ERR_SSL_VERSION_OR_CIPHER_MISMATCH: Nasıl Düzeltilir (Tüm Tarayıcılar)

ERR_SSL_VERSION_OR_CIPHER_MISMATCH Nedir?

ERR_SSL_VERSION_OR_CIPHER_MISMATCH, tarayıcınız ile web sunucusunun SSL/TLS el sıkışması sırasında ortak bir TLS protokol sürümü veya şifreleme şifre takımı üzerinde anlaşamadığında ortaya çıkan bir tarayıcı hatasıdır. Güvenli bir kanal kurulamadığı için tarayıcı bağlantıyı tamamen engeller.

Her HTTPS bağlantısı bir TLS el sıkışmasıyla başlar. Bu el sıkışma sırasında tarayıcı, desteklediği TLS sürümlerinin ve şifre takımlarının bir listesini gönderir (ClientHello). Sunucu da desteklediği bir tanesini seçerek yanıt verir (ServerHello). Eğer hiçbir ortak nokta yoksa — yani sunucu yalnızca tarayıcının kullanımdan kaldırdığı veya tanımadığı protokoller ya da şifreler sunuyorsa — el sıkışma bu hatayla anında başarısız olur.

Chromium'un temel hata kodu net::ERR_SSL_VERSION_OR_CIPHER_MISMATCH'tir. Firefox'ta aynı hata SSL_ERROR_NO_CYPHER_OVERLAP olarak görünür. Her ikisi de aynı anlama gelir: istemci ve sunucunun güvenli bir bağlantı için ortak bir zemini yoktur.

Her Tarayıcıda Hata Nasıl Görünür?

Farklı tarayıcılar, aynı TLS müzakere hatası için farklı hata mesajları gösterir. Chrome'daki tam hata mesajı şöyledir: "Bu site güvenli bir bağlantı sağlayamıyor. [alan adı] desteklenmeyen bir protokol kullanıyor."

ERR_SSL_VERSION_OR_CIPHER_MISMATCH'in Nedenleri

Bu hatanın hem sunucu tarafı hem de istemci tarafı nedenleri vardır. Hata belirli bir web sitesinde görünüyorsa, sorun neredeyse kesinlikle sunucu tarafındadır. Birçok web sitesinde görünüyorsa, cihazınızda veya ağınızda bir şey müdahale ediyordur.

• Sunucu kullanımdan kaldırılmış TLS 1.0 veya TLS 1.1 kullanıyor — Chrome, Edge, Firefox ve Safari'nin tümü 2020'de TLS 1.0 ve 1.1 desteğini bıraktı. Sunucu yalnızca bu eski protokolleri sunuyorsa, modern tarayıcılar bağlanmayı reddeder. Bu, 1 numaralı sunucu tarafı nedenidir.

• Zayıf veya kullanımdan kaldırılmış şifre takımları — RC4 (Chrome 48'den itibaren 2016'da kaldırıldı), 3DES ve ihracat sınıfı şifreler gibi şifre takımları tüm modern tarayıcılar tarafından engellenir. Sunucu yalnızca bunları sunuyorsa el sıkışma başarısız olur.

• SHA-1 imzalı sertifika — Tarayıcılar 2017'de SHA-1 sertifikalarına güvenmeyi bıraktı. Sertifikanız SHA-256 yerine SHA-1 kullanıyorsa reddedilir.

• Süresi dolmuş SSL sertifikası — Süresi dolmuş bir sertifika, özellikle diğer yapılandırma hatalarıyla birleştiğinde, bazı tarayıcılarda daha yaygın olan ERR_CERT_DATE_INVALID yerine bu hatayı tetikleyebilir.

• Sertifika adı uyumsuzluğu — SSL sertifikası example.com için verilmiş ancak siteye www.example.com (veya sertifikanın kapsamadığı bir alt alan adı) üzerinden erişiliyor.

• Eksik sertifika zinciri — Ara sertifikaların eksik olması tarayıcının güven zincirini doğrulamasını engeller. Daha fazla bilgi için SSL sertifika zinciri rehberimize göz atın.

• Cloudflare/CDN yanlış yapılandırması — Siteniz Cloudflare kullanıyorsa, SSL sertifikası henüz etkinleşmemiş olabilir (24 saate kadar sürebilir), DNS kaydı Proxied yerine DNS-only olarak ayarlanmış olabilir veya çok seviyeli bir alt alan adı Universal sertifika tarafından kapsanmıyor olabilir.

• Eski işletim sistemi — Windows XP, Android 4.x ve diğer eski işletim sistemi sürümleri TLS 1.2 veya modern şifre takımlarını desteklemediğinden, bunları gerektiren sunuculara bağlanamazlar.

• Antivirüs HTTPS taraması — Avast, Kaspersky veya Bitdefender gibi güvenlik yazılımları HTTPS bağlantılarını kendi sertifikalarıyla durdurarak şifre uyumsuzluğuna neden olabilir.

• Tarayıcı veya cihaz güncelleme gerektiriyor — Çok eski tarayıcı sürümleri, sunucunun gerektirdiği şifre takımlarını desteklemeyebilir.

ERR_SSL_VERSION_OR_CIPHER_MISMATCH Nasıl Düzeltilir (Kullanıcılar İçin)

İnternet'te gezinirken bu hatayı görüyorsanız, web sitesinde büyük olasılıkla sunucu tarafında bir SSL sorunu vardır. Ancak önce kendi tarafınızda deneyebileceğiniz birkaç şey var. Hata yalnızca tek bir sitede görünüyorsa, web sitesi sahibi düzeltmelerine geçin — sorun onların sunucusundadır. Birden fazla sitede görünüyorsa, bu kullanıcı düzeltmelerini deneyin.

Düzeltme 1: SSL Durumunu Temizleyin (Windows)

Windows, SSL sertifikalarını ve oturum verilerini tarayıcıdan bağımsız olarak önbelleğe alır. Bu sistem düzeyindeki önbellekteki eski veya bozuk girdiler, tarayıcı önbelleğini temizledikten sonra bile kalıcı şifre uyumsuzluğu hatalarına neden olabilir.

Başlat menüsünü açın ve İnternet Seçenekleri araması yapın (veya Win+R tuşlarına basıp inetcpl.cpl yazın). İçerik sekmesine gidin ve SSL durumunu temizle düğmesine tıklayın. Tamam'a tıklayın ve tarayıcınızı yeniden başlatın.

Düzeltme 2: Tarayıcı Önbelleğini ve Çerezleri Temizleyin

Önbelleğe alınmış HSTS (HTTP Strict Transport Security) politikaları veya eski SSL oturum biletleri, tarayıcınızı güncel olmayan parametrelerle bağlantı kurmaya zorlayabilir.

• Chrome/Edge: Ctrl+Shift+Delete tuşlarına basın → Tüm zamanlar olarak ayarlayın → Önbelleğe alınmış resimler ve dosyalar ile Çerezler seçeneklerini işaretleyin → Verileri temizle'ye tıklayın

• Firefox: Ctrl+Shift+Delete tuşlarına basın → Her şey olarak ayarlayın → Önbellek ve Çerezler seçeneklerini işaretleyin → Şimdi Temizle'ye tıklayın

• Safari: Safari menüsü → Ayarlar → Gizlilik → Web Sitesi Verilerini Yönet → Tümünü Kaldır

Tek bir alan adı için Chrome'da HSTS girdisini de temizleyebilirsiniz: chrome://net-internals/#hsts adresine gidin → "Delete domain security policies" altında → alan adını girin → Delete'e tıklayın.

Düzeltme 3: QUIC Protokolünü Devre Dışı Bırakın

Chrome'un QUIC protokolü (UDP üzerinden HTTP/3), düzgün desteklemeyen sunucularda veya ağ ekipmanlarının UDP'yi port 443 üzerinde engellediği durumlarda TLS müzakeresini bozabilir.

• Adım 1: Adres çubuğuna chrome://flags/#enable-quic yazın

• Adım 2: Experimental QUIC protocol seçeneğini Disabled olarak ayarlayın

• Adım 3: Chrome'u yeniden başlatmak için Relaunch düğmesine tıklayın

Hata kaybolursa, sorun bir QUIC/HTTP/3 çakışmasıydı. QUIC'i devre dışı bırakılmış olarak bırakabilirsiniz — sayfalar görünür bir fark olmadan standart HTTPS (TCP üzerinden HTTP/2) ile yüklenecektir.

Düzeltme 4: Tarayıcınızı ve İşletim Sisteminizi Güncelleyin

Eski tarayıcılar ve işletim sistemleri, modern web sitelerinin gerektirdiği TLS sürümlerini veya şifre takımlarını desteklemeyebilir. Bu, eski sistemlerde yaygın bir nedendir.

Chrome'u chrome://settings/help adresinden güncelleyin. Edge'i edge://settings/help adresinden güncelleyin. İşletim sisteminiz için en azından Windows 10, macOS 10.15 veya güncel bir Linux dağıtımı kullandığınızdan emin olun. Windows XP ve Windows Vista, TLS 1.2'yi yerel olarak desteklemez ve neredeyse tüm modern web sitelerinde bu hatayı verir.

Düzeltme 5: Antivirüs HTTPS Taramasını Devre Dışı Bırakın

HTTPS trafiğini tarayan antivirüs programları (Avast, Kaspersky, Bitdefender, ESET, Norton) araya giren bir proxy olarak çalışır — TLS el sıkışmasını durdurur ve tarayıcıya kendi sertifikasını sunar. Antivirüs, orijinal sunucuyla aynı şifreleri desteklemediğinde bu şifre uyumsuzluklarına neden olabilir.

Antivirüsünüzde HTTPS Taraması, SSL Taraması, Web Kalkanı veya Şifreli bağlantı taraması adlı ayarları bulun ve geçici olarak devre dışı bırakın. Hata çözülürse, özelliği tamamen devre dışı bırakmak yerine etkilenen alan adını antivirüsün istisna listesine ekleyin.

Düzeltme 6: Gizli / Özel Modu Deneyin

Gizli mod; önbellek verisi, çerez veya uzantı olmadan temiz bir tarayıcı durumuyla başlar. Web sitesi gizli modda yüklenip normal modda yüklenmiyorsa, soruna bir tarayıcı uzantısı, önbelleğe alınmış veri veya bozulmuş profil neden oluyordur.

Gizli pencereyi Ctrl+Shift+N (Chrome/Edge) veya Ctrl+Shift+P (Firefox) ile açın. Site çalışıyorsa geri dönüp önbelleğinizi temizleyin (Düzeltme 2) veya suçluyu bulmak için uzantıları tek tek devre dışı bırakın.

Düzeltme 7: VPN veya Proxy'yi Devre Dışı Bırakın

VPN'ler ve HTTP proxy'leri, tarayıcınız ile web sunucusu arasında yer alır. Bazı VPN'ler SSL denetlemesi yapar veya sınırlı şifre desteğine sahip sunucular üzerinden bağlantıları yönlendirir. Kurumsal proxy'ler genellikle şifre uyumsuzluklarını tetikleyebilen SSL müdahalesi kullanır.

VPN bağlantınızı geçici olarak kesin ve web sitesini doğrudan yüklemeyi deneyin. VPN olmadan çalışıyorsa, farklı bir VPN sunucu konumuna geçmeyi veya TLS uyumluluğu hakkında VPN sağlayıcınızla iletişime geçmeyi deneyin.

ERR_SSL_VERSION_OR_CIPHER_MISMATCH Nasıl Düzeltilir (Web Sitesi Sahipleri İçin)

Kullanıcılar web sitenizde bu hatayı bildiriyorsa, sorun sunucunuzun SSL/TLS yapılandırmasındadır. Aşağıdaki düzeltmeler — sertifika sorunlarından protokol ve şifre ayarlarına kadar — temel nedenleri ele alır.

Düzeltme 1: SSL Sertifikanızı Kontrol Edin

SSL sertifikanızın geçerli olduğunu, süresinin dolmadığını ve doğru alan adını kapsadığını doğrulayarak başlayın. DNS Robot'un SSL Checker'ını kullanarak sertifika durumunu, son kullanma tarihini, veren kurumu ve zincir bütünlüğünü anında tarayabilirsiniz.

Bu hataya neden olan yaygın sertifika sorunları:

• Süresi dolmuş sertifika — Let's Encrypt sertifikaları her 90 günde bir sona erer. Otomatik yenileme başarısız olduysa sertifikanız sessizce sona erer ve tarayıcılar bağlanmayı reddeder.

• Yanlış alan adı — Sertifika example.com için verilmiş ancak site www.example.com veya bir alt alan adından sunuluyor. Sertifika, tam alan adıyla eşleşmeli veya bir joker karakter (*.example.com) içermelidir.

• SHA-1 sertifika — Tüm büyük tarayıcılar 2017'de SHA-1 sertifikalarını reddetti. Sertifikanız hâlâ SHA-1 kullanıyorsa SHA-256 ile yeniden düzenleyin.

• Kendinden imzalı sertifika — Yalnızca geliştirme ortamında güvenilir. Üretim siteleri, tanınmış bir Sertifika Yetkilisinden alınmış bir sertifika gerektirir.

# Check certificate details from command line
openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -dates -subject -issuer -fingerprint -sha256

# Check which TLS versions the server supports
nmap --script ssl-enum-ciphers -p 443 yourdomain.com

# Renew Let's Encrypt certificate
sudo certbot renew --force-renewal

Düzeltme 2: TLS 1.2 ve TLS 1.3'ü Etkinleştirin

Tüm modern tarayıcılar en az TLS 1.2 gerektirir. Sunucunuz yalnızca TLS 1.0 veya 1.1 sunuyorsa, tarayıcılar ERR_SSL_VERSION_OR_CIPHER_MISMATCH gösterecektir. Hem TLS 1.2 hem de TLS 1.3'ü etkinleştirin — daha eski her şeyi devre dışı bırakın.

# Nginx — in nginx.conf or site config
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;

# Apache — in httpd.conf or ssl.conf
SSLProtocol -all +TLSv1.2 +TLSv1.3
SSLHonorCipherOrder on

# After changing, restart your web server:
sudo systemctl restart nginx    # or apache2

Güncellemeden sonra DNS Robot'un SSL Checker'ıyla veya Qualys SSL Labs ile yalnızca TLS 1.2 ve 1.3'ün aktif olduğunu doğrulayın.

Düzeltme 3: Şifre Takımlarınızı Güncelleyin

TLS 1.2 etkin olsa bile, kullanımdan kaldırılmış şifre takımları aynı hataya neden olur. Tarayıcılar RC4'ü (2016'dan beri), 3DES'i, ihracat sınıfı şifreleri ve NULL şifreleri engeller. Sunucunuz AES-GCM veya ChaCha20-Poly1305 gibi modern AEAD şifreleri sunmalıdır.

# Nginx — modern cipher configuration
ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305';
ssl_prefer_server_ciphers off;  # Let client choose (TLS 1.3 best practice)

# Apache — modern cipher configuration
SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384
SSLHonorCipherOrder off

Düzeltme 4: Tam Sertifika Zincirini Yükleyin

Eksik sertifika zinciri — sunucunun kendi sertifikasını gönderip ara sertifikaları göndermediği durum — bazı tarayıcılarda ve cihazlarda ERR_SSL_VERSION_OR_CIPHER_MISMATCH hatasını tetikleyebilir. Sunucu, yaprak sertifikadan ara CA'ya kadar tam zinciri göndermelidir.

Let's Encrypt için her zaman fullchain.pem kullanın (cert.pem değil). Diğer CA'lar için ara sertifikayı CA'nızın belgelerinden indirin ve sertifikanızla birleştirin.

# Nginx — use fullchain, not just cert
ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem;

# Apache
SSLCertificateFile /etc/letsencrypt/live/yourdomain.com/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/yourdomain.com/privkey.pem

# Verify chain is complete
openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | grep -E "(depth|verify|Certificate chain)"

Düzeltme 5: Sertifika Adı Uyumsuzluğunu Düzeltin

SSL sertifikanız erişilen tam alan adını veya alt alan adını kapsamıyorsa, TLS el sıkışması şifre uyumsuzluğu hatasıyla başarısız olabilir. Bu genellikle şu durumlarda olur:

• www ve non-www — Sertifika example.com'u kapsıyor ancak www.example.com'u kapsamıyor. Çözüm: her ikisini de kapsayan bir sertifika kullanın veya joker karakter sertifikası alın (*.example.com).

• Alt alan adı kapsanmıyor — Sertifika example.com'u kapsıyor ancak kullanıcı app.example.com'u ziyaret ediyor. Joker karakter sertifikası birinci seviye alt alan adlarını kapsar, ancak staging.app.example.com gibi çok seviyeli olanları kapsamaz.

• Tamamen yanlış alan adı — Sunucu farklı bir alan adı için sertifika sunuyor (paylaşımlı hosting veya yanlış yapılandırılmış sanal sunucularda yaygın).

Sertifikanızın hangi alan adlarını kapsadığını DNS Robot'un SSL Checker'ını kullanarak kontrol edin — sertifika tarafından kapsanan her alan adı ve alt alan adını gösteren Subject Alternative Names (SANs) listesini görüntüler.

Düzeltme 6: Cloudflare'a Özel Düzeltmeler

Siteniz Cloudflare kullanıyorsa ve ziyaretçiler ERR_SSL_VERSION_OR_CIPHER_MISMATCH görüyorsa, sorun genellikle Cloudflare'ın SSL proxy yapılandırmasıyla ilgilidir.

• Sertifika henüz aktif değil — Cloudflare'ın Universal SSL'i, alan adı eklendikten sonra 15 dakika ile 24 saat arasında etkinleşir. Cloudflare Dashboard → SSL/TLS → Edge Certificates'tan sertifika durumunu kontrol edin. "Active" göstermelidir.

• DNS kaydı DNS-only olarak ayarlanmış — Cloudflare'ın SSL sertifikasını sunabilmesi için DNS kaydı Proxied (turuncu bulut) olarak ayarlanmış olmalıdır. DNS-only (gri bulut) olarak ayarlanmışsa, Cloudflare bağlantıyı proxy'lemez ve bunun yerine kaynak sunucunuzun sertifikası kullanılır.

• Çok seviyeli alt alan adı — Cloudflare'ın Universal sertifikası yalnızca example.com ve *.example.com'u (bir seviye) kapsar. sub.sub.example.com için Advanced Certificate, Total TLS veya özel bir sertifikaya ihtiyacınız var.

• SSL/TLS mod uyumsuzluğu — Cloudflare Dashboard → SSL/TLS'de, kaynak sunucunuzda geçerli bir sertifika varsa şifreleme modunu Full (Strict) olarak, Cloudflare Origin Certificate kullanıyorsanız Full olarak ayarlayın.

Düzeltme 7: CDN SSL Yapılandırmasını Kontrol Edin

Siteniz bir CDN (CloudFront, Fastly, Akamai veya herhangi bir ters proxy) kullanıyorsa, CDN ziyaretçiyle TLS bağlantısını sonlandırır. CDN düzeyindeki SSL yapılandırma hataları, kaynak sunucunuzun SSL'i mükemmel olsa bile bu hataya neden olur.

• CDN sertifikası süresi dolmuş veya eksik — CDN'de alan adınız için geçerli bir SSL sertifikası olduğundan emin olun. AWS CloudFront'ta bu bir ACM sertifikası anlamına gelir. Diğer CDN'lerde özel sertifikanızın yüklendiğini ve aktif olduğunu doğrulayın.

• CDN TLS sürümü çok eski — Bazı CDN yapılandırmaları varsayılan olarak TLS 1.0'a izin verir. CDN'nizin minimum TLS sürümünü 1.2'ye güncelleyin.

• SNI desteklenmiyor — CDN birden fazla alan adını tek bir IP'den sunuyorsa, her alan adı için doğru sertifikayı sunmak amacıyla Server Name Indication (SNI) desteği olmalıdır.

SSL Yapılandırmanızı Nasıl Test Edersiniz

Değişiklikler yaptıktan sonra SSL kurulumunuzun doğru olduğunu doğrulayın. Bu araçlar, ziyaretçilerinizden önce sorunları yakalamanıza yardımcı olur.

• [DNS Robot SSL Checker](/ssl-checker) — Sertifika durumu, son kullanma tarihi, zincir bütünlüğü ve veren kurumun hızlı kontrolü. Sonuçlar saniyeler içinde.

• Qualys SSL Labs — TLS sürümleri, şifre takımları, protokol desteği ve bilinen güvenlik açıklarının derinlemesine taraması. Harf notu verir (A veya A+ hedefleyin).

• OpenSSL CLI — Ham el sıkışmasını, sertifika zincirini ve müzakere edilen şifreyi görmek için komut satırından openssl s_client -connect domain.com:443 ile test edin.

• Chrome DevTools — DevTools'u (F12) açın → Security sekmesi → mevcut bağlantının TLS sürümünü, şifre takımını ve sertifika ayrıntılarını gösterir.

# Quick OpenSSL check — shows protocol, cipher, and certificate
openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | grep -E "(Protocol|Cipher|subject|issuer|Not After)"

# Test specific TLS version support
openssl s_client -connect yourdomain.com:443 -tls1_2 2>/dev/null | head -5  # Test TLS 1.2
openssl s_client -connect yourdomain.com:443 -tls1_3 2>/dev/null | head -5  # Test TLS 1.3

İlgili SSL/TLS Hataları

Chrome'da birkaç SSL ile ilgili hata kodu bulunur. Hepsi TLS hatasının farklı aşamalarını gösterir.

Bu SSL hatalarının herhangi biri için DNS Robot'un SSL Checker'ını kullanarak sertifikayı kontrol etmeye başlayın. Tek bir taramada sertifika durumunu, zinciri, son kullanma tarihini ve desteklenen protokolleri gösterir. Ayrıntılı düzeltmeler için ERR_SSL_PROTOCOL_ERROR ve Bağlantınız Gizli Değil rehberlerimizi de okuyabilirsiniz.