ERR_SSL_VERSION_OR_CIPHER_MISMATCH: Cách Khắc Phục (Mọi Trình Duyệt)

ERR_SSL_VERSION_OR_CIPHER_MISMATCH Là Gì?

ERR_SSL_VERSION_OR_CIPHER_MISMATCH là lỗi trình duyệt xuất hiện khi trình duyệt và máy chủ web không thể thống nhất phiên bản giao thức TLS hoặc bộ mã hóa (cipher suite) chung trong quá trình bắt tay SSL/TLS. Trình duyệt sẽ chặn hoàn toàn kết nối vì không thể thiết lập kênh bảo mật.

Mỗi kết nối HTTPS đều bắt đầu bằng quá trình bắt tay TLS. Trong quá trình này, trình duyệt gửi danh sách các phiên bản TLS và bộ mã hóa mà nó hỗ trợ (gọi là ClientHello). Máy chủ chọn một phiên bản mà nó cũng hỗ trợ và phản hồi (ServerHello). Nếu không có điểm chung nào — máy chủ chỉ cung cấp các giao thức hoặc mã hóa mà trình duyệt đã loại bỏ hoặc không nhận ra — quá trình bắt tay sẽ thất bại ngay lập tức với lỗi này.

Mã lỗi Chromium cơ bản là net::ERR_SSL_VERSION_OR_CIPHER_MISMATCH. Trên Firefox, cùng lỗi này hiển thị dưới dạng SSL_ERROR_NO_CYPHER_OVERLAP. Cả hai đều có cùng ý nghĩa: máy khách và máy chủ không có điểm chung cho kết nối bảo mật.

Lỗi Hiển Thị Như Thế Nào Trên Từng Trình Duyệt

Các trình duyệt khác nhau hiển thị thông báo lỗi khác nhau cho cùng một lỗi đàm phán TLS. Thông báo lỗi đầy đủ trên Chrome là: "This site can't provide a secure connection. [domain] uses an unsupported protocol."

Nguyên Nhân Gây Ra ERR_SSL_VERSION_OR_CIPHER_MISMATCH?

Lỗi này có cả nguyên nhân từ phía máy chủ và phía máy khách. Nếu lỗi xuất hiện trên một website cụ thể, vấn đề gần như chắc chắn nằm ở máy chủ. Nếu lỗi xuất hiện trên nhiều website, có gì đó trên thiết bị hoặc mạng của bạn đang gây cản trở.

• Máy chủ sử dụng TLS 1.0 hoặc TLS 1.1 đã lỗi thời — Chrome, Edge, Firefox và Safari đều đã ngừng hỗ trợ TLS 1.0 và 1.1 vào năm 2020. Nếu máy chủ chỉ cung cấp các giao thức cũ này, trình duyệt hiện đại sẽ từ chối kết nối. Đây là nguyên nhân phía máy chủ phổ biến nhất.

• Bộ mã hóa yếu hoặc đã lỗi thời — Các bộ mã hóa như RC4 (đã bị loại khỏi Chrome 48 vào năm 2016), 3DES và mã hóa cấp xuất khẩu bị chặn bởi tất cả trình duyệt hiện đại. Nếu máy chủ chỉ cung cấp những bộ mã hóa này, quá trình bắt tay sẽ thất bại.

• Chứng chỉ ký bằng SHA-1 — Các trình duyệt đã ngừng tin cậy chứng chỉ SHA-1 từ năm 2017. Nếu chứng chỉ của bạn sử dụng SHA-1 thay vì SHA-256, nó sẽ bị từ chối.

• Chứng chỉ SSL hết hạn — Chứng chỉ hết hạn có thể gây ra lỗi này trên một số trình duyệt thay vì lỗi ERR_CERT_DATE_INVALID phổ biến hơn, đặc biệt khi kết hợp với các cấu hình sai khác.

• Tên chứng chỉ không khớp — Chứng chỉ SSL được cấp cho example.com nhưng trang web được truy cập tại www.example.com (hoặc một subdomain không được chứng chỉ bao phủ).

• Chuỗi chứng chỉ không đầy đủ — Thiếu chứng chỉ trung gian khiến trình duyệt không thể xác minh chuỗi tin cậy. Tìm hiểu thêm trong hướng dẫn về chuỗi chứng chỉ SSL của chúng tôi.

• Cấu hình sai Cloudflare/CDN — Nếu trang web của bạn sử dụng Cloudflare, chứng chỉ SSL có thể chưa được kích hoạt (mất đến 24 giờ), bản ghi DNS có thể được đặt thành DNS-only thay vì Proxied, hoặc subdomain nhiều cấp không được chứng chỉ Universal bao phủ.

• Hệ điều hành cũ — Windows XP, Android 4.x và các phiên bản OS cũ khác không hỗ trợ TLS 1.2 hoặc bộ mã hóa hiện đại, vì vậy chúng không thể kết nối với máy chủ yêu cầu các phiên bản này.

• Phần mềm diệt virus quét HTTPS — Phần mềm bảo mật như Avast, Kaspersky hoặc Bitdefender chặn các kết nối HTTPS bằng chứng chỉ riêng của chúng, điều này có thể gây ra lỗi cipher mismatch.

• Trình duyệt hoặc thiết bị cần cập nhật — Các phiên bản trình duyệt rất cũ có thể thiếu hỗ trợ cho các bộ mã hóa mà máy chủ yêu cầu.

Cách Khắc Phục ERR_SSL_VERSION_OR_CIPHER_MISMATCH (Cho Người Dùng)

Nếu bạn gặp lỗi này khi duyệt web, website đó có thể có vấn đề SSL ở phía máy chủ. Tuy nhiên, có một số cách bạn có thể thử trước. Nếu lỗi chỉ xuất hiện trên một trang web, hãy chuyển đến phần khắc phục cho chủ website — vấn đề nằm ở máy chủ của họ. Nếu lỗi xuất hiện trên nhiều trang web, hãy thử các cách khắc phục cho người dùng dưới đây.

Cách 1: Xóa Trạng Thái SSL (Windows)

Windows lưu cache chứng chỉ SSL và dữ liệu phiên riêng biệt với trình duyệt. Các mục cũ hoặc bị hỏng trong bộ nhớ cache cấp hệ thống này có thể gây ra lỗi cipher mismatch liên tục ngay cả sau khi xóa cache trình duyệt.

Mở Start menu và tìm kiếm Internet Options (hoặc nhấn Win+R và gõ inetcpl.cpl). Chuyển đến tab Content và nhấn Clear SSL state. Nhấn OK và khởi động lại trình duyệt.

Cách 2: Xóa Cache và Cookie Trình Duyệt

Các chính sách HSTS (HTTP Strict Transport Security) được lưu cache hoặc phiếu phiên SSL cũ có thể buộc trình duyệt của bạn cố gắng kết nối với các tham số lỗi thời.

• Chrome/Edge: Nhấn Ctrl+Shift+Delete → chọn All time → đánh dấu Cached images and files và Cookies → nhấn Clear data

• Firefox: Nhấn Ctrl+Shift+Delete → chọn Everything → đánh dấu Cache và Cookies → nhấn Clear Now

• Safari: Menu Safari → Settings → Privacy → Manage Website Data → Remove All

Đối với một tên miền cụ thể, bạn cũng có thể xóa mục HSTS của nó trên Chrome: truy cập chrome://net-internals/#hsts → trong phần "Delete domain security policies" → nhập tên miền → nhấn Delete.

Cách 3: Tắt Giao Thức QUIC

Giao thức QUIC của Chrome (HTTP/3 qua UDP) đôi khi có thể gây cản trở quá trình đàm phán TLS trên các máy chủ không hỗ trợ đúng cách, hoặc khi thiết bị mạng chặn UDP trên cổng 443.

• Bước 1: Gõ chrome://flags/#enable-quic vào thanh địa chỉ

• Bước 2: Đặt Experimental QUIC protocol thành Disabled

• Bước 3: Nhấn Relaunch để khởi động lại Chrome

Nếu lỗi biến mất, vấn đề là do xung đột QUIC/HTTP/3. Bạn có thể để QUIC tắt — các trang sẽ tải qua HTTPS tiêu chuẩn (HTTP/2 qua TCP) mà không có sự khác biệt rõ ràng.

Cách 4: Cập Nhật Trình Duyệt và Hệ Điều Hành

Trình duyệt và hệ điều hành cũ có thể không hỗ trợ các phiên bản TLS hoặc bộ mã hóa mà các website hiện đại yêu cầu. Đây là nguyên nhân phổ biến trên các hệ thống cũ.

Cập nhật Chrome tại chrome://settings/help. Cập nhật Edge tại edge://settings/help. Đối với hệ điều hành, hãy đảm bảo bạn đang chạy ít nhất Windows 10, macOS 10.15 hoặc bản phân phối Linux gần đây. Windows XP và Windows Vista không hỗ trợ TLS 1.2 mặc định và sẽ gặp lỗi này trên hầu hết mọi website hiện đại.

Cách 5: Tắt Tính Năng Quét HTTPS Của Phần Mềm Diệt Virus

Các chương trình diệt virus quét lưu lượng HTTPS (Avast, Kaspersky, Bitdefender, ESET, Norton) hoạt động như một proxy trung gian — chúng chặn quá trình bắt tay TLS và trình bày chứng chỉ riêng cho trình duyệt. Điều này có thể gây ra lỗi cipher mismatch khi phần mềm diệt virus không hỗ trợ cùng bộ mã hóa với máy chủ gốc.

Tìm các cài đặt có tên HTTPS Scanning, SSL Scanning, Web Shield hoặc Encrypted Connection Scanning trong phần mềm diệt virus và tạm thời tắt. Nếu lỗi được giải quyết, hãy thêm tên miền bị ảnh hưởng vào danh sách loại trừ của phần mềm diệt virus thay vì để tính năng này tắt hoàn toàn.

Cách 6: Thử Chế Độ Ẩn Danh / Riêng Tư

Chế độ ẩn danh sử dụng trạng thái trình duyệt sạch không có dữ liệu cache, cookie hay tiện ích mở rộng. Nếu website tải được ở chế độ ẩn danh nhưng không tải ở chế độ thường, thì tiện ích mở rộng, dữ liệu cache hoặc hồ sơ trình duyệt bị hỏng đang gây ra lỗi.

Mở chế độ ẩn danh bằng Ctrl+Shift+N (Chrome/Edge) hoặc Ctrl+Shift+P (Firefox). Nếu trang web hoạt động, quay lại và xóa cache (Cách 2) hoặc tắt từng tiện ích mở rộng một để tìm nguyên nhân.

Cách 7: Tắt VPN hoặc Proxy

VPN và HTTP proxy nằm giữa trình duyệt và máy chủ web. Một số VPN thực hiện kiểm tra SSL hoặc định tuyến kết nối qua máy chủ có hỗ trợ mã hóa hạn chế. Proxy doanh nghiệp thường sử dụng chặn SSL có thể gây ra lỗi cipher mismatch.

Tạm thời ngắt kết nối VPN và thử tải website trực tiếp. Nếu hoạt động bình thường mà không có VPN, hãy thử chuyển sang vị trí máy chủ VPN khác hoặc liên hệ nhà cung cấp VPN về khả năng tương thích TLS của họ.

Cách Khắc Phục ERR_SSL_VERSION_OR_CIPHER_MISMATCH (Cho Chủ Website)

Nếu người dùng báo lỗi này trên website của bạn, vấn đề nằm ở cấu hình SSL/TLS của máy chủ. Các cách khắc phục dưới đây giải quyết các nguyên nhân gốc — từ vấn đề chứng chỉ đến cài đặt giao thức và mã hóa.

Cách 1: Kiểm Tra Chứng Chỉ SSL

Bắt đầu bằng cách xác minh chứng chỉ SSL của bạn còn hiệu lực, chưa hết hạn và bao phủ đúng tên miền. Sử dụng SSL Checker của DNS Robot để quét ngay trạng thái chứng chỉ, ngày hết hạn, nhà phát hành và tính đầy đủ của chuỗi chứng chỉ.

Các vấn đề chứng chỉ phổ biến gây ra lỗi này:

• Chứng chỉ hết hạn — Chứng chỉ Let's Encrypt hết hạn sau mỗi 90 ngày. Nếu tự động gia hạn thất bại, chứng chỉ của bạn sẽ âm thầm hết hạn và trình duyệt từ chối kết nối.

• Sai tên miền — Chứng chỉ bao phủ example.com nhưng trang web được phục vụ tại www.example.com hoặc một subdomain. Chứng chỉ phải khớp chính xác tên miền hoặc bao gồm wildcard (*.example.com).

• Chứng chỉ SHA-1 — Tất cả trình duyệt lớn đã từ chối chứng chỉ SHA-1 vào năm 2017. Nếu chứng chỉ của bạn vẫn sử dụng SHA-1, hãy phát hành lại với SHA-256.

• Chứng chỉ tự ký — Chỉ đáng tin cậy trong môi trường phát triển. Trang web production cần chứng chỉ từ Tổ chức Chứng nhận (CA) được công nhận.

# Check certificate details from command line
openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -dates -subject -issuer -fingerprint -sha256

# Check which TLS versions the server supports
nmap --script ssl-enum-ciphers -p 443 yourdomain.com

# Renew Let's Encrypt certificate
sudo certbot renew --force-renewal

Cách 2: Bật TLS 1.2 và TLS 1.3

Tất cả trình duyệt hiện đại đều yêu cầu ít nhất TLS 1.2. Nếu máy chủ của bạn chỉ cung cấp TLS 1.0 hoặc 1.1, trình duyệt sẽ hiển thị ERR_SSL_VERSION_OR_CIPHER_MISMATCH. Hãy bật cả TLS 1.2 và TLS 1.3 — tắt tất cả phiên bản cũ hơn.

# Nginx — in nginx.conf or site config
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;

# Apache — in httpd.conf or ssl.conf
SSLProtocol -all +TLSv1.2 +TLSv1.3
SSLHonorCipherOrder on

# After changing, restart your web server:
sudo systemctl restart nginx    # or apache2

Sau khi cập nhật, hãy kiểm tra bằng SSL Checker của DNS Robot hoặc Qualys SSL Labs để xác minh rằng chỉ TLS 1.2 và 1.3 đang hoạt động.

Cách 3: Cập Nhật Bộ Mã Hóa (Cipher Suites)

Ngay cả khi đã bật TLS 1.2, việc sử dụng bộ mã hóa lỗi thời cũng gây ra lỗi tương tự. Trình duyệt chặn RC4 (từ 2016), 3DES, mã hóa cấp xuất khẩu và mã hóa NULL. Máy chủ của bạn phải cung cấp các mã hóa AEAD hiện đại như AES-GCM hoặc ChaCha20-Poly1305.

# Nginx — modern cipher configuration
ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305';
ssl_prefer_server_ciphers off;  # Let client choose (TLS 1.3 best practice)

# Apache — modern cipher configuration
SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384
SSLHonorCipherOrder off

Cách 4: Cài Đặt Chuỗi Chứng Chỉ Đầy Đủ

Chuỗi chứng chỉ không đầy đủ — khi máy chủ gửi chứng chỉ của mình nhưng không gửi các chứng chỉ trung gian — có thể gây ra ERR_SSL_VERSION_OR_CIPHER_MISMATCH trên một số trình duyệt và thiết bị. Máy chủ phải gửi chuỗi đầy đủ từ chứng chỉ lá đến CA trung gian.

Đối với Let's Encrypt, luôn sử dụng fullchain.pem (không phải cert.pem). Đối với các CA khác, tải chứng chỉ trung gian từ tài liệu của CA và nối nó với chứng chỉ của bạn.

# Nginx — use fullchain, not just cert
ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem;

# Apache
SSLCertificateFile /etc/letsencrypt/live/yourdomain.com/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/yourdomain.com/privkey.pem

# Verify chain is complete
openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | grep -E "(depth|verify|Certificate chain)"

Cách 5: Sửa Lỗi Tên Chứng Chỉ Không Khớp

Nếu chứng chỉ SSL của bạn không bao phủ chính xác tên miền hoặc subdomain đang được truy cập, quá trình bắt tay TLS có thể thất bại với lỗi cipher mismatch. Điều này thường xảy ra khi:

• www và không có www — Chứng chỉ bao phủ example.com nhưng không bao phủ www.example.com. Giải pháp: sử dụng chứng chỉ bao phủ cả hai, hoặc lấy chứng chỉ wildcard (*.example.com).

• Subdomain không được bao phủ — Chứng chỉ bao phủ example.com nhưng người dùng truy cập app.example.com. Chứng chỉ wildcard bao phủ subdomain cấp một, nhưng không bao phủ nhiều cấp như staging.app.example.com.

• Hoàn toàn sai tên miền — Máy chủ đang trình bày chứng chỉ cho một tên miền khác (phổ biến trên shared hosting hoặc virtual host cấu hình sai).

Kiểm tra tên miền mà chứng chỉ của bạn bao phủ bằng SSL Checker của DNS Robot — công cụ hiển thị danh sách Subject Alternative Names (SANs) cho thấy mọi tên miền và subdomain được chứng chỉ bao phủ.

Cách 6: Sửa Lỗi Dành Riêng Cho Cloudflare

Nếu trang web của bạn sử dụng Cloudflare và khách truy cập thấy ERR_SSL_VERSION_OR_CIPHER_MISMATCH, vấn đề thường liên quan đến cách cấu hình proxy SSL của Cloudflare.

• Chứng chỉ chưa được kích hoạt — Universal SSL của Cloudflare mất từ 15 phút đến 24 giờ để kích hoạt sau khi bạn thêm tên miền. Kiểm tra trạng thái chứng chỉ trong Cloudflare Dashboard → SSL/TLS → Edge Certificates. Trạng thái phải hiển thị "Active".

• Bản ghi DNS đặt thành DNS-only — Bản ghi DNS phải được đặt thành Proxied (đám mây cam) để Cloudflare phục vụ chứng chỉ SSL của nó. Nếu được đặt thành DNS-only (đám mây xám), Cloudflare không proxy kết nối và chứng chỉ của máy chủ gốc được sử dụng thay thế.

• Subdomain nhiều cấp — Chứng chỉ Universal của Cloudflare chỉ bao phủ example.com và *.example.com (một cấp). Đối với sub.sub.example.com, bạn cần Advanced Certificate, Total TLS hoặc chứng chỉ tùy chỉnh.

• Chế độ SSL/TLS không khớp — Trong Cloudflare Dashboard → SSL/TLS, đặt chế độ mã hóa thành Full (Strict) nếu máy chủ gốc có chứng chỉ hợp lệ, hoặc Full nếu sử dụng Cloudflare Origin Certificate.

Cách 7: Kiểm Tra Cấu Hình SSL của CDN

Nếu trang web của bạn sử dụng CDN (CloudFront, Fastly, Akamai hoặc bất kỳ reverse proxy nào), CDN sẽ kết thúc kết nối TLS với khách truy cập. Cấu hình SSL sai ở cấp CDN gây ra lỗi này ngay cả khi SSL của máy chủ gốc hoàn hảo.

• Chứng chỉ CDN hết hạn hoặc thiếu — Đảm bảo CDN có chứng chỉ SSL hợp lệ cho tên miền của bạn. Trên AWS CloudFront, điều này có nghĩa là chứng chỉ ACM. Trên các CDN khác, hãy xác minh chứng chỉ tùy chỉnh đã được tải lên và đang hoạt động.

• Phiên bản TLS của CDN quá cũ — Một số cấu hình CDN mặc định cho phép TLS 1.0. Hãy cập nhật phiên bản TLS tối thiểu của CDN lên 1.2.

• SNI không được hỗ trợ — Nếu CDN phục vụ nhiều tên miền từ một IP, nó phải hỗ trợ Server Name Indication (SNI) để trình bày chứng chỉ chính xác cho từng tên miền.

Cách Kiểm Tra Cấu Hình SSL Của Bạn

Sau khi thay đổi, hãy xác minh cấu hình SSL của bạn là chính xác. Các công cụ này giúp bạn phát hiện vấn đề trước khi khách truy cập gặp phải.

• [DNS Robot SSL Checker](/ssl-checker) — Kiểm tra nhanh trạng thái chứng chỉ, ngày hết hạn, tính đầy đủ của chuỗi và nhà phát hành. Có kết quả trong vài giây.

• Qualys SSL Labs — Quét chuyên sâu các phiên bản TLS, bộ mã hóa, hỗ trợ giao thức và các lỗ hổng đã biết. Cho điểm xếp hạng bằng chữ cái (mục tiêu đạt A hoặc A+).

• OpenSSL CLI — Kiểm tra từ dòng lệnh với openssl s_client -connect domain.com:443 để xem quá trình bắt tay thô, chuỗi chứng chỉ và mã hóa được thương lượng.

• Chrome DevTools — Mở DevTools (F12) → tab Security → hiển thị phiên bản TLS, bộ mã hóa và chi tiết chứng chỉ cho kết nối hiện tại.

# Quick OpenSSL check — shows protocol, cipher, and certificate
openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | grep -E "(Protocol|Cipher|subject|issuer|Not After)"

# Test specific TLS version support
openssl s_client -connect yourdomain.com:443 -tls1_2 2>/dev/null | head -5  # Test TLS 1.2
openssl s_client -connect yourdomain.com:443 -tls1_3 2>/dev/null | head -5  # Test TLS 1.3

Các Lỗi SSL/TLS Liên Quan

Chrome có nhiều mã lỗi liên quan đến SSL. Chúng đều chỉ ra các giai đoạn thất bại khác nhau của TLS.

Đối với bất kỳ lỗi SSL nào trong số này, hãy bắt đầu bằng cách kiểm tra chứng chỉ với SSL Checker của DNS Robot. Công cụ hiển thị trạng thái chứng chỉ, chuỗi, ngày hết hạn và các giao thức được hỗ trợ trong một lần quét. Bạn cũng có thể đọc hướng dẫn của chúng tôi về ERR_SSL_PROTOCOL_ERROR và Kết nối của bạn không riêng tư để xem các cách khắc phục chi tiết.