ERR_SSL_VERSION_OR_CIPHER_MISMATCH: Cara Memperbaikinya (Semua Browser)

Apa Itu ERR_SSL_VERSION_OR_CIPHER_MISMATCH?

ERR_SSL_VERSION_OR_CIPHER_MISMATCH adalah error browser yang muncul ketika browser dan web server tidak dapat menyepakati versi protokol TLS atau cipher suite enkripsi yang sama selama SSL/TLS handshake. Browser memblokir koneksi sepenuhnya karena tidak ada saluran aman yang dapat dibuat.

Setiap koneksi HTTPS dimulai dengan TLS handshake. Selama handshake ini, browser mengirimkan daftar versi TLS dan cipher suite yang didukungnya (disebut ClientHello). Server memilih salah satu yang juga didukungnya dan merespons (ServerHello). Jika tidak ada kecocokan sama sekali — server hanya menawarkan protokol atau cipher yang sudah dihentikan atau tidak dikenali oleh browser — handshake langsung gagal dengan error ini.

Kode error Chromium yang mendasarinya adalah net::ERR_SSL_VERSION_OR_CIPHER_MISMATCH. Di Firefox, kegagalan yang sama muncul sebagai SSL_ERROR_NO_CYPHER_OVERLAP. Keduanya memiliki arti yang sama: klien dan server tidak memiliki kesamaan untuk membuat koneksi yang aman.

Tampilan Error di Setiap Browser

Browser yang berbeda menampilkan pesan error yang berbeda untuk kegagalan negosiasi TLS yang sama. Pesan error lengkap di Chrome berbunyi: "This site can't provide a secure connection. [domain] uses an unsupported protocol."

Apa Penyebab ERR_SSL_VERSION_OR_CIPHER_MISMATCH?

Error ini memiliki penyebab dari sisi server maupun sisi klien. Jika error muncul di satu website tertentu, masalahnya hampir pasti ada di server. Jika muncul di banyak website, ada sesuatu di perangkat atau jaringan Anda yang mengganggu.

• Server menggunakan TLS 1.0 atau TLS 1.1 yang sudah usang — Chrome, Edge, Firefox, dan Safari semuanya menghentikan dukungan untuk TLS 1.0 dan 1.1 pada tahun 2020. Jika server hanya menawarkan protokol lama ini, browser modern menolak untuk terhubung. Ini adalah penyebab #1 dari sisi server.

• Cipher suite yang lemah atau usang — Cipher suite seperti RC4 (dihapus dari Chrome 48 pada tahun 2016), 3DES, dan cipher export-grade diblokir oleh semua browser modern. Jika server hanya menawarkan ini, handshake akan gagal.

• Sertifikat ditandatangani dengan SHA-1 — Browser berhenti mempercayai sertifikat SHA-1 pada tahun 2017. Jika sertifikat Anda menggunakan SHA-1 alih-alih SHA-256, sertifikat tersebut akan ditolak.

• Sertifikat SSL kedaluwarsa — Sertifikat yang kedaluwarsa dapat memicu error ini di beberapa browser alih-alih error ERR_CERT_DATE_INVALID yang lebih umum, terutama ketika dikombinasikan dengan kesalahan konfigurasi lainnya.

• Ketidakcocokan nama sertifikat — Sertifikat SSL diterbitkan untuk example.com tetapi situs diakses di www.example.com (atau subdomain yang tidak tercakup dalam sertifikat).

• Rantai sertifikat tidak lengkap — Sertifikat intermediate yang hilang mencegah browser memverifikasi rantai kepercayaan. Pelajari lebih lanjut di panduan rantai sertifikat SSL kami.

• Kesalahan konfigurasi Cloudflare/CDN — Jika situs Anda menggunakan Cloudflare, sertifikat SSL mungkin belum aktif (membutuhkan waktu hingga 24 jam), record DNS mungkin diatur ke DNS-only alih-alih Proxied, atau subdomain multi-level tidak tercakup oleh sertifikat Universal.

• Sistem operasi lama — Windows XP, Android 4.x, dan versi OS lawas lainnya tidak mendukung TLS 1.2 atau cipher suite modern, sehingga tidak dapat terhubung ke server yang membutuhkannya.

• Pemindaian HTTPS antivirus — Perangkat lunak keamanan seperti Avast, Kaspersky, atau Bitdefender menyadap koneksi HTTPS dengan sertifikat mereka sendiri, yang dapat menyebabkan ketidakcocokan cipher.

• Browser atau perangkat perlu diperbarui — Versi browser yang sangat lama mungkin tidak mendukung cipher suite yang dibutuhkan server.

Cara Memperbaiki ERR_SSL_VERSION_OR_CIPHER_MISMATCH (Untuk Pengguna)

Jika Anda melihat error ini saat browsing, website kemungkinan memiliki masalah SSL di sisi server. Namun, ada beberapa hal yang bisa Anda coba terlebih dahulu dari sisi Anda. Jika error hanya muncul di satu situs, langsung ke perbaikan untuk pemilik website — masalahnya ada di server mereka. Jika muncul di banyak situs, coba perbaikan pengguna berikut.

Perbaikan 1: Bersihkan Status SSL (Windows)

Windows menyimpan cache sertifikat SSL dan data sesi secara terpisah dari browser. Entri yang usang atau rusak di cache tingkat sistem ini dapat menyebabkan error cipher mismatch yang terus-menerus muncul bahkan setelah membersihkan cache browser.

Buka Start menu dan cari Internet Options (atau tekan Win+R dan ketik inetcpl.cpl). Buka tab Content dan klik Clear SSL state. Klik OK dan restart browser Anda.

Perbaikan 2: Bersihkan Cache dan Cookie Browser

Kebijakan HSTS (HTTP Strict Transport Security) yang tersimpan di cache atau tiket sesi SSL yang lama dapat memaksa browser Anda mencoba koneksi dengan parameter yang sudah ketinggalan zaman.

• Chrome/Edge: Tekan Ctrl+Shift+Delete → atur ke All time → centang Cached images and files dan Cookies → klik Clear data

• Firefox: Tekan Ctrl+Shift+Delete → atur ke Everything → centang Cache dan Cookies → klik Clear Now

• Safari: Menu Safari → Settings → Privacy → Manage Website Data → Remove All

Untuk satu domain tertentu, Anda juga bisa membersihkan entri HSTS-nya di Chrome: buka chrome://net-internals/#hsts → di bagian "Delete domain security policies" → masukkan domain → klik Delete.

Perbaikan 3: Nonaktifkan Protokol QUIC

Protokol QUIC Chrome (HTTP/3 melalui UDP) terkadang dapat mengganggu negosiasi TLS pada server yang tidak mendukungnya dengan baik, atau ketika perangkat jaringan memblokir UDP di port 443.

• Langkah 1: Ketik chrome://flags/#enable-quic di address bar

• Langkah 2: Atur Experimental QUIC protocol ke Disabled

• Langkah 3: Klik Relaunch untuk memulai ulang Chrome

Jika error hilang, masalahnya adalah konflik QUIC/HTTP/3. Anda dapat membiarkan QUIC tetap nonaktif — halaman akan dimuat melalui HTTPS standar (HTTP/2 melalui TCP) tanpa perbedaan yang terlihat.

Perbaikan 4: Perbarui Browser dan Sistem Operasi Anda

Browser dan sistem operasi yang lebih lama mungkin tidak mendukung versi TLS atau cipher suite yang dibutuhkan oleh website modern. Ini adalah penyebab umum pada sistem lawas.

Perbarui Chrome di chrome://settings/help. Perbarui Edge di edge://settings/help. Untuk sistem operasi Anda, pastikan Anda menjalankan setidaknya Windows 10, macOS 10.15, atau distribusi Linux terbaru. Windows XP dan Windows Vista tidak mendukung TLS 1.2 secara native dan akan mengalami error ini di hampir setiap website modern.

Perbaikan 5: Nonaktifkan Pemindaian HTTPS Antivirus

Program antivirus yang memindai lalu lintas HTTPS (Avast, Kaspersky, Bitdefender, ESET, Norton) bertindak sebagai proxy man-in-the-middle — mereka menyadap TLS handshake dan menyajikan sertifikat mereka sendiri ke browser. Ini dapat menyebabkan ketidakcocokan cipher ketika antivirus tidak mendukung cipher yang sama dengan server asli.

Cari pengaturan bernama HTTPS Scanning, SSL Scanning, Web Shield, atau Encrypted Connection Scanning di antivirus Anda dan nonaktifkan sementara. Jika error teratasi, tambahkan domain yang bermasalah ke daftar pengecualian antivirus daripada menonaktifkan fitur tersebut sepenuhnya.

Perbaikan 6: Coba Mode Incognito / Private

Mode incognito menggunakan kondisi browser yang bersih tanpa data cache, cookie, atau ekstensi. Jika website dapat dimuat di mode incognito tetapi tidak di mode normal, ekstensi browser, data cache, atau profil yang rusak menyebabkan error tersebut.

Buka incognito dengan Ctrl+Shift+N (Chrome/Edge) atau Ctrl+Shift+P (Firefox). Jika situs berhasil dimuat, kembali dan bersihkan cache Anda (Perbaikan 2) atau nonaktifkan ekstensi satu per satu untuk menemukan penyebabnya.

Perbaikan 7: Nonaktifkan VPN atau Proxy

VPN dan proxy HTTP berada di antara browser dan web server Anda. Beberapa VPN melakukan inspeksi SSL atau merutekan koneksi melalui server dengan dukungan cipher yang terbatas. Proxy perusahaan sering menggunakan intersepsi SSL yang dapat memicu ketidakcocokan cipher.

Putuskan sementara koneksi VPN Anda dan coba memuat website secara langsung. Jika berhasil tanpa VPN, coba beralih ke lokasi server VPN yang berbeda atau hubungi penyedia VPN Anda mengenai kompatibilitas TLS mereka.

Cara Memperbaiki ERR_SSL_VERSION_OR_CIPHER_MISMATCH (Untuk Pemilik Website)

Jika pengguna melaporkan error ini di website Anda, masalahnya ada di konfigurasi SSL/TLS server Anda. Perbaikan di bawah ini mengatasi akar penyebabnya — mulai dari masalah sertifikat hingga pengaturan protokol dan cipher.

Perbaikan 1: Periksa Sertifikat SSL Anda

Mulai dengan memverifikasi bahwa sertifikat SSL Anda valid, belum kedaluwarsa, dan mencakup domain yang benar. Gunakan SSL Checker DNS Robot untuk memindai status sertifikat, tanggal kedaluwarsa, penerbit, dan kelengkapan rantai secara instan.

Masalah sertifikat umum yang menyebabkan error ini:

• Sertifikat kedaluwarsa — Sertifikat Let's Encrypt kedaluwarsa setiap 90 hari. Jika pembaruan otomatis gagal, sertifikat Anda kedaluwarsa tanpa pemberitahuan dan browser menolak untuk terhubung.

• Domain salah — Sertifikat mencakup example.com tetapi situs diakses di www.example.com atau subdomain. Sertifikat harus cocok dengan domain yang tepat atau menyertakan wildcard (*.example.com).

• Sertifikat SHA-1 — Semua browser utama menolak sertifikat SHA-1 pada tahun 2017. Jika sertifikat Anda masih menggunakan SHA-1, terbitkan ulang dengan SHA-256.

• Sertifikat self-signed — Hanya dipercaya di lingkungan pengembangan. Situs produksi memerlukan sertifikat dari Certificate Authority yang diakui.

# Check certificate details from command line
openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -dates -subject -issuer -fingerprint -sha256

# Check which TLS versions the server supports
nmap --script ssl-enum-ciphers -p 443 yourdomain.com

# Renew Let's Encrypt certificate
sudo certbot renew --force-renewal

Perbaikan 2: Aktifkan TLS 1.2 dan TLS 1.3

Semua browser modern memerlukan setidaknya TLS 1.2. Jika server Anda hanya menawarkan TLS 1.0 atau 1.1, browser akan menampilkan ERR_SSL_VERSION_OR_CIPHER_MISMATCH. Aktifkan TLS 1.2 dan TLS 1.3 — nonaktifkan semua yang lebih lama.

# Nginx — in nginx.conf or site config
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;

# Apache — in httpd.conf or ssl.conf
SSLProtocol -all +TLSv1.2 +TLSv1.3
SSLHonorCipherOrder on

# After changing, restart your web server:
sudo systemctl restart nginx    # or apache2

Setelah memperbarui, uji dengan SSL Checker DNS Robot atau Qualys SSL Labs untuk memverifikasi bahwa hanya TLS 1.2 dan 1.3 yang aktif.

Perbaikan 3: Perbarui Cipher Suite Anda

Meskipun TLS 1.2 sudah diaktifkan, menggunakan cipher suite yang usang menyebabkan error yang sama. Browser memblokir RC4 (sejak 2016), 3DES, cipher export-grade, dan cipher NULL. Server Anda harus menawarkan cipher AEAD modern seperti AES-GCM atau ChaCha20-Poly1305.

# Nginx — modern cipher configuration
ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305';
ssl_prefer_server_ciphers off;  # Let client choose (TLS 1.3 best practice)

# Apache — modern cipher configuration
SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384
SSLHonorCipherOrder off

Perbaikan 4: Pasang Rantai Sertifikat yang Lengkap

Rantai sertifikat yang tidak lengkap — di mana server mengirimkan sertifikatnya sendiri tetapi tidak menyertakan sertifikat intermediate — dapat memicu ERR_SSL_VERSION_OR_CIPHER_MISMATCH di beberapa browser dan perangkat. Server harus mengirimkan rantai lengkap dari sertifikat leaf hingga intermediate CA.

Untuk Let's Encrypt, selalu gunakan fullchain.pem (bukan cert.pem). Untuk CA lain, unduh sertifikat intermediate dari dokumentasi CA Anda dan gabungkan dengan sertifikat Anda.

# Nginx — use fullchain, not just cert
ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem;

# Apache
SSLCertificateFile /etc/letsencrypt/live/yourdomain.com/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/yourdomain.com/privkey.pem

# Verify chain is complete
openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | grep -E "(depth|verify|Certificate chain)"

Perbaikan 5: Perbaiki Ketidakcocokan Nama Sertifikat

Jika sertifikat SSL Anda tidak mencakup domain atau subdomain yang tepat yang diakses, TLS handshake dapat gagal dengan error cipher mismatch. Ini biasanya terjadi ketika:

• www vs non-www — Sertifikat mencakup example.com tetapi tidak www.example.com. Solusi: gunakan sertifikat yang mencakup keduanya, atau dapatkan sertifikat wildcard (*.example.com).

• Subdomain tidak tercakup — Sertifikat mencakup example.com tetapi pengguna mengunjungi app.example.com. Sertifikat wildcard mencakup subdomain level pertama, tetapi tidak subdomain multi-level seperti staging.app.example.com.

• Domain yang sepenuhnya salah — Server menyajikan sertifikat untuk domain yang berbeda (umum terjadi pada shared hosting atau virtual host yang salah konfigurasi).

Periksa domain mana yang dicakup sertifikat Anda menggunakan SSL Checker DNS Robot — alat ini menampilkan daftar Subject Alternative Names (SANs) yang menunjukkan setiap domain dan subdomain yang dicakup oleh sertifikat.

Perbaikan 6: Perbaikan Khusus Cloudflare

Jika situs Anda menggunakan Cloudflare dan pengunjung melihat ERR_SSL_VERSION_OR_CIPHER_MISMATCH, masalahnya biasanya terkait dengan konfigurasi proxy SSL Cloudflare.

• Sertifikat belum aktif — Universal SSL Cloudflare membutuhkan 15 menit hingga 24 jam untuk aktif setelah Anda menambahkan domain. Periksa status sertifikat di Cloudflare Dashboard → SSL/TLS → Edge Certificates. Statusnya harus "Active".

• Record DNS diatur ke DNS-only — Record DNS harus diatur ke Proxied (ikon awan oranye) agar Cloudflare dapat menyajikan sertifikat SSL-nya. Jika diatur ke DNS-only (ikon awan abu-abu), Cloudflare tidak mem-proxy koneksi dan sertifikat server asal Anda yang digunakan sebagai gantinya.

• Subdomain multi-level — Sertifikat Universal Cloudflare hanya mencakup example.com dan *.example.com (satu level). Untuk sub.sub.example.com, Anda memerlukan Advanced Certificate, Total TLS, atau sertifikat kustom.

• Ketidakcocokan mode SSL/TLS — Di Cloudflare Dashboard → SSL/TLS, atur mode enkripsi ke Full (Strict) jika server asal Anda memiliki sertifikat yang valid, atau Full jika menggunakan Cloudflare Origin Certificate.

Perbaikan 7: Periksa Konfigurasi SSL CDN

Jika situs Anda menggunakan CDN (CloudFront, Fastly, Akamai, atau reverse proxy lainnya), CDN yang mengakhiri koneksi TLS dengan pengunjung. Kesalahan konfigurasi SSL di tingkat CDN menyebabkan error ini meskipun SSL server asal Anda sempurna.

• Sertifikat CDN kedaluwarsa atau tidak ada — Pastikan CDN memiliki sertifikat SSL yang valid untuk domain Anda. Di AWS CloudFront, ini berarti sertifikat ACM. Di CDN lain, verifikasi bahwa sertifikat kustom Anda telah diunggah dan aktif.

• Versi TLS CDN terlalu lama — Beberapa konfigurasi CDN secara default mengizinkan TLS 1.0. Perbarui versi TLS minimum CDN Anda ke 1.2.

• SNI tidak didukung — Jika CDN melayani beberapa domain dari satu IP, CDN harus mendukung Server Name Indication (SNI) untuk menyajikan sertifikat yang benar untuk setiap domain.

Cara Menguji Konfigurasi SSL Anda

Setelah melakukan perubahan, verifikasi bahwa pengaturan SSL Anda sudah benar. Alat-alat ini membantu Anda mendeteksi masalah sebelum pengunjung Anda menemukannya.

• [DNS Robot SSL Checker](/ssl-checker) — Pemeriksaan cepat status sertifikat, tanggal kedaluwarsa, kelengkapan rantai, dan penerbit. Hasil dalam hitungan detik.

• Qualys SSL Labs — Pemindaian mendalam terhadap versi TLS, cipher suite, dukungan protokol, dan kerentanan yang diketahui. Memberikan nilai huruf (targetkan A atau A+).

• OpenSSL CLI — Uji dari command line dengan openssl s_client -connect domain.com:443 untuk melihat handshake mentah, rantai sertifikat, dan cipher yang dinegosiasikan.

• Chrome DevTools — Buka DevTools (F12) → tab Security → menampilkan versi TLS, cipher suite, dan detail sertifikat untuk koneksi saat ini.

# Quick OpenSSL check — shows protocol, cipher, and certificate
openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | grep -E "(Protocol|Cipher|subject|issuer|Not After)"

# Test specific TLS version support
openssl s_client -connect yourdomain.com:443 -tls1_2 2>/dev/null | head -5  # Test TLS 1.2
openssl s_client -connect yourdomain.com:443 -tls1_3 2>/dev/null | head -5  # Test TLS 1.3

Error SSL/TLS Terkait

Chrome memiliki beberapa kode error terkait SSL. Semuanya menunjukkan tahap kegagalan TLS yang berbeda.

Untuk semua error SSL ini, mulailah dengan memeriksa sertifikat menggunakan SSL Checker DNS Robot. Alat ini menampilkan status sertifikat, rantai, tanggal kedaluwarsa, dan protokol yang didukung dalam satu pemindaian. Anda juga dapat membaca panduan kami tentang ERR_SSL_PROTOCOL_ERROR dan Your Connection Is Not Private untuk perbaikan lebih detail.