Redirecting you to
Post del blog nov 23, 2023

Errori di handshake TLS/SSL e come risolverli

Transport Layer Security (TLS), chiamato anche Secure Sockets Layer (SSL), è un protocollo di sicurezza che cripta i dati scambiati tra due punti di Internet (ad esempio, un server Web e un browser). Inoltre, autentica l'identità di un sito web.

Indice

TLS è essenziale per proteggere i dati sensibili dei clienti e le informazioni critiche per l'azienda. Fornisce le funzionalità di crittografia richieste dalla maggior parte delle normative sulla privacy dei dati. Inoltre, l'HTTPS, che indica che un sito web utilizza il protocollo TLS/SSL, è un fattore di ranking SEO.

Tuttavia, l'acquisto e l'installazione di un certificato TLS è solo il primo passo. Bisogna anche assicurarsi che gli utenti possano stabilire una connessione sicura, prevenendo e risolvendo gli errori TLS, come il fallimento dell'handshake TLS o i timeout.  

Un errore di handshake TLS impedisce al browser di stabilire una connessione sicura con un sito web o un servizio online. Può essere dannoso per l'azienda perché gli hacker possono intercettare o manipolare dati sensibili come informazioni personali, credenziali di accesso e numeri di carte di credito. La violazione della sicurezza che ne consegue potrebbe offuscare la vostra reputazione, diminuire la fiducia dei clienti, portare alla perdita di attività e causare problemi di conformità.

Perché si verificano i guasti o i timeout dell'handshake TLS/SSL e come si possono risolvere? Vediamo le cause più comuni, come affrontarle e come prevenire questi errori in modo proattivo.

Che cos'è un errore di handshake TLS?

Il messaggio “SSL handshake failed” indica che si è verificato un errore quando il server e il client cercano di stabilire una connessione sicura. 

Quali sono le cause di un errore TLS handshake failed e come risolverlo?

Gli errori TLS hanno varie cause, che richiedono soluzioni diverse. Le più comuni sono:

Cause lato client di un errore di handshake TLS

  • Orario di sistema errato : Un errore TLS si verifica quando l'orologio di sistema è diverso dall'ora reale. Poiché un certificato SSL/TLS specifica un periodo di validità, una mancata corrispondenza tra data e ora può portare a un errore di handshake. L'utente può risolvere questo errore correggendo la data e l'ora del sistema.

  • Errore del browser : Una configurazione errata del browser o un plugin possono causare un errore di handshake SSL/TLS. L'utente può passare a un altro browser per scoprire se un errore di handshake TLS è causato dalla configurazione del browser. Se il sito continua a non connettersi, disattivare tutti i plugin e riprovare.
  • Attacco Man-in-the-middle (MITM) : Oltre alle attività dannose, questo errore può verificarsi quando la connessione viene interrotta da un componente di rete come un firewall. Se l'interruzione avviene sul lato client, l'utente può modificare le impostazioni della VPN o dell'antivirus per risolvere il problema.

Cause lato server di un errore di handshake TLS

  • Disadattamento del protocollo : Un errore di handshake TLS si verifica quando il client e il server non supportano reciprocamente una versione TLS, ad esempio, il browser supporta TLS 1.0 o TLS 1.1 mentre il server supporta TLS 1.3. In questo caso, l'utente deve aggiornare il proprio browser per farlo funzionare con la versione TLS più recente. In questo caso, l'utente deve aggiornare il proprio browser per farlo funzionare con la versione TLS più recente.
  • Incompatibilità della suite di cifratura : L'errore si verifica quando il client e il server non hanno una suite di cifratura compatibile, ossia non riescono a concordare le modalità di cifratura e decifratura dei dati. Poiché TLS 1.3 ha deprecato i cifrari obsoleti, è meglio che il client si aggiorni all'ultima versione di TLS.
  • Server abilitati all'SNI : L'indicazione del nome del server (SNI) può causare errori TLS quando un client/dispositivo vecchio non supporta SNI o il server ha configurazioni SNI errate. È possibile risolvere questo errore assicurandosi che le configurazioni SNI del server siano accurate e che il certificato SSL/TLS corrisponda ai nomi host.
  • Problemi con i certificati : I certificati revocati, inattivi o scaduti possono causare errori TLS. Un errore di handshake può verificarsi anche quando il nome host non corrisponde al nome comune (CN) del certificato. È possibile prevenire questi problemi acquistando i certificati TLS da un'autorità di certificazione (CA) affidabile e stabilendo un solido processo di gestione dei certificati digitali.

Che cos'è il timeout dell'handshake TLS?

Questo errore TLS si verifica quando il processo di handshake dura più del tempo prestabilito. Il tentativo di connessione viene considerato fallito e l'handshake viene interrotto.

Quali sono le cause di un timeout dell'handshake TLS e come risolverlo?

Questi problemi possono causare un errore di timeout:

  • Latenza di rete e connessioni di rete lente che ritardano la trasmissione dei messaggi di handshake.
  • Un carico pesante del server o una limitazione delle risorse che aumentano il tempo necessario per completare l'handshake
  • Dispositivi di rete intermedi come firewall o proxy che possono introdurre interferenze o ritardi.
  • Un server irraggiungibile, non disponibile o in fase di downtime. 
  • Problemi sul lato client, come dispositivi lenti o con scarse prestazioni.

Esistono vari modi per risolvere gli errori di timeout dell'handshake TLS, a seconda della causa principale. Si possono ottimizzare le prestazioni del server mettendo a disposizione risorse sufficienti per gestire le richieste in arrivo. Si può anche implementare il bilanciamento del carico per evitare di sovraccaricare un singolo server.

Inoltre, verificare le impostazioni TLS, le suite di cifratura e le altre configurazioni del server. Monitorate le condizioni della rete e risolvete i problemi o la latenza che possono causare potenziali ritardi. Tenete aggiornati il software del server e le librerie SSL/TLS per essere sempre al passo con i miglioramenti delle prestazioni e le correzioni dei bug

Come prevenire gli errori di handshake TLS/SSL

Prevenire in modo proattivo gli errori di handshake TLS/SSL aiuta a garantire che utenti e clienti possano accedere al vostro sito web o ai servizi online senza interruzioni. Inoltre, contribuisce a offrire un'esperienza senza interruzioni per promuovere l'efficienza operativa, ridurre al minimo i costosi tempi di inattività e creare fiducia nei visitatori. 

Poiché i malfunzionamenti dell'handshake TLS possono essere causati da diverse ragioni, la prevenzione proattiva deve riguardare vari aspetti, tra cui la corretta configurazione, il monitoraggio e le best practice di manutenzione.

Configurare il server in modo che supporti i protocolli TLS più recenti (ad esempio, TLS 1.2 e 1.3) e algoritmi di crittografia forti. Verificare che la catena di certificati sia completa e che la configurazione SNI del server corrisponda ai nomi CN e host del certificato. Inoltre, bilanciare le risorse del server (ad esempio, CPU, memoria, larghezza di banda) per garantire una rapida gestione delle richieste di handshake. Aggiornare regolarmente il server e i sistemi operativi per ridurre al minimo i problemi di prestazioni.

Monitorate le condizioni della rete per prevenire la latenza ed evitare di sovraccaricare i server. Implementate un processo di gestione degli errori per comunicare i problemi agli utenti e un flusso di registrazione per aiutare a diagnosticare e risolvere i problemi. Inoltre, testate il vostro sito web o servizio su vari browser e dispositivi client per verificare la compatibilità e identificare potenziali problemi che possono causare errori TLS.

Soprattutto, mantenere attivi e accurati i certificati TLS/SSL di una CA affidabile. Ad esempio, Sectigo offre diversi tipi di certificati TLS/SSL (ad esempio, convalida estesa, convalida dell'organizzazione, convalida del dominio, wildcard e multidominio). Questi certificati soddisfano gli standard più elevati con una crittografia a 256 bit, la più forte disponibile per le connessioni web.

Ma l'acquisto dei certificati TLS è solo il primo passo. È necessario implementare un processo di gestione dei certificati a prova di bomba per evitare che certificati scaduti, inattivi o revocati causino errori TLS. Il modo migliore per garantire che nulla vada perso è automatizzare i flussi di lavoro con una solida piattaforma di gestione dei certificati.

Il Certificate Manager (SCM) di Sectigo è una piattaforma universale e indipendente dalle CA che aiuta le aziende a scoprire, consolidare e gestire tutti i certificati digitali in un unico luogo. Iniziate la vostra prova gratuita per vedere come potete avere una visione d'insieme del vostro inventario di certificati, semplificare i flussi di lavoro e ridurre al minimo gli errori TLS.