ERR_HTTP2_INADEQUATE_TRANSPORT_SECURITY — Chrome отклонил HTTP/2 соединение потому, что TLS setup не соответствует RFC 7540 требованиям: минимум TLS 1.2, AEAD cipher (GCM, CCM, ChaCha20-Poly1305), ECDHE key exchange. Legacy ciphers (RC4, AES-CBC, 3DES) запрещены в HTTP/2. Исправление: nginx modern ssl_ciphers.
Ниже: причины, исправление, FAQ.
Бесплатный онлайн-инструмент — SSL-чекер: результат мгновенно, без регистрации.
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305;ssl_prefer_server_ciphers on; + modern configlisten 443 ssl; без http2Ошибка ERR_HTTP2_INADEQUATE_TRANSPORT_SECURITY возникает, когда сервер использует протокол HTTP/2 с недостаточной безопасностью TLS. Это может произойти, если сервер настроен на использование устаревших версий TLS (например, TLS 1.0 или 1.1) или слабых шифров, которые не соответствуют современным стандартам безопасности. Чтобы устранить эту ошибку, необходимо обновить настройки безопасности сервера и использовать только современные версии TLS (минимум TLS 1.2) с надежными шифрами.
Использование устаревших версий TLS и слабых шифров может привести к уязвимостям, которые могут быть использованы злоумышленниками. Для обеспечения надежной защиты данных следует следовать рекомендациям по настройке TLS, которые включают:
Для проверки текущих настроек можно использовать команду openssl s_client -connect example.com:443 -tls1_2, которая поможет определить, поддерживает ли сервер TLS 1.2 и какие шифры доступны.
Рассмотрим пример настройки безопасного TLS на веб-сервере Apache. Для этого откройте файл конфигурации вашего сервера (обычно это /etc/httpd/conf.d/ssl.conf или /etc/apache2/sites-available/default-ssl.conf) и добавьте или измените следующие строки:
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite HIGH:!aNULL:!MD5:!3DES
SSLHonorCipherOrder onЭти настройки отключают устаревшие версии TLS и задают порядок шифров, которые будут использоваться при соединении. После внесения изменений не забудьте перезапустить сервер с помощью команды sudo systemctl restart apache2 (или sudo systemctl restart httpd для CentOS). Проверьте, что ошибка ERR_HTTP2_INADEQUATE_TRANSPORT_SECURITY больше не возникает, используя инструменты для тестирования безопасности, такие как SSL Labs.
Код ошибки ERR_HTTP2_INADEQUATE_TRANSPORT_SECURITY указывает на то, что сервер использует протокол HTTP/2 с недостаточно безопасным TLS, что делает соединение уязвимым. Для решения данной проблемы необходимо настроить сервер на использование TLS версии 1.2 или выше, а также обеспечить поддержку современных шифров, таких как AES-GCM и ChaCha20.
Для обеспечения безопасности соединений HTTP/2 необходимо правильно настроить TLS на сервере. Ниже представлен пример конфигурации для веб-сервера Nginx, который поддерживает безопасные шифры и современную версию TLS.
server {
listen 443 ssl http2;
server_name example.com;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20';
ssl_prefer_server_ciphers on;
# Дополнительные настройки безопасности
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains";
add_header X-Content-Type-Options nosniff;
add_header X-Frame-Options DENY;
add_header X-XSS-Protection "1; mode=block";
location / {
root /var/www/html;
index index.html index.htm;
}
}В данной конфигурации указываются только современные протоколы и шифры, что позволяет избежать проблем с недостаточной безопасностью соединения. Также включены заголовки безопасности, которые помогают защитить сайт от различных атак.
Важно отметить, что использование TLS версии 1.3 обеспечивает улучшенные характеристики производительности и безопасности по сравнению с предыдущими версиями. Убедитесь, что ваш сервер поддерживает эту версию протокола и соответствующие шифры.
После внесения изменений в конфигурацию рекомендуется протестировать сервер на наличие уязвимостей с помощью инструментов, таких как SSL Labs, чтобы убедиться, что он соответствует современным стандартам безопасности. Если тестирование покажет наличие проблем, необходимо дополнительно оптимизировать конфигурацию шифров и протоколов.
SSL/TLS — протокол шифрования, который защищает данные между браузером и сервером. Наш инструмент анализирует сертификат, цепочку доверия, версию TLS и известныеуязвимости.
Издатель, срок действия, алгоритм подписи, покрываемые домены (SAN) и тип валидации (DV/OV/EV).
Проверка полной цепочки: от конечного сертификата через промежуточные до корневого CA.
Версия протокола (TLS 1.2/1.3), набор шифров, поддержка Perfect Forward Secrecy (PFS).
Создайте монитор — получайте уведомления в Telegram и email за 30/14/7 дней до истечения.
мониторинг SSL-сертификатов
аудит TLS-конфигурации
HTTPS как фактор ранжирования
доверие покупателей
www и поддомены.Strict-Transport-Security заставляет браузер всегда использовать HTTPS.Мониторинг SSL-сертификатов, история проверок и уведомления за 30 дней до истечения.
Зарегистрироваться (FREE)RFC 7540 prohibits vulnerable ciphers на protocol level. Даже если TLS принял cipher, HTTP/2 его rejects для defence-in-depth.
Похожие, через QUIC. TLS 1.3 only для QUIC.
HTTP/1.1 fallback работает для старых клиентов. Но для HTTP/2 — strict cipher requirements.
Использовать для правильного config: ssl-config.mozilla.org. Выбирайте Modern или Intermediate.
Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.