ERR_SSL_VERSION_OR_CIPHER_MISMATCH означает, что браузер не смог установить безопасное HTTPS-соединение с сайтом, потому что сервер использует неподдерживаемую версию SSL/TLS, неправильный набор шифров или некорректный SSL-сертификат.
Чаще всего ошибка появляется в Google Chrome, но похожие проблемы могут возникать в Edge, Firefox, Safari и мобильных браузерах. Для обычного пользователя причина может быть в старом браузере, антивирусе или кэше. Для владельца сайта — в настройках SSL, TLS, Cloudflare, Nginx, Apache или хостинга.
Quick Fix
- Проверьте сайт в другом браузере и на другом устройстве.
- Проверьте дату и время на компьютере или телефоне.
- Обновите браузер до последней версии.
- Очистите кэш браузера и SSL state.
- Отключите VPN, прокси и HTTPS scanning в антивирусе.
- Если вы владелец сайта, проверьте SSL-сертификат.
- Включите на сервере TLS 1.2 и TLS 1.3.
- Отключите старые протоколы SSLv3, TLS 1.0 и TLS 1.1.
- Проверьте настройки Cloudflare SSL/TLS, если сайт подключён через Cloudflare.
- Проверьте Nginx или Apache на неправильные SSL-директивы.
Что означает ERR_SSL_VERSION_OR_CIPHER_MISMATCH
ERR_SSL_VERSION_OR_CIPHER_MISMATCH — это ошибка SSL/TLS-соединения. Она появляется, когда браузер и сервер не могут договориться, какую версию протокола и какой набор шифров использовать для защищённого соединения.
Когда пользователь открывает сайт по HTTPS, браузер начинает SSL/TLS-handshake. В этот момент браузер и сервер согласовывают:
- версию TLS;
- набор шифров;
- SSL-сертификат;
- домен сертификата;
- алгоритмы безопасности;
- параметры защищённого соединения.
Если сервер предлагает устаревший или неподдерживаемый вариант, браузер отказывается продолжать соединение и показывает ошибку.
Как выглядит ошибка
В Chrome сообщение обычно выглядит так:
This site can’t provide a secure connection
ERR_SSL_VERSION_OR_CIPHER_MISMATCH
Также могут встречаться похожие сообщения:
Unsupported protocolSecure connection failedSSL_ERROR_NO_CYPHER_OVERLAPERR_SSL_PROTOCOL_ERRORPR_END_OF_FILE_ERRORThe client and server don't support a common SSL protocol version or cipher suite
Если ошибка появляется у всех посетителей, проблема почти точно на стороне сайта. Если только у одного пользователя — вероятнее всего, причина в устройстве, браузере, антивирусе, VPN или сети.
Основные причины ERR_SSL_VERSION_OR_CIPHER_MISMATCH
1. Сервер использует устаревший SSL/TLS
Современные браузеры больше не поддерживают старые протоколы вроде SSLv3, TLS 1.0 и TLS 1.1. Если сервер настроен только на эти версии, соединение будет заблокировано.
Для современных сайтов обычно нужно использовать:
TLS 1.2
TLS 1.3
Если сервер поддерживает только старые версии, Chrome может показать ERR_SSL_VERSION_OR_CIPHER_MISMATCH.
2. Неподдерживаемые cipher suites
Cipher suite — это набор алгоритмов, которые используются для шифрования HTTPS-соединения. Если сервер предлагает только устаревшие или слабые шифры, браузер может отказаться от подключения.
Проблема часто появляется на старых серверах, где давно не обновляли OpenSSL, Nginx, Apache или панель хостинга.
3. Неправильно установлен SSL-сертификат
Ошибка может появиться, если SSL-сертификат установлен некорректно.
Частые проблемы:
- сертификат выпущен для другого домена;
- не установлен intermediate certificate;
- сертификат истёк;
- сертификат повреждён;
- приватный ключ не совпадает с сертификатом;
- сертификат установлен только для
www, но не для основного домена; - сервер отдаёт неправильный сертификат из другого VirtualHost.
4. Ошибка в Nginx SSL-конфигурации
В Nginx ошибка часто связана с директивами ssl_protocols, ssl_ciphers, listen 443 ssl или неправильным сертификатом.
Например, проблема может быть в такой строке:
ssl_protocols SSLv3 TLSv1 TLSv1.1;
Такой вариант устарел. Современный вариант:
ssl_protocols TLSv1.2 TLSv1.3;
5. Ошибка в Apache SSL-конфигурации
В Apache ошибка может быть связана с SSLProtocol, SSLCipherSuite, SSLEngine или неправильным VirtualHost на порту 443.
Проблемная настройка:
SSLProtocol all
Лучше явно отключить старые протоколы:
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
6. Cloudflare SSL/TLS настроен неправильно
Если сайт работает через Cloudflare, ошибка может появиться из-за неправильного SSL/TLS mode или конфликта между Cloudflare и origin-сервером.
Частые причины:
- на сервере нет валидного SSL-сертификата;
- выбран режим Full (strict), но origin-сертификат недействителен;
- Cloudflare подключается к серверу по HTTPS, но порт 443 закрыт;
- сервер поддерживает только устаревшие TLS-версии;
- DNS-запись указывает на неправильный IP;
- на origin-сервере установлен сертификат для другого домена.
7. Старый браузер или старая операционная система
Если устройство очень старое, оно может не поддерживать современные TLS-версии и шифры. Тогда ошибка может появляться только у отдельных пользователей.
Это бывает на:
- старых версиях Windows;
- старых Android-устройствах;
- старых браузерах;
- старых корпоративных системах;
- встроенных браузерах в приложениях.
8. Антивирус перехватывает HTTPS
Некоторые антивирусы проверяют зашифрованный трафик. Они вставляют свой сертификат между браузером и сайтом. Если эта проверка работает неправильно, браузер может показать SSL-ошибку.
Настройка может называться:
- HTTPS scanning;
- SSL scanning;
- Encrypted connections scanning;
- Web Shield;
- Safe browsing;
- Scan secure traffic.
9. VPN, прокси или корпоративная сеть
VPN или прокси может менять маршрут соединения, фильтровать HTTPS или использовать устаревшие TLS-настройки. В корпоративных сетях HTTPS-трафик иногда проходит через внутренний фильтр, который вызывает конфликт сертификатов или шифров.
10. Неправильный DNS или старый IP
После миграции сайта домен может указывать на старый сервер, где SSL уже не работает. В таком случае владелец сайта проверяет новый сервер, а пользователи всё ещё попадают на старый IP.
Также проблема может быть в неправильной IPv6-записи AAAA. Например, A-запись ведёт на правильный сервер, а AAAA-запись — на старый сервер без SSL.
Как исправить ERR_SSL_VERSION_OR_CIPHER_MISMATCH пользователю
1. Проверьте сайт в другом браузере
Откройте сайт в Chrome, Firefox, Edge или Safari. Если ошибка появляется только в одном браузере, проблема может быть в кэше, расширениях или настройках конкретного браузера.
2. Обновите браузер
Старый браузер может не поддерживать современные TLS-настройки сайта.
В Chrome откройте:
chrome://settings/help
Установите обновление и перезапустите браузер.
3. Проверьте дату и время
Неправильная дата может ломать проверку SSL-сертификата.
Проверьте:
- дату;
- время;
- часовой пояс;
- автоматическую синхронизацию времени.
После исправления перезапустите браузер.
4. Очистите кэш браузера
В Chrome откройте:
Настройки → Конфиденциальность и безопасность → Очистить данные браузера
Выберите:
- cookies;
- кэшированные изображения и файлы;
- данные сайтов.
После очистки закройте и снова откройте браузер.
5. Очистите SSL state в Windows
На Windows можно очистить сохранённые SSL-данные.
- Откройте меню Start.
- Введите Internet Options.
- Откройте вкладку Content.
- Нажмите Clear SSL state.
- Перезапустите браузер.
6. Отключите расширения браузера
Некоторые расширения могут вмешиваться в HTTPS-соединение.
Откройте:
chrome://extensions/
Временно отключите:
- VPN-расширения;
- прокси-расширения;
- ad blockers;
- security-расширения;
- расширения для HTTPS;
- расширения для фильтрации трафика.
7. Отключите VPN или прокси
Если вы используете VPN, отключите его и попробуйте открыть сайт напрямую.
Также проверьте настройки прокси:
Windows:
Настройки → Сеть и Интернет → Прокси
macOS:
System Settings → Network → Wi-Fi → Details → Proxies
8. Временно отключите HTTPS scanning в антивирусе
Не нужно отключать весь антивирус надолго. Для проверки достаточно временно отключить именно проверку HTTPS/SSL.
Если после этого сайт открылся, проблема в антивирусной фильтрации. Обновите антивирус или измените его настройки.
9. Попробуйте другую сеть
Откройте сайт через мобильный интернет. Если через мобильную сеть сайт работает, а через Wi-Fi нет, проблема может быть в роутере, провайдере, корпоративной сети или DNS.
10. Сбросьте DNS-кэш
На Windows откройте Command Prompt и выполните:
ipconfig /flushdns
На macOS:
sudo dscacheutil -flushcache; sudo killall -HUP mDNSResponder
После этого перезапустите браузер.
Как исправить ERR_SSL_VERSION_OR_CIPHER_MISMATCH владельцу сайта
1. Проверьте SSL-сертификат
Сначала убедитесь, что сертификат установлен правильно.
Проверьте:
- срок действия сертификата;
- домен, для которого выпущен сертификат;
- поддержку
wwwи non-www версии; - полную цепочку сертификатов;
- соответствие приватного ключа сертификату;
- какой сертификат реально отдаёт сервер.
Если используется Let’s Encrypt, проверьте сертификаты:
sudo certbot certificates
2. Включите TLS 1.2 и TLS 1.3 в Nginx
Для Nginx проверьте конфигурацию сайта или общий SSL-файл.
Рекомендуемый вариант:
ssl_protocols TLSv1.2 TLSv1.3;
Пример HTTPS-блока:
server {
listen 443 ssl http2;
server_name example.com www.example.com;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
ssl_protocols TLSv1.2 TLSv1.3;
root /var/www/example.com;
index index.php index.html;
}
После изменений проверьте конфигурацию:
sudo nginx -t
Если тест успешный, примените изменения:
sudo systemctl reload nginx
3. Исправьте cipher suites в Nginx
Если в конфигурации указан слишком старый набор шифров, удалите его или замените современным вариантом.
Пример базовой настройки:
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers off;
Не копируйте случайные cipher-наборы со старых инструкций. Они могут быть устаревшими и вызывать проблемы в современных браузерах.
4. Включите TLS 1.2 и TLS 1.3 в Apache
Для Apache проверьте SSL-конфигурацию. Обычно она находится в одном из файлов:
/etc/apache2/sites-enabled//etc/apache2/mods-enabled/ssl.conf/etc/httpd/conf.d/ssl.conf
Используйте:
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
Пример VirtualHost:
<VirtualHost *:443>
ServerName example.com
ServerAlias www.example.com
DocumentRoot /var/www/example.com/public_html
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
</VirtualHost>
Проверьте конфигурацию:
sudo apachectl configtest
Если всё хорошо:
sudo systemctl reload apache2
5. Проверьте порт 443
Если порт 443 закрыт или веб-сервер его не слушает, HTTPS не будет работать корректно.
Проверьте:
sudo ss -tulpn | grep :443
Откройте порт в UFW:
sudo ufw allow 443/tcp
sudo ufw reload
Также проверьте cloud firewall или security groups в панели VPS-провайдера.
6. Проверьте Cloudflare SSL/TLS mode
Если сайт подключён через Cloudflare, откройте:
Cloudflare → SSL/TLS → Overview
Для большинства сайтов лучше использовать:
- Full — если на origin-сервере есть SSL, но он нестрогий;
- Full (strict) — если на origin-сервере валидный сертификат.
Если на сервере нет нормального SSL, Full (strict) может вызвать ошибку. Если включён Flexible и сайт сам делает HTTPS-редирект, может начаться редирект-луп или SSL-конфликт.
7. Проверьте Minimum TLS Version в Cloudflare
В Cloudflare можно задать минимальную версию TLS. Если она выставлена слишком высоко, старые браузеры не смогут открыть сайт. Если слишком низко — это хуже для безопасности.
Обычно нормальный вариант для современного сайта — TLS 1.2 как минимальный уровень.
8. Проверьте DNS-записи
Домен должен указывать на правильный сервер.
Проверьте A-запись:
dig example.com A
Проверьте www:
dig www.example.com A
Проверьте IPv6:
dig example.com AAAA
Если AAAA-запись указывает на старый сервер без SSL, часть пользователей может получать ошибку.
9. Проверьте, какой сертификат отдаёт сервер
Если на одном сервере несколько сайтов, сервер может отдавать не тот сертификат. Это часто происходит из-за неправильного server_name в Nginx или VirtualHost в Apache.
Проверьте:
- нет ли дублирующих конфигов;
- правильно ли указан домен;
- какой сайт является default server;
- нет ли старого SSL-конфига;
- не подключён ли сертификат от другого домена.
10. Перевыпустите SSL-сертификат
Если сертификат повреждён, истёк или установлен неправильно, проще перевыпустить его.
Для Nginx:
sudo certbot --nginx -d example.com -d www.example.com
Для Apache:
sudo certbot --apache -d example.com -d www.example.com
После выпуска проверьте конфигурацию и очистите кэш CDN.
ERR_SSL_VERSION_OR_CIPHER_MISMATCH в WordPress
WordPress сам по себе редко вызывает эту ошибку напрямую. Обычно причина находится на уровне SSL, хостинга, Cloudflare, Nginx или Apache.
Но в WordPress стоит проверить:
- Настройки → Общие — оба URL должны начинаться с
https://; - нет ли SSL-плагина, который конфликтует с Cloudflare;
- нет ли редиректов в
.htaccess; - не включены ли сразу несколько HTTPS-редиректов;
- очищен ли кэш сайта;
- не остались ли старые домены после миграции.
ERR_SSL_VERSION_OR_CIPHER_MISMATCH после подключения Cloudflare
Если ошибка появилась после подключения Cloudflare, проверьте такой порядок:
- DNS A-запись в Cloudflare указывает на правильный IP.
- На origin-сервере установлен SSL-сертификат.
- Порт 443 открыт на сервере.
- SSL/TLS mode стоит Full или Full (strict).
- Minimum TLS Version не выставлен слишком высоко.
- Сервер поддерживает TLS 1.2 или TLS 1.3.
- Cloudflare cache очищен.
Для быстрой проверки можно временно выключить проксирование Cloudflare, переключив оранжевое облако на серое. Если ошибка остаётся, проблема на origin-сервере. Если исчезает, проверьте настройки Cloudflare.
ERR_SSL_VERSION_OR_CIPHER_MISMATCH после миграции сайта
После переезда на новый сервер ошибка часто появляется из-за старого SSL или неправильного DNS.
Проверьте:
- A-запись домена;
- AAAA-запись;
- сертификат на новом сервере;
- HTTPS-блок в Nginx или Apache;
- порт 443;
- Cloudflare IP;
- старые редиректы;
- кэш браузера и CDN.
Advanced Troubleshooting
Проверьте версию OpenSSL
Если сервер очень старый, он может не поддерживать современные TLS-возможности.
Проверьте:
openssl version
Если система давно не обновлялась, обновите пакеты сервера. Старый OpenSSL может ограничивать доступные протоколы и шифры.
Проверьте логи Nginx или Apache
Для Nginx:
sudo tail -n 100 /var/log/nginx/error.log
Для Apache:
sudo tail -n 100 /var/log/apache2/error.log
В логах могут быть сообщения о неправильном сертификате, handshake failure, unsupported protocol, no shared cipher или проблемах с SNI.
Проверьте конфликт нескольких SSL-конфигов
На сервере может быть несколько конфигураций для одного домена.
Для Nginx:
sudo grep -R "example.com" /etc/nginx/
Для Apache:
sudo grep -R "example.com" /etc/apache2/
Если домен встречается в нескольких местах, проверьте, какой конфиг реально активен.
Проверьте default server
Если браузер получает сертификат от другого сайта, проблема может быть в default server на порту 443.
В Nginx это может выглядеть так:
listen 443 ssl default_server;
Проверьте, не отдаёт ли default server неправильный сертификат для вашего домена.
Проверьте старые TLS-настройки в панели хостинга
Если сайт на shared-хостинге, доступ к Nginx или Apache может быть закрыт. Тогда TLS-настройки управляются панелью хостинга.
Проверьте разделы:
- SSL/TLS;
- Security;
- Advanced SSL;
- Web Server Settings;
- Cloudflare;
- CDN settings.
Если настройки недоступны, обратитесь в поддержку хостинга.
Чего не стоит делать
- Не включайте SSLv3, TLS 1.0 или TLS 1.1 ради старых браузеров.
- Не отключайте HTTPS полностью на рабочем сайте без необходимости.
- Не копируйте старые cipher-наборы из устаревших инструкций.
- Не меняйте DNS, SSL, Cloudflare и серверные конфиги одновременно.
- Не оставляйте Cloudflare в режиме Flexible, если сервер уже настроен на HTTPS.
- Не удаляйте SSL-сертификаты без возможности перевыпуска.
Как предотвратить ERR_SSL_VERSION_OR_CIPHER_MISMATCH
- Используйте TLS 1.2 и TLS 1.3.
- Отключите SSLv2, SSLv3, TLS 1.0 и TLS 1.1.
- Регулярно обновляйте сервер, OpenSSL, Nginx и Apache.
- Следите за сроком действия SSL-сертификата.
- Используйте полную цепочку сертификатов.
- Проверяйте SSL после миграции сайта.
- Не держите старые SSL-конфиги в активных сайтах.
- Проверяйте Cloudflare SSL/TLS mode после подключения CDN.
- Не дублируйте HTTPS-редиректы в нескольких местах.
Когда обращаться в поддержку хостинга
Обратитесь в поддержку, если:
- у вас нет доступа к SSL/TLS-настройкам;
- вы не можете изменить Nginx или Apache;
- сертификат не устанавливается через панель;
- сайт показывает ошибку у всех пользователей;
- после включения HTTPS сайт перестал открываться;
- Cloudflare показывает SSL-ошибку;
- сервер использует старую TLS-конфигурацию;
- вы не понимаете сообщения в логах.
Перед обращением подготовьте домен, скрин ошибки, время появления проблемы, информацию о Cloudflare и данные о последнем изменении SSL или хостинга.
FAQ
Что значит ERR_SSL_VERSION_OR_CIPHER_MISMATCH?
Это значит, что браузер и сервер не смогли согласовать безопасное HTTPS-соединение. Обычно причина в устаревшей TLS-версии, неподдерживаемых шифрах, неправильном SSL-сертификате или настройках Cloudflare.
Как быстро исправить ERR_SSL_VERSION_OR_CIPHER_MISMATCH?
Пользователю стоит обновить браузер, проверить дату, очистить кэш, отключить VPN и антивирусную HTTPS-проверку. Владельцу сайта нужно проверить SSL-сертификат, TLS 1.2/1.3, порт 443, Nginx/Apache и Cloudflare.
Почему ошибка появляется только в Chrome?
Chrome может строже блокировать устаревшие TLS-версии и слабые шифры. Также проблема может быть в кэше Chrome, расширениях, SSL state или настройках безопасности браузера.
Может ли Cloudflare вызвать эту ошибку?
Да. Неправильный SSL/TLS mode, недействительный origin-сертификат, закрытый порт 443, неправильный IP или слишком жёсткая Minimum TLS Version могут вызвать ERR_SSL_VERSION_OR_CIPHER_MISMATCH.
Какие TLS-версии должны быть включены на сайте?
Для современного сайта обычно нужно использовать TLS 1.2 и TLS 1.3. Старые протоколы SSLv3, TLS 1.0 и TLS 1.1 лучше отключить.
Вывод
ERR_SSL_VERSION_OR_CIPHER_MISMATCH почти всегда связан с несовместимостью SSL/TLS между браузером и сервером. Для пользователя стоит начать с обновления браузера, проверки даты, кэша, VPN и антивируса. Для владельца сайта главный фокус — TLS 1.2/1.3, SSL-сертификат, Nginx или Apache, порт 443, DNS и Cloudflare.
Не включайте старые протоколы ради обхода ошибки. Правильное решение — обновить SSL/TLS-конфигурацию, проверить сертификат и убедиться, что сервер отдаёт современное безопасное HTTPS-соединение.
