSL может блокировать антивирусная программа. Попробуйте отключить в антивирусе проверку протоколов SSL и HTTPS и зайти на сайт. При необходимости добавьте сайт в список исключений антивируса.
Включенный экспериментальный протокол QUIC
QUIC — это новый экспериментальный протокол, который нужен для быстрого подключения к интернету. Основная задача протокола QUIC состоит в поддержке нескольких соединений. Вы можете отключить этот протокол в конфигурации вашего браузера.
Показываем как отключить QUIC на примере браузера Google Chrome:
Этот способ работает и в Windows и в Mac OS.
Отсутствие обновлений операционной системы
Проблемы с SSL-сертификатами могут возникать и из-за того, что на вашей операционной системе давно не устанавливались обновлений. Особенно это касается устаревших версий Windows (7, Vista, XP и более ранние). Установите последние обновления и проверьте работу SSL.
Использование SSL-сертификата версии 3.0
Некоторые сайты используют устаревший SSL-протокол версии 3.0, который не поддерживают браузеры. По крайней мере, по умолчанию. Чтобы браузер поддерживал устаревший SSL необходимо сделать следующее (на примере браузера Google Chrome):
Ошибки «Invalid CSR» при генерации сертификата из панели управления облачного провайдера
В процессе активации сертификата можно столкнуться с ошибкой «Invalid CSR». Такая ошибка возникает по следующим причинам:
При открытии сайтов в браузере иногда возникают ошибки – домен в адресной строке выделяется красным с зачеркиванием или ресурс вообще не открывается. Типовая причина скрывается в сбоях работы сертификата SSL. Исправить их может только администратор сайта, но перед обращением к нему стоит проверить собственный компьютер.
Что такое SSL
Текущие тенденции сайтостроения предполагают высокую безопасность соединения пользователя с веб-ресурсом. Это необходимо для защиты персональных данных, секретных номеров банковских карт и информации о проводимых сделках. Организуется безопасность подключением протокола шифрования Secure Sockets Layer (сокращенно SSL).
Работа сайта возможна и без SSL, но поисковые системы «не доверяют» таким ресурсам и помечают их в браузере как неблагонадежные. Поэтому лучше разобраться, как решить проблему с защитой и полноценно пользоваться протоколом HTTPS. Сертификат актуален на сайтах, где присутствует регистрация, предлагается покупка товаров или онлайн-оплата различных сервисов.
При появлении любых сомнений в исправности защиты регистрироваться на сайте или вводить ранее выданные логин и пароль не рекомендуется. Тем более не стоит осуществлять онлайн-оплату с банковских карт или электронных кошельков, ведь не исключено, что проблема возникла из-за взлома ресурса злоумышленниками.
Причины появления ошибок SSL
Существует всего две причины, почему браузер отображает ошибку сертификата SSL со стороны сервера. Первая заключается в окончании срока активации, вторая – это покупка сертификата у поставщика без достаточных полномочий для выдачи «полноценной защиты». Например, виной может быть выбор самоподписанного сертификата, лишь эмулирующего работу реального протокола.
Остальные проблемы обычно скрываются на локальном компьютере:
Чтобы выяснить настоящую причину, пользователю браузера рекомендуется проверить все перечисленные факторы. При том же заражении компьютерными вирусами возможно проявление сразу нескольких симптомов – от изменения текущего времени и блокировки антивирусом до подключения перенаправления страниц в браузере и других неприятностей.
Изредка встречаются ситуации, когда проблема возникла со стороны администратора, если он ошибся при подключении нового сертификата или забыл продлить его действие. Обычно такие неполадки устраняются быстро, потому что после активации сайт проверяется и, в случае неработоспособности сертификата, проводится повторное подключение вплоть до получения положительного результата.
Время и дата
Сертификат SSL имеет четко обозначенный срок действия с датой активации и деактивации. Такой подход отчасти дает дополнительную защиту, потому что в случае технического сбоя в системных часах компьютера сайты перестают открываться. Сброс времени обычно происходит «назад», на дату изготовления материнской платы, на что и реагирует система.
Варианты исправления ситуации:
Каждый раз после изменения времени рекомендуется ручное обновление страницы или перезапуск браузера. Такой шаг активирует повторное соединение с сервером и позволяет зайти на сайт «с нуля», но уже с правильным временем, соответствующим сроку действия сертификата SSL (после активации и до ее завершения).
Настройки антивируса и брандмауэра
Программы для защиты компьютера от вирусов и хакерских атак иногда блокируют и «полезные» соединения, например, определенные домены или сразу весь протокол HTTPS, используемый при подключении сертификата SSL. Большинство антивирусов и брандмауэров проверяют его работу, и это становится причиной блокировки сайта как «злоумышленника, пытающего украсть данные».
Варианты исправления ситуации:
Функция временного отключения имеется в любой защитной программе, даже интегрированной в операционную систему Windows. Но это не гарантирует полную деактивацию приложения. В этом случае разобраться в ситуации поможет открытие сайта на другом компьютере или запуск безопасного режима (актуально для проводного подключения к интернету).
Браузер и операционная система
Наличие проблемы с браузером проще всего определить открытием сайта на другом устройстве или в другой программе. Иногда решение заключается в банальном обновлении версии приложения до актуальной. То же относится к операционной системе, если используется интегрированный браузер вроде Edge. Пакеты обновлений для того и выпускаются, чтобы устранять неполадки в ПО.
Варианты исправления ситуации:
Остается еще один вариант – сбросить настройки браузера до состояния «по умолчанию». Способ аналогичен переустановке, но экономит время. Правда, он неэффективен, если проблема возникла из-за сбоя в одном из служебных файлов программы. Отдельное внимание стоит уделить расширению, выполняющему функции антивирусной защиты, ведь оно часто блокирует даже безопасное соединение.
Заражение компьютерными вирусами
Выдачей ошибки SSL браузер, вероятно, предупреждает о попытке его подмены, переадресации на сайт-клон или иной угрозе. В это случае рекомендуется провести полную проверку компьютера на наличие вирусов. Если присутствуют другие признаки заражения, стоит скачать парочку программ со свежими антивирусными базами (например, CureIt).
Варианты исправления ситуации:
Выполняются перечисленные действия программами типа CCleaner. Они дают прямой доступ как к автозагрузке операционной системе, так и к списку расширений установленных браузеров. Также в таких программах обычно есть функция удаления ненужных системных файлов, в которых запросто может быть тело компьютерного вируса.
Если предложенные способы устранения ошибки SSL не помогли, остается ждать, пока проблему устранит администратор, или воспользоваться любым другим тематическим сайтом с аналогичным контентом.
«Unable to communicate securely. Peer does not support high-grade encryption.»
The local system was configured to support the cipher suites permitted for domestic use. The remote system was configured to support only the cipher suites permitted for export use.
SSL_ERROR_US_ONLY_SERVER
-12287
«Unable to communicate securely. Peer requires high-grade encryption which is not supported.»
The remote system was configured to support the cipher suites permitted for domestic use. The local system was configured to support only the cipher suites permitted for export use.
SSL_ERROR_NO_CYPHER_OVERLAP
-12286
«Cannot communicate securely with peer: no common encryption algorithm(s).»
The local and remote systems share no cipher suites in common. This can be due to a misconfiguration at either end. It can be due to a server being misconfigured to use a non-RSA certificate with the RSA key exchange algorithm.
SSL_ERROR_NO_CERTIFICATE
-12285
«Unable to find the certificate or key necessary for authentication.»
This error has many potential causes; for example:
Certificate or key not found in database.
Certificate not marked trusted in database and Certificate’s issuer not marked trusted in database.
Wrong password for key database.
SSL_ERROR_BAD_CERTIFICATE
-12284
«Unable to communicate securely with peer: peers’s certificate was rejected.»
A certificate was received from the remote system and was passed to the certificate authentication callback function provided by the local application. That callback function returned SECFailure, and the bad certificate callback function either was not configured or did not choose to override the error code returned by the certificate authentication callback function.
-12283
(unused)
SSL_ERROR_BAD_CLIENT
-12282
«The server has encountered bad data from the client.»
This error code should occur only on sockets that are acting as servers. It is a generic error, used when none of the other more specific error codes defined in this file applies.
SSL_ERROR_BAD_SERVER
-12281
«The client has encountered bad data from the server.»
This error code should occur only on sockets that are acting as clients. It is a generic error, used when none of the other more specific error codes defined in this file applies.
SSL_ERROR_UNSUPPORTED_CERTIFICATE_TYPE
-12280
«Unsupported certificate type.»
The operation encountered a certificate that was not one of the well known certificate types handled by the certificate library.
SSL_ERROR_UNSUPPORTED_VERSION
-12279
«Peer using unsupported version of security protocol.»
On a client socket, this means the remote server has attempted to negotiate the use of a version of SSL that is not supported by the NSS library, probably an invalid version number. On a server socket, this means the remote client has requested the use of a version of SSL older than version 2.
-12278
(unused)
-12277
«Client authentication failed: private key in key database does not correspond to public key in certificate database.»
SSL_ERROR_BAD_CERT_DOMAIN
-12276
«Unable to communicate securely with peer: requested domain name does not match the server’s certificate.»
This error code should be returned by the certificate authentication callback function when it detects that the Common Name in the remote server’s certificate does not match the hostname sought by the local client, according to the matching rules specified for CERT_VerifyCertName.
-12275
(unused)
SSL_ERROR_SSL2_DISABLED
-12274
«Peer only supports SSL version 2, which is locally disabled.»
The remote server has asked to use SSL version 2, and SSL version 2 is disabled in the local client’s configuration.
SSL_ERROR_BAD_MAC_READ
-12273
«SSL received a record with an incorrect Message Authentication Code.»
This usually indicates that the client and server have failed to come to agreement on the set of keys used to encrypt the application data and to check message integrity. If this occurs frequently on a server, an active attack (such as the «million question» attack) may be underway against the server.
The remote system has reported that it received a message with a bad Message Authentication Code from the local system. This may indicate that an attack on that server is underway.
SSL_ERROR_BAD_CERT_ALERT
-12271
«SSL peer cannot verify your certificate.»
The remote system has received a certificate from the local system, and has rejected it for some reason.
SSL_ERROR_REVOKED_CERT_ALERT
-12270
«SSL peer rejected your certificate as revoked.»
The remote system has received a certificate from the local system, and has determined that the certificate has been revoked.
SSL_ERROR_EXPIRED_CERT_ALERT
-12269
«SSL peer rejected your certificate as expired.»
The remote system has received a certificate from the local system, and has determined that the certificate has expired.
SSL_ERROR_SSL_DISABLED
-12268
«Cannot connect: SSL is disabled.»
The local socket is configured in such a way that it cannot use any of the SSL cipher suites. Possible causes include: (a) both SSL2 and SSL3 are disabled, (b) All the individual SSL cipher suites are disabled, or (c) the socket is configured to handshake as a server, but the certificate associated with that socket is inappropriate for the Key Exchange Algorithm selected.
SSL_ERROR_FORTEZZA_PQG
-12267
«Cannot connect: SSL peer is in another FORTEZZA domain.»
The local system and the remote system are in different FORTEZZA domains. They must be in the same domain to communicate.
SSL_ERROR_UNKNOWN_CIPHER_SUITE
-12266
«An unknown SSL cipher suite has been requested.»
The application has attempted to configure SSL to use an unknown cipher suite.
SSL_ERROR_NO_CIPHERS_SUPPORTED
-12265
«No cipher suites are present and enabled in this program.»
Possible causes: (a) all cipher suites have been configured to be disabled, (b) the only cipher suites that are configured to be enabled are those that are disallowed by cipher export policy, (c) the socket is configured to handshake as a server, but the certificate associated with that socket is inappropriate for the Key Exchange Algorithm selected.
SSL_ERROR_BAD_BLOCK_PADDING
-12264
«SSL received a record with bad block padding.»
SSL was using a Block cipher, and the last block in an SSL record had incorrect padding information in it. This usually indicates that the client and server have failed to come to agreement on the set of keys used to encrypt the application data and to check message integrity. If this occurs frequently on a server, an active attack (such as the «million question» attack) may be underway against the server.
SSL_ERROR_RX_RECORD_TOO_LONG
-12263
«SSL received a record that exceeded the maximum permissible length.»
This generally indicates that the remote peer system has a flawed implementation of SSL, and is violating the SSL specification.
SSL_ERROR_TX_RECORD_TOO_LONG
-12262
«SSL attempted to send a record that exceeded the maximum permissible length.»
This error should never occur. If it does, it indicates a flaw in the NSS SSL library.
SSL_ERROR_CLOSE_NOTIFY_ALERT
-12230
«SSL peer has closed this connection.»
The local socket received an SSL3 alert record from the remote peer, reporting that the remote peer has chosen to end the connection. The receipt of this alert is an error only if it occurs while a handshake is in progress.
SSL_ERROR_PUB_KEY_SIZE_LIMIT_EXCEEDED
-12210
«SSL Server attempted to use domestic-grade public key with export cipher suite.»
On a client socket, this error reports that the remote server has failed to perform an «SSL Step down» for an export cipher. It has sent a certificate bearing a domestic-grade public key, but has not sent a ServerKeyExchange message containing an export-grade public key for the key exchange algorithm. Such a connection cannot be permitted without violating U.S. export policies. On a server socket, this indicates a failure of the local library.
SSL_ERROR_NO_SERVER_KEY_FOR_ALG
-12206
«Server has no key for the attempted key exchange algorithm.»
An SSL client has requested an SSL cipher suite that uses a Key Exchange Algorithm for which the local server has no appropriate public key. This indicates a configuration error on the local server.
SSL_ERROR_TOKEN_INSERTION_REMOVAL
-12205
«PKCS #11 token was inserted or removed while operation was in progress.»
A cryptographic operation required to complete the handshake failed because the token that was performing it was removed while the handshake was underway. Another token may also have been inserted into the same slot.
SSL_ERROR_TOKEN_SLOT_NOT_FOUND
-12204
«No PKCS#11 token could be found to do a required operation.»
A cryptographic operation required a PKCS#11 token with specific abilities, and no token could be found in any slot, including the «soft token» in the internal virtual slot, that could do the job. May indicate a server configuration error, such as having a certificate that is inappropriate for the Key Exchange Algorithm selected.
-12203
«Cannot communicate securely with peer: no common compression algorithm(s).»
-12202
«Cannot initiate another SSL handshake until current handshake is complete.»
-12201
«Received incorrect handshakes hash values from peer.»
-12200
«The certificate provided cannot be used with the selected key exchange algorithm.»
-12199
«No certificate authority is trusted for SSL client authentication.»
-12198
«Client’s SSL session ID not found in server’s session cache.»
Received a malformed (too long or short or invalid content) SSL handshake:
All the error codes in the following block indicate that the local socket received an improperly formatted SSL3 handshake message from the remote peer. This probably indicates a flaw in the remote peer’s implementation.
SSL_ERROR_RX_MALFORMED_HELLO_REQUEST
-12261
«SSL received a malformed Hello Request handshake message.»
SSL_ERROR_RX_MALFORMED_CLIENT_HELLO
-12260
«SSL received a malformed Client Hello handshake message.»
SSL_ERROR_RX_MALFORMED_SERVER_HELLO
-12259
«SSL received a malformed Server Hello handshake message.»
SSL_ERROR_RX_MALFORMED_CERTIFICATE
-12258
«SSL received a malformed Certificate handshake message.»
SSL_ERROR_RX_MALFORMED_SERVER_KEY_EXCH
-12257
«SSL received a malformed Server Key Exchange handshake message.»
SSL_ERROR_RX_MALFORMED_CERT_REQUEST
-12256
«SSL received a malformed Certificate Request handshake message.»
SSL_ERROR_RX_MALFORMED_HELLO_DONE
-12255
«SSL received a malformed Server Hello Done handshake message.»
SSL_ERROR_RX_MALFORMED_CERT_VERIFY
-12254
«SSL received a malformed Certificate Verify handshake message.»
SSL_ERROR_RX_MALFORMED_CLIENT_KEY_EXCH
-12253
«SSL received a malformed Client Key Exchange handshake message.»
SSL_ERROR_RX_MALFORMED_FINISHED
-12252
«SSL received a malformed Finished handshake message.»
Received a malformed (too long or short) SSL record:
All the error codes in the following block indicate that the local socket received an improperly formatted SSL3 record from the remote peer. This probably indicates a flaw in the remote peer’s implementation.
SSL_ERROR_RX_MALFORMED_CHANGE_CIPHER
-12251
«SSL received a malformed Change Cipher Spec record.»
SSL_ERROR_RX_MALFORMED_ALERT
-12250
«SSL received a malformed Alert record.»
SSL_ERROR_RX_MALFORMED_HANDSHAKE
-12249
«SSL received a malformed Handshake record.»
SSL_ERROR_RX_MALFORMED_APPLICATION_DATA
-12248
«SSL received a malformed Application Data record.»
Received an SSL handshake that was inappropriate for the current state:
All the error codes in the following block indicate that the local socket received an SSL3 handshake message from the remote peer at a time when it was inappropriate for the peer to have sent this message. For example, a server received a message from another server. This probably indicates a flaw in the remote peer’s implementation.
SSL_ERROR_RX_UNEXPECTED_HELLO_REQUEST
-12247
«SSL received an unexpected Hello Request handshake message.»
SSL_ERROR_RX_UNEXPECTED_CLIENT_HELLO
-12246
«SSL received an unexpected Client Hello handshake message.»
SSL_ERROR_RX_UNEXPECTED_SERVER_HELLO
-12245
«SSL received an unexpected Server Hello handshake message.»
SSL_ERROR_RX_UNEXPECTED_CERTIFICATE
-12244
«SSL received an unexpected Certificate handshake message.»
SSL_ERROR_RX_UNEXPECTED_SERVER_KEY_EXCH
-12243
«SSL received an unexpected Server Key Exchange handshake message.»
SSL_ERROR_RX_UNEXPECTED_CERT_REQUEST
-12242
«SSL received an unexpected Certificate Request handshake message.»
SSL_ERROR_RX_UNEXPECTED_HELLO_DONE
-12241
«SSL received an unexpected Server Hello Done handshake message.»
SSL_ERROR_RX_UNEXPECTED_CERT_VERIFY
-12240
«SSL received an unexpected Certificate Verify handshake message.»
SSL_ERROR_RX_UNEXPECTED_CLIENT_KEY_EXCH
-12239
«SSL received an unexpected Client Key Exchange handshake message.»
SSL_ERROR_RX_UNEXPECTED_FINISHED
-12238
«SSL received an unexpected Finished handshake message.»
Received an SSL record that was inappropriate for the current state:
All the error codes in the following block indicate that the local socket received an SSL3 record from the remote peer at a time when it was inappropriate for the peer to have sent this message. This probably indicates a flaw in the remote peer’s implementation.
SSL_ERROR_RX_UNEXPECTED_CHANGE_CIPHER
-12237
«SSL received an unexpected Change Cipher Spec record.»
SSL_ERROR_RX_UNEXPECTED_ALERT
-12236
«SSL received an unexpected Alert record.»
SSL_ERROR_RX_UNEXPECTED_HANDSHAKE
-12235
«SSL received an unexpected Handshake record.»
SSL_ERROR_RX_UNEXPECTED_APPLICATION_DATA
-12234
«SSL received an unexpected Application Data record.»
Received record/message with unknown discriminant:
All the error codes in the following block indicate that the local socket received an SSL3 record or handshake message from the remote peer that it was unable to interpret because the byte that identifies the type of record or message contained an unrecognized value. This probably indicates a flaw in the remote peer’s implementation.
SSL_ERROR_RX_UNKNOWN_RECORD_TYPE
-12233
«SSL received a record with an unknown content type.»
SSL_ERROR_RX_UNKNOWN_HANDSHAKE
-12232
«SSL received a handshake message with an unknown message type.»
SSL_ERROR_RX_UNKNOWN_ALERT
-12231
«SSL received an alert record with an unknown alert description.»
Received an alert report:
All the error codes in the following block indicate that the local socket received an SSL3 or TLS alert record from the remote peer, reporting some issue that it had with an SSL record or handshake message it received. (Some _Alert codes are listed in other blocks.)
SSL_ERROR_HANDSHAKE_UNEXPECTED_ALERT
-12229
«SSL peer was not expecting a handshake message it received.»
SSL_ERROR_DECOMPRESSION_FAILURE_ALERT
-12228
«SSL peer was unable to successfully decompress an SSL record it received.»
SSL_ERROR_HANDSHAKE_FAILURE_ALERT
-12227
«SSL peer was unable to negotiate an acceptable set of security parameters.»
SSL_ERROR_ILLEGAL_PARAMETER_ALERT
-12226
«SSL peer rejected a handshake message for unacceptable content.»
SSL_ERROR_UNSUPPORTED_CERT_ALERT
-12225
«SSL peer does not support certificates of the type it received.»
SSL_ERROR_CERTIFICATE_UNKNOWN_ALERT
-12224
«SSL peer had some unspecified issue with the certificate it received.»
SSL_ERROR_DECRYPTION_FAILED_ALERT
-12197
«Peer was unable to decrypt an SSL record it received.»
SSL_ERROR_RECORD_OVERFLOW_ALERT
-12196
«Peer received an SSL record that was longer than is permitted.»
SSL_ERROR_UNKNOWN_CA_ALERT
-12195
«Peer does not recognize and trust the CA that issued your certificate.»
SSL_ERROR_ACCESS_DENIED_ALERT
-12194
«Peer received a valid certificate, but access was denied.»
SSL_ERROR_DECODE_ERROR_ALERT
-12193
«Peer could not decode an SSL handshake message.»
SSL_ERROR_DECRYPT_ERROR_ALERT
-12192
«Peer reports failure of signature verification or key exchange.»
SSL_ERROR_EXPORT_RESTRICTION_ALERT
-12191
«Peer reports negotiation not in compliance with export regulations.»
SSL_ERROR_PROTOCOL_VERSION_ALERT
-12190
«Peer reports incompatible or unsupported protocol version.»
SSL_ERROR_INSUFFICIENT_SECURITY_ALERT
-12189
«Server requires ciphers more secure than those supported by client.»
SSL_ERROR_INTERNAL_ERROR_ALERT
-12188
«Peer reports it experienced an internal error.»
SSL_ERROR_USER_CANCELED_ALERT
-12187
«Peer user canceled handshake.»
-12186
«Peer does not permit renegotiation of SSL security parameters.»
Unspecified errors that occurred while attempting some operation:
All the error codes in the following block describe the operation that was being attempted at the time of the unspecified failure. These failures may be caused by the system running out of memory, or errors returned by PKCS#11 routines that did not provide meaningful error codes of their own. These should rarely be seen. (Certain of these error codes have more specific meanings, as described.)
SSL_ERROR_GENERATE_RANDOM_FAILURE
-12223
«SSL experienced a failure of its random number generator.»
SSL_ERROR_SIGN_HASHES_FAILURE
-12222
«Unable to digitally sign data required to verify your certificate.»
SSL_ERROR_EXTRACT_PUBLIC_KEY_FAILURE
-12221
«SSL was unable to extract the public key from the peer’s certificate.»
SSL_ERROR_SERVER_KEY_EXCHANGE_FAILURE
-12220
«Unspecified failure while processing SSL Server Key Exchange handshake.»
SSL_ERROR_CLIENT_KEY_EXCHANGE_FAILURE
-12219
«Unspecified failure while processing SSL Client Key Exchange handshake.»
SSL_ERROR_ENCRYPTION_FAILURE
-12218
«Bulk data encryption algorithm failed in selected cipher suite.»
SSL_ERROR_DECRYPTION_FAILURE
-12217
«Bulk data decryption algorithm failed in selected cipher suite.»
SSL_ERROR_MD5_DIGEST_FAILURE
-12215
«MD5 digest function failed.»
SSL_ERROR_SHA_DIGEST_FAILURE
-12214
«SHA-1 digest function failed.»
SSL_ERROR_MAC_COMPUTATION_FAILURE
-12213
«Message Authentication Code computation failed.»
SSL_ERROR_SYM_KEY_CONTEXT_FAILURE
-12212
«Failure to create Symmetric Key context.»
SSL_ERROR_SYM_KEY_UNWRAP_FAILURE
-12211
«Failure to unwrap the Symmetric key in Client Key Exchange message.»
SSL_ERROR_IV_PARAM_FAILURE
-12209
«PKCS11 code failed to translate an IV into a param.»
SSL_ERROR_INIT_CIPHER_SUITE_FAILURE
-12208
«Failed to initialize the selected cipher suite.»
SSL_ERROR_SOCKET_WRITE_FAILURE
-12216
«Attempt to write encrypted data to underlying socket failed.»
After the data to be sent was encrypted, the attempt to send it out the socket failed. Likely causes include that the peer has closed the connection.
SSL_ERROR_SESSION_KEY_GEN_FAILURE
-12207
«Failed to generate session keys for SSL session.»
On a client socket, indicates a failure of the PKCS11 key generation function. On a server socket, indicates a failure of one of the following: (a) to unwrap the pre-master secret from the ClientKeyExchange message, (b) to derive the master secret from the premaster secret, (c) to derive the MAC secrets, cryptographic keys, and initialization vectors from the master secret. If encountered repeatedly on a server socket, this can indicate that the server is actively under a «million question» attack.
SEC Error Codes
Table 8.2 Security error codes defined in secerr.h
Constant
Value
Description
-8192
An I/O error occurred during authentication; or an error occurred during crypto operation (other than signature verification).
