SSL_ERROR_NO_CYPHER_OVERLAP в Firefox
SSL_ERROR_NO_CYPHER_OVERLAP — Firefox (аналогично ERR_SSL_VERSION_OR_CIPHER_MISMATCH в Chrome) не смог согласовать TLS cipher suite с сервером. Обе стороны имеют списки допустимых шифров, но они не пересекаются. Причины: сервер только на legacy ciphers (RC4, 3DES), Firefox удалил слабые. Fix: на сервере включить AES-GCM + ChaCha20-Poly1305.
Эта ошибка блокирует HTTPS-доступ. Ниже: причины, исправление, FAQ.
Причины ошибки
- Сервер поддерживает только 3DES / RC4 (Firefox удалил в 2020)
- Сервер только AES-CBC, Firefox предпочитает AES-GCM
- На сервере выключены cipher suites для ECDHE (PFS)
- Custom OpenSSL config запретил modern ciphers
- TLS 1.3 не настроен, TLS 1.2 cipher list слишком узкий
Пошаговое исправление
- nginx modern config:
ssl_ciphers TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256; - Apache:
SSLCipherSuite HIGH:!aNULL:!MD5:!3DES:!RC4 - Включите TLS 1.3 (
ssl_protocols TLSv1.2 TLSv1.3) - Mozilla SSL Config Generator:
ssl-config.mozilla.org - Проверьте через Enterno SSL — покажет supported ciphers
Смежные SSL-ошибки
Почему нам доверяют
Как это работает
Введите домен
Проверка цепочки TLS
Дата истечения и уязвимости
Что проверяет SSL-тест?
SSL/TLS — протокол шифрования, который защищает данные между браузером и сервером. Наш инструмент анализирует сертификат, цепочку доверия, версию TLS и известныеуязвимости.
Детали сертификата
Издатель, срок действия, алгоритм подписи, покрываемые домены (SAN) и тип валидации (DV/OV/EV).
Цепочка доверия
Проверка полной цепочки: от конечного сертификата через промежуточные до корневого CA.
Анализ TLS
Версия протокола (TLS 1.2/1.3), набор шифров, поддержка Perfect Forward Secrecy (PFS).
Оповещения об истечении
Создайте монитор — получайте уведомления в Telegram и email за 30/14/7 дней до истечения.
DV vs OV vs EV сертификаты
- Подтверждение только владения доменом
- Выдаётся за минуты автоматически
- Бесплатно через Let's Encrypt
- Подходит для большинства сайтов
- Самый распространённый тип
- Проверка организации (OV) или расширенная проверка (EV)
- Выдаётся за 1-5 рабочих дней
- Стоимость от $50 до $500/год
- Для финансов, e-commerce, госсайтов
- Повышает доверие пользователей
Кому это нужно
DevOps
мониторинг SSL-сертификатов
Безопасность
аудит TLS-конфигурации
SEO
HTTPS как фактор ранжирования
E-commerce
доверие покупателей
Частые ошибки
www и поддомены.Лучшие практики
Strict-Transport-Security заставляет браузер всегда использовать HTTPS.Получите больше с бесплатным аккаунтом
Мониторинг SSL-сертификатов, история проверок и уведомления за 30 дней до истечения.
Зарегистрироваться (FREE)Больше по теме
Гайды
Исследования
Часто задаваемые вопросы
Почему Firefox строже Chrome?
Mozilla's NSS имеет более консервативный подход. AES-CBC без SHA-256 — Firefox не принимает с 2022, Chrome ещё принимает.
На legacy-Windows клиент — работает ли?
Windows XP + Firefox — нет, SHA-1 signatures блокированы. Windows 7 + Firefox 78+ — OK для AES-GCM.
Как протестировать cipher matching?
<code>openssl s_client -connect example.com:443 -cipher ECDHE-RSA-AES128-GCM-SHA256</code>. Если error = не поддерживает.
Перехожу с 3DES на AES, потеряю ли пользователей?
Только IE 6/7 на XP. На 2026 это статистически ноль.