Skip to content
EN

ERR_SSL_OBSOLETE_VERSION: как починить

Коротко:

ERR_SSL_OBSOLETE_VERSION — Chrome 84+ (июль 2020) блокирует HTTPS-соединения к серверам, поддерживающим только TLS 1.0 или TLS 1.1. Причины: старая версия nginx/Apache, legacy IIS 7, embedded устройства. Исправление: включить TLS 1.2+1.3, отключить 1.0 и 1.1. Работы на 10 минут на современном сервере.

Эта ошибка блокирует HTTPS-доступ. Ниже: причины, исправление, FAQ.

Проверить SSL своего сайта →

Причины ошибки

  • nginx старее 1.13 не умеет TLS 1.3 (но 1.2 — да)
  • Apache без mod_ssl актуальной версии ограничен TLS 1.0/1.1
  • OpenSSL < 1.0.1 не умеет TLS 1.2
  • Router/firewall с legacy SSL прокси
  • IoT-устройства (камеры, принтеры) только TLS 1.0

Пошаговое исправление

  1. nginx: ssl_protocols TLSv1.2 TLSv1.3; (не указывайте TLSv1 и TLSv1.1)
  2. Apache: SSLProtocol -all +TLSv1.2 +TLSv1.3
  3. Обновите OpenSSL: apt update && apt upgrade openssl libssl-dev
  4. Убедитесь что nginx собран с новым OpenSSL: nginx -V 2>&1 | grep -i ssl
  5. После: nginx -t && systemctl reload nginx

Проверить SSL-сертификат →

Смежные SSL-ошибки

ERR_SSL_OBSOLETE_VERSION — что это такое?

Ошибка ERR_SSL_OBSOLETE_VERSION возникает, когда браузер пытается установить соединение с сервером, использующим устаревшие протоколы TLS 1.0 или TLS 1.1. С 2021 года большинство современных браузеров и серверов отключили поддержку этих версий из-за выявленных уязвимостей и недостатков безопасности. Рекомендуется использовать TLS 1.2 или выше для обеспечения безопасной передачи данных.

Причины возникновения ошибки ERR_SSL_OBSOLETE_VERSION

Ошибка ERR_SSL_OBSOLETE_VERSION может возникать по нескольким причинам:

  • Использование устаревших протоколов: Если сервер настроен на использование TLS 1.0 или 1.1, большинство современных браузеров не смогут установить с ним соединение.
  • Настройки сервера: Неправильные конфигурации сервера могут привести к тому, что он будет предлагать устаревшие версии протоколов.
  • Ограничения браузера: Браузеры, такие как Chrome и Firefox, активно отключают поддержку устаревших протоколов для защиты пользователей.

Для исправления этой ошибки необходимо обновить настройки сервера и перейти на использование TLS 1.2 или выше.

Как исправить ERR_SSL_OBSOLETE_VERSION: Пример настройки сервера

Для исправления ошибки ERR_SSL_OBSOLETE_VERSION вам необходимо изменить конфигурацию вашего веб-сервера. Рассмотрим пример настройки для сервера Nginx.

server {
    listen 443 ssl;
    server_name example.com;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256';

    # другие настройки
}

В этом примере мы указываем серверу использовать только TLS 1.2 и 1.3, а также задаем шифры, которые поддерживают эти протоколы. После внесения изменений не забудьте перезапустить сервер командой:

sudo systemctl restart nginx

После этого проверьте, что соединение теперь устанавливается без ошибок, используя инструменты, такие как curl:

curl -I https://example.com

Если всё настроено правильно, вы должны увидеть заголовки ответа без ошибок.

Что такое ошибка ERR_SSL_OBSOLETE_VERSION?

Ошибка ERR_SSL_OBSOLETE_VERSION возникает, когда клиент пытается установить соединение с сервером, использующим устаревшие версии протокола TLS 1.0 или TLS 1.1. Эти версии больше не считаются безопасными и были отключены в большинстве современных браузеров и серверов. Чтобы устранить эту ошибку, необходимо обновить конфигурацию сервера и использовать более новые версии TLS, такие как TLS 1.2 или TLS 1.3.

Проблемы безопасности, связанные с использованием устаревших версий TLS

Использование устаревших версий TLS, таких как 1.0 и 1.1, подвергает ваш сайт серьезным рискам безопасности. Эти версии имеют известные уязвимости, которые могут быть использованы злоумышленниками для перехвата данных или проведения атак типа «человек посередине». Например, уязвимость BEAST в TLS 1.0 позволяет атакующим расшифровывать данные, передаваемые между клиентом и сервером. Это делает обязательным переход на более новые версии протокола.

Кроме того, многие поисковые системы и браузеры начинают снижать рейтинг сайтов, использующих устаревшие версии TLS, что может негативно сказаться на видимости и трафике вашего ресурса. В результате, обновление протоколов безопасности не только улучшает защиту данных, но и поддерживает репутацию вашего сайта в глазах пользователей и поисковых систем.

Как проверить версию TLS на вашем сервере?

Для проверки версии TLS, используемой вашим сервером, вы можете воспользоваться следующей командой в терминале:

openssl s_client -connect yourdomain.com:443 -tls1

Замените yourdomain.com на ваш домен. Если соединение не устанавливается, значит, ваш сервер не поддерживает TLS 1.0. Аналогично, вы можете проверить TLS 1.1 и TLS 1.2, изменяя параметр -tls1 на -tls1_1 или -tls1_2.

Настройка сервера для использования современных версий TLS

Чтобы исправить ошибку ERR_SSL_OBSOLETE_VERSION, необходимо изменить настройки вашего веб-сервера. Пример настройки для Apache:

SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

Эта команда отключает устаревшие версии SSL и TLS, оставляя только современные протоколы. После внесения изменений не забудьте перезапустить сервер:

sudo systemctl restart apache2

Для Nginx конфигурация будет выглядеть следующим образом:

ssl_protocols TLSv1.2 TLSv1.3;

Также рекомендуется настроить шифры для повышения безопасности. Например, для Nginx можно использовать:

ssl_ciphers 'HIGH:!aNULL:!MD5';

После внесения всех изменений, не забудьте протестировать конфигурацию с помощью инструмента, такого как SSL Labs, чтобы убедиться, что ваш сайт правильно настроен и защищен.

СертификатСрок, издатель, домены (SAN)
ЦепочкаПроверка промежуточных и корневых CA
TLS-протоколВерсия TLS и набор шифров
УязвимостиHeartbleed, POODLE, слабые шифры

Почему нам доверяют

TLS 1.3
поддержка
Полная
цепочка CA
<2с
результат
30/14/7
дней до истечения

Как это работает

1

Введите домен

2

Проверка цепочки TLS

3

Дата истечения и уязвимости

Что проверяет SSL-тест?

SSL/TLS — протокол шифрования, который защищает данные между браузером и сервером. Наш инструмент анализирует сертификат, цепочку доверия, версию TLS и известныеуязвимости.

Детали сертификата

Издатель, срок действия, алгоритм подписи, покрываемые домены (SAN) и тип валидации (DV/OV/EV).

Цепочка доверия

Проверка полной цепочки: от конечного сертификата через промежуточные до корневого CA.

Анализ TLS

Версия протокола (TLS 1.2/1.3), набор шифров, поддержка Perfect Forward Secrecy (PFS).

Оповещения об истечении

Создайте монитор — получайте уведомления в Telegram и email за 30/14/7 дней до истечения.

DV vs OV vs EV сертификаты

DV (Domain Validation)
  • Подтверждение только владения доменом
  • Выдаётся за минуты автоматически
  • Бесплатно через Let's Encrypt
  • Подходит для большинства сайтов
  • Самый распространённый тип
OV / EV
  • Проверка организации (OV) или расширенная проверка (EV)
  • Выдаётся за 1-5 рабочих дней
  • Стоимость от $50 до $500/год
  • Для финансов, e-commerce, госсайтов
  • Повышает доверие пользователей

Кому это нужно

DevOps

мониторинг SSL-сертификатов

Безопасность

аудит TLS-конфигурации

SEO

HTTPS как фактор ранжирования

E-commerce

доверие покупателей

Частые ошибки

Истёкший сертификатБраузеры блокируют сайт с истёкшим SSL. Настройте автопродление или мониторинг.
Неполная цепочка сертификатовБез промежуточного CA некоторые браузеры и боты не смогут верифицировать сертификат.
Mixed content на HTTPS-сайтеHTTP-ресурсы на HTTPS-странице — замок в браузере пропадает, снижается доверие.
Использование TLS 1.0/1.1Устаревшие версии TLS содержат известные уязвимости. Используйте TLS 1.2+ или 1.3.
Несовпадение домена в сертификатеСертификат должен покрывать все домены сайта, включая www и поддомены.

Лучшие практики

Настройте автопродлениеLet's Encrypt + certbot с cron — сертификат обновляется автоматически каждые 60-90 дней.
Включите HSTSЗаголовок Strict-Transport-Security заставляет браузер всегда использовать HTTPS.
Используйте TLS 1.3TLS 1.3 быстрее (1-RTT handshake) и безопаснее — убраны устаревшие шифры.
Мониторьте срок действияСоздайте монитор на Enterno.io — получайте уведомления задолго до истечения.
Проверяйте цепочку после обновленияПосле обновления сертификата убедитесь, что промежуточные сертификаты установлены.

Получите больше с бесплатным аккаунтом

Мониторинг SSL-сертификатов, история проверок и уведомления за 30 дней до истечения.

Зарегистрироваться (FREE)

Больше по теме

Источники

Часто задаваемые вопросы

Какие браузеры заблокировали TLS 1.0/1.1?

Chrome 84 (июль 2020), Firefox 78 (июль 2020), Edge 84, Safari 14 (сентябрь 2020). К 2026 — все modern browsers.

Что если клиент использует старый Android (API<21)?

Android < 5.0 не умеет TLS 1.2. У вас 2 опции: держать parallel-subdomain с TLS 1.0 (ОПАСНО), либо отказаться от этих клиентов. На 2026 их <0.5% трафика.

IoT устройство не может до сервера — отключить TLS 1.2?

Нет. Лучше положить устройство в отдельный VLAN без интернета и общаться с ним изнутри через TLS 1.0, но сайт сервер — только 1.2+1.3.

Как проверить поддерживаемые TLS?

<a href="/ssl">Enterno SSL</a> или в shell: <code>openssl s_client -connect example.com:443 -tls1_2</code>.

Запустить инструмент, который описан в этой статье

Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.