ERR_SSL_VERSION_OR_CIPHER_MISMATCH: Como Corrigir (Todos os Navegadores)

O Que É ERR_SSL_VERSION_OR_CIPHER_MISMATCH?

ERR_SSL_VERSION_OR_CIPHER_MISMATCH é um erro do navegador que aparece quando seu navegador e o servidor web não conseguem concordar em uma versão compartilhada do protocolo TLS ou em um conjunto de cifras de criptografia durante o handshake SSL/TLS. O navegador bloqueia a conexão completamente porque nenhum canal seguro pode ser estabelecido.

Toda conexão HTTPS começa com um handshake TLS. Durante esse handshake, o navegador envia uma lista de versões TLS e conjuntos de cifras que suporta (chamada de ClientHello). O servidor escolhe uma que também suporta e responde (ServerHello). Se não houver nenhuma correspondência — o servidor oferece apenas protocolos ou cifras que o navegador descontinuou ou não reconhece — o handshake falha imediatamente com esse erro.

O código de erro interno do Chromium é net::ERR_SSL_VERSION_OR_CIPHER_MISMATCH. No Firefox, a mesma falha aparece como SSL_ERROR_NO_CYPHER_OVERLAP. Ambos significam a mesma coisa: o cliente e o servidor não têm nenhum ponto em comum para uma conexão segura.

Como o Erro Aparece em Cada Navegador

Diferentes navegadores exibem mensagens de erro diferentes para a mesma falha na negociação TLS. A mensagem completa do Chrome é: "Este site não fornece uma conexão segura. [domínio] usa um protocolo não compatível."

O Que Causa o ERR_SSL_VERSION_OR_CIPHER_MISMATCH?

Esse erro tem causas tanto do lado do servidor quanto do lado do cliente. Se o erro aparece em um site específico, o problema quase certamente está no servidor. Se aparece em muitos sites, algo no seu dispositivo ou rede está interferindo.

• O servidor usa TLS 1.0 ou TLS 1.1 obsoleto — Chrome, Edge, Firefox e Safari descontinuaram o suporte a TLS 1.0 e 1.1 em 2020. Se um servidor oferece apenas esses protocolos antigos, navegadores modernos recusam a conexão. Essa é a causa #1 do lado do servidor.

• Conjuntos de cifras fracos ou descontinuados — Conjuntos de cifras como RC4 (removido do Chrome 48 em 2016), 3DES e cifras de exportação são bloqueados por todos os navegadores modernos. Se o servidor oferece apenas essas cifras, o handshake falha.

• Certificado assinado com SHA-1 — Os navegadores pararam de confiar em certificados SHA-1 em 2017. Se seu certificado usa SHA-1 em vez de SHA-256, ele será rejeitado.

• Certificado SSL expirado — Um certificado expirado pode gerar esse erro em alguns navegadores em vez do mais comum ERR_CERT_DATE_INVALID, especialmente quando combinado com outras configurações incorretas.

• Nome do certificado não corresponde — O certificado SSL foi emitido para example.com, mas o site é acessado em www.example.com (ou um subdomínio não coberto pelo certificado).

• Cadeia de certificados incompleta — Certificados intermediários ausentes impedem o navegador de verificar a cadeia de confiança. Saiba mais no nosso guia sobre cadeia de certificados SSL.

• Configuração incorreta do Cloudflare/CDN — Se o seu site usa Cloudflare, o certificado SSL pode ainda não estar ativo (leva até 24 horas), o registro DNS pode estar configurado como DNS-only em vez de Proxied, ou um subdomínio multinível não está coberto pelo certificado Universal.

• Sistema operacional antigo — Windows XP, Android 4.x e outros sistemas legados não suportam TLS 1.2 ou conjuntos de cifras modernos, então não conseguem se conectar a servidores que os exigem.

• Verificação HTTPS do antivírus — Softwares de segurança como Avast, Kaspersky ou Bitdefender interceptam conexões HTTPS com seus próprios certificados, o que pode causar incompatibilidade de cifras.

• Navegador ou dispositivo precisa de atualização — Versões muito antigas de navegadores podem não suportar os conjuntos de cifras que o servidor exige.

Como Corrigir ERR_SSL_VERSION_OR_CIPHER_MISMATCH (Para Usuários)

Se você vê esse erro ao navegar, o site provavelmente tem um problema SSL do lado do servidor. No entanto, existem várias coisas que você pode tentar no seu lado primeiro. Se o erro aparece em apenas um site, pule para as correções para donos de sites — o problema é o servidor. Se aparece em vários sites, tente as correções abaixo.

Correção 1: Limpar Estado SSL (Windows)

O Windows armazena em cache certificados SSL e dados de sessão separadamente do navegador. Entradas obsoletas ou corrompidas nesse cache de nível do sistema podem causar erros persistentes de incompatibilidade de cifra mesmo após limpar o cache do navegador.

Abra o menu Iniciar e pesquise por Opções da Internet (ou pressione Win+R e digite inetcpl.cpl). Vá para a aba Conteúdo e clique em Limpar estado SSL. Clique em OK e reinicie seu navegador.

Correção 2: Limpar Cache e Cookies do Navegador

Políticas HSTS (HTTP Strict Transport Security) em cache ou tickets de sessão SSL antigos podem forçar seu navegador a tentar conexões com parâmetros desatualizados.

• Chrome/Edge: Pressione Ctrl+Shift+Delete → defina para Todo o período → marque Imagens e arquivos em cache e Cookies → clique em Limpar dados

• Firefox: Pressione Ctrl+Shift+Delete → defina para Tudo → marque Cache e Cookies → clique em Limpar agora

• Safari: Menu Safari → Ajustes → Privacidade → Gerenciar Dados de Sites → Remover Todos

Para um domínio específico, você também pode limpar sua entrada HSTS no Chrome: acesse chrome://net-internals/#hsts → em "Delete domain security policies" → insira o domínio → clique em Delete.

Correção 3: Desativar Protocolo QUIC

O protocolo QUIC do Chrome (HTTP/3 sobre UDP) pode às vezes interferir na negociação TLS em servidores que não o suportam adequadamente, ou quando equipamentos de rede bloqueiam UDP na porta 443.

• Passo 1: Digite chrome://flags/#enable-quic na barra de endereço

• Passo 2: Defina Experimental QUIC protocol como Disabled

• Passo 3: Clique em Relaunch para reiniciar o Chrome

Se o erro desaparecer, o problema era um conflito com QUIC/HTTP/3. Você pode deixar o QUIC desativado — as páginas carregarão via HTTPS padrão (HTTP/2 sobre TCP) sem nenhuma diferença visível.

Correção 4: Atualize Seu Navegador e Sistema Operacional

Navegadores e sistemas operacionais mais antigos podem não suportar as versões TLS ou conjuntos de cifras que sites modernos exigem. Isso é uma causa comum em sistemas legados.

Atualize o Chrome em chrome://settings/help. Atualize o Edge em edge://settings/help. Para o sistema operacional, garanta que esteja usando pelo menos Windows 10, macOS 10.15 ou uma distribuição Linux recente. Windows XP e Windows Vista não suportam TLS 1.2 nativamente e apresentarão esse erro em quase todos os sites modernos.

Correção 5: Desativar Verificação HTTPS do Antivírus

Programas antivírus que verificam tráfego HTTPS (Avast, Kaspersky, Bitdefender, ESET, Norton) atuam como proxy man-in-the-middle — eles interceptam o handshake TLS e apresentam seu próprio certificado ao navegador. Isso pode causar incompatibilidades de cifras quando o antivírus não suporta as mesmas cifras que o servidor original.

Procure por configurações chamadas Verificação HTTPS, Verificação SSL, Web Shield ou Verificação de Conexão Criptografada no seu antivírus e desative temporariamente. Se o erro for resolvido, adicione o domínio afetado à lista de exclusão do antivírus em vez de deixar o recurso desativado.

Correção 6: Tente o Modo Anônimo / Privado

O modo anônimo usa um estado limpo do navegador sem dados em cache, cookies ou extensões. Se o site carrega no modo anônimo mas não no modo normal, uma extensão do navegador, dados em cache ou perfil corrompido está causando o erro.

Abra o modo anônimo com Ctrl+Shift+N (Chrome/Edge) ou Ctrl+Shift+P (Firefox). Se o site funcionar, volte e limpe seu cache (Correção 2) ou desative as extensões uma a uma para encontrar a causadora.

Correção 7: Desativar VPN ou Proxy

VPNs e proxies HTTP ficam entre seu navegador e o servidor web. Algumas VPNs realizam inspeção SSL ou roteiam conexões por servidores com suporte limitado a cifras. Proxies corporativos frequentemente usam interceptação SSL que pode gerar incompatibilidades de cifras.

Desconecte temporariamente sua VPN e tente acessar o site diretamente. Se funcionar sem a VPN, tente trocar para um servidor VPN em localização diferente ou entre em contato com seu provedor de VPN sobre compatibilidade TLS.

Como Corrigir ERR_SSL_VERSION_OR_CIPHER_MISMATCH (Para Donos de Sites)

Se os usuários reportam esse erro no seu site, o problema está na configuração SSL/TLS do seu servidor. As correções abaixo abordam as causas raiz — desde problemas de certificado até configurações de protocolo e cifras.

Correção 1: Verifique Seu Certificado SSL

Comece verificando se seu certificado SSL é válido, não está expirado e cobre o domínio correto. Use o Verificador SSL do DNS Robot para verificar instantaneamente o status do certificado, data de expiração, emissor e completude da cadeia.

Problemas comuns de certificado que causam esse erro:

• Certificado expirado — Certificados Let's Encrypt expiram a cada 90 dias. Se a renovação automática falhou, seu certificado expira silenciosamente e os navegadores recusam a conexão.

• Domínio errado — O certificado cobre example.com mas o site é servido em www.example.com ou um subdomínio. O certificado deve corresponder ao domínio exato ou incluir um wildcard (*.example.com).

• Certificado SHA-1 — Todos os principais navegadores rejeitaram certificados SHA-1 em 2017. Se seu certificado ainda usa SHA-1, reemita-o com SHA-256.

• Certificado autoassinado — Confiável apenas em desenvolvimento. Sites em produção precisam de um certificado de uma Autoridade Certificadora reconhecida.

# Check certificate details from command line
openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -dates -subject -issuer -fingerprint -sha256

# Check which TLS versions the server supports
nmap --script ssl-enum-ciphers -p 443 yourdomain.com

# Renew Let's Encrypt certificate
sudo certbot renew --force-renewal

Correção 2: Ativar TLS 1.2 e TLS 1.3

Todos os navegadores modernos exigem pelo menos TLS 1.2. Se seu servidor oferece apenas TLS 1.0 ou 1.1, os navegadores mostrarão ERR_SSL_VERSION_OR_CIPHER_MISMATCH. Ative tanto TLS 1.2 quanto TLS 1.3 — desative tudo que for mais antigo.

# Nginx — in nginx.conf or site config
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;

# Apache — in httpd.conf or ssl.conf
SSLProtocol -all +TLSv1.2 +TLSv1.3
SSLHonorCipherOrder on

# After changing, restart your web server:
sudo systemctl restart nginx    # or apache2

Após atualizar, teste com o Verificador SSL do DNS Robot ou o Qualys SSL Labs para verificar que apenas TLS 1.2 e 1.3 estão ativos.

Correção 3: Atualize Seus Conjuntos de Cifras

Mesmo com TLS 1.2 ativado, usar conjuntos de cifras descontinuados causa o mesmo erro. Os navegadores bloqueiam RC4 (desde 2016), 3DES, cifras de exportação e cifras NULL. Seu servidor deve oferecer cifras AEAD modernas como AES-GCM ou ChaCha20-Poly1305.

# Nginx — modern cipher configuration
ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305';
ssl_prefer_server_ciphers off;  # Let client choose (TLS 1.3 best practice)

# Apache — modern cipher configuration
SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384
SSLHonorCipherOrder off

Correção 4: Instale a Cadeia Completa de Certificados

Uma cadeia de certificados incompleta — onde o servidor envia seu próprio certificado mas não os certificados intermediários — pode gerar ERR_SSL_VERSION_OR_CIPHER_MISMATCH em alguns navegadores e dispositivos. O servidor deve enviar a cadeia completa do certificado folha até a CA intermediária.

Para Let's Encrypt, sempre use fullchain.pem (não cert.pem). Para outras CAs, baixe o certificado intermediário da documentação da sua CA e concatene-o com seu certificado.

# Nginx — use fullchain, not just cert
ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem;

# Apache
SSLCertificateFile /etc/letsencrypt/live/yourdomain.com/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/yourdomain.com/privkey.pem

# Verify chain is complete
openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | grep -E "(depth|verify|Certificate chain)"

Correção 5: Corrigir Nome Incorreto no Certificado

Se seu certificado SSL não cobre o domínio ou subdomínio exato sendo acessado, o handshake TLS pode falhar com um erro de incompatibilidade de cifra. Isso geralmente acontece quando:

• www vs sem www — O certificado cobre example.com mas não www.example.com. Solução: use um certificado que cubra ambos, ou obtenha um certificado wildcard (*.example.com).

• Subdomínio não coberto — O certificado cobre example.com mas o usuário acessa app.example.com. Um certificado wildcard cobre subdomínios de primeiro nível, mas não multiníveis como staging.app.example.com.

• Domínio completamente errado — O servidor está apresentando um certificado para um domínio diferente (comum em hospedagem compartilhada ou virtual hosts mal configurados).

Verifique qual domínio seu certificado cobre usando o Verificador SSL do DNS Robot — ele exibe a lista de Subject Alternative Names (SANs) mostrando todos os domínios e subdomínios cobertos pelo certificado.

Correção 6: Correções Específicas para Cloudflare

Se o seu site usa Cloudflare e os visitantes veem ERR_SSL_VERSION_OR_CIPHER_MISMATCH, o problema geralmente está em como o proxy SSL do Cloudflare está configurado.

• Certificado ainda não ativo — O SSL Universal do Cloudflare leva de 15 minutos a 24 horas para ativar após adicionar um domínio. Verifique o status do certificado em Painel do Cloudflare → SSL/TLS → Edge Certificates. Deve mostrar "Active".

• Registro DNS configurado como DNS-only — O registro DNS deve estar configurado como Proxied (nuvem laranja) para que o Cloudflare sirva seu certificado SSL. Se estiver como DNS-only (nuvem cinza), o Cloudflare não faz proxy da conexão e o certificado do seu servidor de origem é usado.

• Subdomínio multinível — O certificado Universal do Cloudflare cobre apenas example.com e *.example.com (um nível). Para sub.sub.example.com, você precisa de um Advanced Certificate, Total TLS ou um certificado personalizado.

• Modo SSL/TLS incompatível — No Painel do Cloudflare → SSL/TLS, defina o modo de criptografia como Full (Strict) se sua origem tem um certificado válido, ou Full se estiver usando um Cloudflare Origin Certificate.

Correção 7: Verificar Configuração SSL do CDN

Se o seu site usa um CDN (CloudFront, Fastly, Akamai ou qualquer proxy reverso), o CDN encerra a conexão TLS com o visitante. Configurações SSL incorretas no nível do CDN causam esse erro mesmo que o SSL do servidor de origem esteja perfeito.

• Certificado do CDN expirado ou ausente — Garanta que o CDN tenha um certificado SSL válido para seu domínio. No AWS CloudFront, isso significa um certificado ACM. Em outros CDNs, verifique se o certificado personalizado está carregado e ativo.

• Versão TLS do CDN muito antiga — Algumas configurações de CDN permitem TLS 1.0 por padrão. Atualize a versão mínima TLS do seu CDN para 1.2.

• SNI não suportado — Se o CDN serve múltiplos domínios a partir de um IP, ele deve suportar Server Name Indication (SNI) para apresentar o certificado correto para cada domínio.

Como Testar Sua Configuração SSL

Após fazer alterações, verifique se sua configuração SSL está correta. Essas ferramentas ajudam a detectar problemas antes que seus visitantes os encontrem.

• [Verificador SSL do DNS Robot](/ssl-checker) — Verificação rápida do status do certificado, expiração, completude da cadeia e emissor. Resultados em segundos.

• Qualys SSL Labs — Varredura profunda de versões TLS, conjuntos de cifras, suporte a protocolos e vulnerabilidades conhecidas. Dá uma nota em letra (mire em A ou A+).

• OpenSSL CLI — Teste pela linha de comando com openssl s_client -connect domain.com:443 para ver o handshake bruto, cadeia de certificados e cifra negociada.

• Chrome DevTools — Abra o DevTools (F12) → aba Security → mostra a versão TLS, conjunto de cifras e detalhes do certificado da conexão atual.

# Quick OpenSSL check — shows protocol, cipher, and certificate
openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | grep -E "(Protocol|Cipher|subject|issuer|Not After)"

# Test specific TLS version support
openssl s_client -connect yourdomain.com:443 -tls1_2 2>/dev/null | head -5  # Test TLS 1.2
openssl s_client -connect yourdomain.com:443 -tls1_3 2>/dev/null | head -5  # Test TLS 1.3

Erros SSL/TLS Relacionados

O Chrome possui vários códigos de erro relacionados a SSL. Todos indicam diferentes estágios de falha no TLS.

Para qualquer um desses erros SSL, comece verificando o certificado com o Verificador SSL do DNS Robot. Ele mostra o status do certificado, cadeia, expiração e protocolos suportados em uma única varredura. Você também pode ler nossos guias sobre ERR_SSL_PROTOCOL_ERROR e Sua Conexão Não É Particular para correções detalhadas.