ERR_SSL_VERSION_OR_CIPHER_MISMATCH 해결

Problem

Chrome에서 ERR_SSL_VERSION_OR_CIPHER_MISMATCH가 표시되고, 페이지 내용이 뜨기도 전에, 인증서 경고 단계에 도달하기도 전에 HTTPS 연결이 핸드셰이크 도중 끊어집니다.

Symptoms

• Chrome은 ERR_SSL_VERSION_OR_CIPHER_MISMATCH, Firefox는 SSL_ERROR_NO_CYPHER_OVERLAP 또는 “지원되지 않는 프로토콜”을 표시합니다.
• 연결이 즉시 실패하며, “연결이 비공개로 설정되어 있지 않습니다” 인증서 단계까지 가지 않습니다.
• 구형 기기나 클라이언트는 연결되는데 최신 브라우저만 실패하기도 합니다.

Top 3 Causes

1. 폐기된 프로토콜만 제공 - 서버가 여전히 SSLv3, TLS 1.0, TLS 1.1만 제공하고 그 이상은 없는 경우. 브라우저는 2020년 무렵 이들을 기본 차단했고 RFC 8996이 2021년 TLS 1.0/1.1을 공식 폐기해, 공통 버전이 남지 않습니다.
2. 약하거나 제거된 암호만 제공 - 서버 암호 목록이 브라우저가 버린 스위트(RC4 — Chrome 48에서 제거, export 등급, 3DES)로만 구성된 경우. 겹치는 암호가 없습니다.
3. SNI 호스트명에 맞는 인증서 부재 - 서버가 요청된 이름에 제시할 인증서가 없어 협상이 완료되지 못합니다.

Diagnose with DechoNet

• SSL Check로 서버가 실제로 제공하는 TLS 버전과 암호 스위트, 그리고 유효한 인증서가 돌아오는지 확인합니다.
• Port Check로 443 포트가 외부에서 도달 가능한지 확인합니다.
• HTTP Check로 HTTP에서 HTTPS로의 리다이렉트 동작을 확인합니다.

Resolution Checklist

• TLS 1.2와 TLS 1.3을 활성화하고 SSLv3, TLS 1.0, TLS 1.1을 비활성화합니다.
• 암호 목록을 최신 집합(Mozilla “intermediate” 프로필이 안전한 기준)으로 교체하고 RC4, 3DES, export 스위트를 제거합니다.
• 브라우저가 보내는 SNI 이름을 포함해, 정확한 호스트명에 맞는 인증서가 설치돼 있는지 확인합니다.
• CDN이나 로드밸런서가 TLS를 종료한다면 origin뿐 아니라 그 지점의 프로토콜·암호 정책을 수정합니다.
• 변경 후 SSL Check를 다시 실행해 TLS 1.2/1.3과 최신 암호가 실제로 협상되는지 확인합니다.

When to Escalate

• 프로토콜·암호 정책을 직접 수정할 수 없다면 CDN 또는 관리형 TLS 제공업체에 문의하세요.
• 레거시 클라이언트가 정말로 구형 프로토콜을 필요로 한다면, 재활성화는 소유자의 보안 의사결정으로 다루세요 — 깨진 프로토콜을 조용히 되살리지 마세요.