ERR_SSL_RENEGOTIATION_NOT_SUPPORTED — server запросил renegotiation (пересоздание keys), а client (или протокол) не поддерживает. TLS 1.3 полностью убрал renegotiation (security issue). Если сервер всё ещё инициирует — downgrade на TLS 1.2 или (лучше) убрать логику renegotiation вообще. Типично для mTLS/client-auth workflows.
Эта ошибка блокирует HTTPS-доступ. Ниже: причины, исправление, FAQ.
Бесплатный онлайн-инструмент — SSL-чекер: результат мгновенно, без регистрации.
ssl_verify_client optional_no_ca; ssl_client_certificateОшибка ERR_SSL_RENEGOTIATION_NOT_SUPPORTED возникает, когда клиент (например, браузер) пытается выполнить повторную переговорку TLS (Transport Layer Security) с сервером, но сервер не поддерживает эту функцию. Это может привести к сбоям в установлении безопасного соединения, что особенно критично для сайтов, требующих защищенной передачи данных. Для решения проблемы необходимо настроить сервер так, чтобы он поддерживал повторную переговорку, либо отключить эту функцию на клиенте.
Для того чтобы сервер поддерживал повторную переговорку TLS, необходимо внести изменения в его конфигурацию. Например, для веб-сервера Apache вы можете использовать следующие настройки:
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite HIGH:!aNULL:!MD5
SSLHonorCipherOrder on
SSLSessionCache shmcb:/var/run/ssl_gcache_data(512000)
SSLSessionCacheTimeout 300Эти команды активируют все доступные версии TLS, кроме устаревших, и настраивают шифры для повышения безопасности. Для включения повторной переговорки добавьте:
SSLInsecureRenegotiation onПосле внесения изменений не забудьте перезапустить сервер командой:
sudo systemctl restart apache2Для Nginx конфигурация будет выглядеть следующим образом:
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers 'HIGH:!aNULL:!MD5';
ssl_prefer_server_ciphers on;Для включения повторной переговорки в Nginx также потребуется добавить:
ssl_renegotiation off;После изменения конфигурации перезапустите Nginx:
sudo systemctl restart nginxОшибка ERR_SSL_RENEGOTIATION_NOT_SUPPORTED может возникать по нескольким причинам. Во-первых, это может быть связано с настройками безопасности на сервере, которые ограничивают возможность повторной переговорки. Во-вторых, некоторые браузеры могут блокировать повторные переговорки, если они определяют, что это потенциально небезопасно.
Для устранения проблемы, прежде всего, проверьте настройки вашего веб-сервера на наличие параметров, связанных с повторной переговоркой. Убедитесь, что сервер правильно настроен для поддержки необходимых версий TLS и шифров. Также проверьте, не используете ли вы устаревшие версии TLS, такие как 1.0 и 1.1, которые могут вызвать проблемы совместимости.
Если вы используете OpenSSL, вы можете проверить поддерживаемые версии TLS с помощью команды:
openssl s_client -connect example.com:443 -tls1_2Замените example.com на ваш домен. Если соединение установлено, значит, сервер поддерживает TLS 1.2. Если нет, вам нужно будет обновить настройки сервера.
Также стоит обратить внимание на клиентские настройки. Например, в Chrome можно отключить поддержку повторной переговорки через флаги:
chrome://flags в адресной строке.Однако отключение этой функции не рекомендуется, так как это может снизить уровень безопасности соединения. Лучше всего исправить настройки на стороне сервера.
Также стоит учитывать, что некоторые веб-приложения могут использовать собственные настройки TLS, которые могут конфликтовать с серверными. В таких случаях необходимо проверить документацию к используемым приложениям и убедиться, что они правильно настроены для работы с вашим сервером.
SSL/TLS — протокол шифрования, который защищает данные между браузером и сервером. Наш инструмент анализирует сертификат, цепочку доверия, версию TLS и известныеуязвимости.
Издатель, срок действия, алгоритм подписи, покрываемые домены (SAN) и тип валидации (DV/OV/EV).
Проверка полной цепочки: от конечного сертификата через промежуточные до корневого CA.
Версия протокола (TLS 1.2/1.3), набор шифров, поддержка Perfect Forward Secrecy (PFS).
Создайте монитор — получайте уведомления в Telegram и email за 30/14/7 дней до истечения.
мониторинг SSL-сертификатов
аудит TLS-конфигурации
HTTPS как фактор ранжирования
доверие покупателей
www и поддомены.Strict-Transport-Security заставляет браузер всегда использовать HTTPS.Мониторинг SSL-сертификатов, история проверок и уведомления за 30 дней до истечения.
Зарегистрироваться (FREE)Процесс во время активной TLS-сессии, когда стороны пересогласовывают keys/cipher/auth без разрыва connection. TLS 1.3 заменил на post-handshake auth.
Vulnerable к atak (CVE-2009-3555 renegotiation MITM). TLS 1.3 использует KeyUpdate и post-handshake auth — безопасная замена.
Для TLS 1.3: server отправляет CertificateRequest при handshake, client отвечает. Без renegotiation. Nginx поддерживает.
Обновите до Java 17+ (TLS 1.3 support). Или оставьте TLS 1.2 для этого endpoint + правильно настройте mTLS.
Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.