Lỗi ERR_SSL_VERSION_OR_CIPHER_MISMATCH: nguyên nhân và cách khắc phục

Bạn đang truy cập website bình thường thì trình duyệt bất ngờ hiện lỗi ERR_SSL_VERSION_OR_CIPHER_MISMATCH, chặn không cho vào trang? Lỗi này liên quan đến quá trình bắt tay SSL/TLS giữa trình duyệt và máy chủ web. Nói nôm na, trình duyệt và server “không nói chung một ngôn ngữ bảo mật”, nên kết nối bị từ chối.

Bài viết này mình sẽ giải thích rõ lỗi ERR_SSL_VERSION_OR_CIPHER_MISMATCH là gì, tại sao nó xảy ra, và quan trọng nhất là cách khắc phục cho cả chủ website lẫn người dùng thông thường.

Lỗi ERR_SSL_VERSION_OR_CIPHER_MISMATCH là gì?

Khi bạn truy cập một website sử dụng HTTPS, trình duyệt sẽ thực hiện quá trình gọi là SSL/TLS handshake với máy chủ. Quá trình này nhằm xác minh chứng chỉ SSL của website và thiết lập một kết nối mã hoá an toàn. Hiểu đơn giản, trình duyệt và server cần “thống nhất” một phiên bản giao thức và bộ mã hoá chung trước khi bắt đầu truyền dữ liệu.

Lỗi ERR_SSL_VERSION_OR_CIPHER_MISMATCH xảy ra khi quá trình handshake này thất bại. Cụ thể, trình duyệt và máy chủ không tìm được phiên bản giao thức SSL/TLS hoặc bộ mã hoá (cipher suite) chung nào để giao tiếp. Kết quả là trình duyệt chặn kết nối hoàn toàn và hiện thông báo lỗi thay vì nội dung website.

Trên Chrome, bạn sẽ thấy dòng “ERR_SSL_VERSION_OR_CIPHER_MISMATCH” kèm thông báo “This site can’t provide a secure connection”. Trên Firefox thì lỗi hiển thị dưới dạng “SSL_ERROR_NO_CYPHER_OVERLAP”. Tuy tên khác nhau nhưng bản chất là một: trình duyệt không thể thiết lập kết nối bảo mật với server.

Chỗ cần lưu ý: đây không phải lỗi do virus hay malware. Trình duyệt đang làm đúng nhiệm vụ bảo vệ bạn khỏi kết nối không an toàn. Vấn đề nằm ở cấu hình SSL/TLS của website hoặc ở phía thiết bị, trình duyệt của người dùng.

Nguyên nhân gây ra lỗi ERR_SSL_VERSION_OR_CIPHER_MISMATCH

Lỗi này có thể đến từ phía máy chủ (server-side) hoặc từ phía người dùng (client-side). Dưới đây là các nguyên nhân phổ biến:

Từ phía máy chủ / website

• Chứng chỉ SSL hết hạn hoặc không hợp lệ: Chứng chỉ đã expired, bị thu hồi, hoặc được cấp cho tên miền khác.
• Phiên bản TLS quá cũ: Server chỉ hỗ trợ TLS 1.0 hoặc 1.1, trong khi trình duyệt hiện đại đã ngừng hỗ trợ các phiên bản này.
• Bộ mã hoá (cipher suite) không tương thích: Server dùng cipher cũ như RC4 mà trình duyệt không còn chấp nhận.
• Cấu hình CDN sai: Khi dùng Cloudflare hay CDN khác mà chứng chỉ Universal SSL chưa kích hoạt hoặc cấu hình SSL/TLS chưa đúng.
• Tên miền không khớp với chứng chỉ: Ví dụ chứng chỉ chỉ cover example.com nhưng người dùng truy cập www.example.com, hoặc subdomain nhiều cấp như dev.app.example.com.

Từ phía người dùng

• Trình duyệt hoặc hệ điều hành quá cũ: Không hỗ trợ TLS 1.2/1.3.
• Cache trình duyệt bị lỗi: Dữ liệu cache cũ chứa thông tin SSL không còn hợp lệ.
• Phần mềm diệt virus hoặc firewall: Một số phần mềm bảo mật quét SSL/TLS và can thiệp vào kết nối.
• Giao thức QUIC gây xung đột: QUIC là giao thức thử nghiệm trên Chrome, đôi khi xung đột với cấu hình SSL của một số website.

Cách khắc phục lỗi ERR_SSL_VERSION_OR_CIPHER_MISMATCH (cho chủ website)

Nếu bạn là chủ website hoặc quản trị viên, đây là các bước xử lý từ phía server.

1. Kiểm tra chứng chỉ SSL/TLS

Bước đầu tiên là kiểm tra xem chứng chỉ SSL trên website có đang hoạt động bình thường không. Bạn có thể dùng công cụ miễn phí Qualys SSL Labs (ssllabs.com/ssltest) để test.

Nhập tên miền vào và chờ vài phút để công cụ phân tích. Kết quả sẽ cho bạn biết:

• Chứng chỉ có hợp lệ và chưa hết hạn không
• Phiên bản TLS đang dùng là bao nhiêu
• Có đang dùng cipher suite cũ (RC4) không
• Tên miền trên chứng chỉ có khớp với URL truy cập không

Nếu chứng chỉ đã hết hạn, bạn cần gia hạn hoặc cài lại chứng chỉ mới. Với hosting dùng cPanel, thao tác gia hạn Let’s Encrypt chỉ mất vài click trong mục SSL/TLS Status. Nếu dùng VPS tự quản lý, bạn có thể dùng certbot để gia hạn:

sudo certbot renew
sudo systemctl reload nginx

Trường hợp tên miền trên chứng chỉ không khớp (ví dụ cert cover example.com nhưng không cover www.example.com), bạn cần cài lại SSL cho đúng. Một cách đơn giản là dùng chứng chỉ Wildcard (*.example.com) để cover cả domain chính lẫn subdomain cấp 1.

2. Cập nhật phiên bản TLS trên máy chủ

Trình duyệt hiện đại yêu cầu tối thiểu TLS 1.2, và lý tưởng nhất là TLS 1.3. Nếu server của bạn vẫn đang chạy TLS 1.0 hoặc 1.1, đó chính là nguyên nhân gây lỗi.

Với Apache, bạn mở file cấu hình SSL (thường là /etc/apache2/mods-enabled/ssl.conf trên Ubuntu) và thêm hoặc sửa dòng:

SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1

Dòng này vô hiệu hoá SSLv3, TLS 1.0 và TLS 1.1, chỉ giữ lại TLS 1.2 và 1.3.

Với Nginx, chỉnh trong block server:

ssl_protocols TLSv1.2 TLSv1.3;

Sau khi sửa, restart lại web server:

# Apache
sudo systemctl restart apache2
# Nginx
sudo systemctl restart nginx

Lưu ý: Apache phiên bản 2.4.36 trở lên mới hỗ trợ TLS 1.3. Nếu server đang chạy phiên bản cũ hơn, bạn cần nâng cấp Apache trước.

3. Tắt cipher suite RC4 và cấu hình cipher hiện đại

RC4 là thuật toán mã hoá cũ, đã bị phát hiện có lỗ hổng bảo mật. Các trình duyệt hiện đại từ chối kết nối với server sử dụng RC4.

Kiểm tra xem server có đang dùng RC4 không bằng Qualys SSL Labs (kết quả sẽ hiện rõ trong phần Protocol Details). Nếu có, cần cập nhật cấu hình cipher suite.

Với Apache, thêm vào file ssl.conf:

SSLCipherSuite HIGH:!aNULL:!MD5:!RC4
SSLHonorCipherOrder on

Với Nginx:

ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';
ssl_prefer_server_ciphers on;

Cấu hình trên loại bỏ RC4, MD5 và các cipher yếu, chỉ giữ lại các cipher mạnh theo chuẩn hiện tại.

4. Kiểm tra cấu hình SSL trên Cloudflare (nếu dùng CDN)

Nếu website dùng Cloudflare, lỗi ERR_SSL_VERSION_OR_CIPHER_MISMATCH thường gặp khi bạn vừa thêm domain vào Cloudflare mà chứng chỉ Universal SSL chưa kịp kích hoạt (có thể mất từ 15 phút đến 24 giờ).

Cách xử lý:

• Chờ chứng chỉ kích hoạt: Vào Cloudflare Dashboard > SSL/TLS > Edge Certificates, kiểm tra trạng thái chứng chỉ Universal. Nếu chưa Active, đợi thêm.
• Tạm pause Cloudflare: Trong mục Overview > Advanced Actions > Pause Cloudflare on this site. Website sẽ load trực tiếp từ server gốc cho đến khi chứng chỉ sẵn sàng.
• Tắt rồi bật lại Universal SSL: Vào SSL/TLS > Edge Certificates > kéo xuống cuối > Disable Universal SSL. Đợi vài phút rồi bật lại.
• Xoá cache Cloudflare: Vào Caching > Configuration > Purge Everything.

Ngoài ra, nếu website dùng subdomain nhiều cấp (ví dụ dev.app.example.com), chứng chỉ Universal SSL mặc định của Cloudflare sẽ không cover. Bạn cần bật Total TLS hoặc mua Advanced Certificate để hỗ trợ subdomain nhiều cấp.

Mẹo: Khi vừa thêm domain vào Cloudflare, nên chờ ít nhất 15-30 phút cho chứng chỉ Universal SSL kích hoạt trước khi bật proxy (biểu tượng đám mây cam). Nếu bật proxy ngay, người dùng sẽ gặp lỗi cho đến khi chứng chỉ sẵn sàng.

Cách khắc phục lỗi ERR_SSL_VERSION_OR_CIPHER_MISMATCH (cho người dùng)

Nếu bạn là người truy cập website và gặp lỗi này, có một số bước đơn giản có thể thử trước khi liên hệ quản trị viên website.

1. Xoá cache và cookies trình duyệt

Cache trình duyệt đôi khi giữ lại thông tin SSL cũ, gây xung đột khi website đã cập nhật chứng chỉ mới. Cách xoá nhanh:

• Windows/Linux: Nhấn Ctrl + Shift + Delete trong trình duyệt
• macOS: Nhấn Cmd + Shift + Delete
• Chọn xoá Cached images and files và Cookies, chọn thời gian All time, rồi nhấn Clear data

2. Xoá SSL State trên hệ điều hành

Hệ điều hành cũng lưu cache các chứng chỉ SSL đã truy cập trước đó. Nếu chứng chỉ đã thay đổi mà cache chưa cập nhật, lỗi sẽ xảy ra.

Trên Windows:

1. Mở Start Menu, tìm Internet Options
2. Chọn tab Content
3. Nhấn Clear SSL State
4. Nhấn OK để lưu

Trên macOS:

1. Mở Keychain Access (từ Spotlight hoặc Utilities)
2. Chọn tab Certificates
3. Tìm chứng chỉ liên quan đến website bị lỗi (thường đánh dấu đỏ nếu không hợp lệ)
4. Click chuột phải > Delete

3. Cập nhật trình duyệt và hệ điều hành

Trình duyệt và hệ điều hành cũ có thể không hỗ trợ TLS 1.2 hoặc 1.3. Nếu bạn đang dùng Windows XP, Windows 7 chưa cập nhật, hoặc trình duyệt phiên bản rất cũ, hãy nâng cấp lên bản mới nhất.

Kiểm tra phiên bản Chrome: vào Menu (⋮) > Help > About Google Chrome. Trình duyệt sẽ tự kiểm tra và cập nhật nếu có bản mới.

4. Tắt tạm phần mềm diệt virus hoặc tắt giao thức QUIC

Một số phần mềm bảo mật (Kaspersky, Avast, ESET…) có tính năng quét SSL/TLS, can thiệp vào kết nối và gây lỗi. Bạn có thể tắt tạm tính năng HTTPS scanning hoặc SSL/TLS protocol filtering trong phần mềm diệt virus để kiểm tra.

Ngoài ra, giao thức QUIC trên Chrome đôi khi cũng gây xung đột. Để tắt:

1. Mở Chrome, gõ chrome://flags vào thanh địa chỉ
2. Tìm Experimental QUIC protocol
3. Chuyển sang Disabled
4. Nhấn Relaunch để khởi động lại Chrome

Lưu ý: Tắt phần mềm diệt virus chỉ nên làm tạm thời để test. Nhớ bật lại ngay sau khi kiểm tra xong.

Lỗi ERR_SSL_VERSION_OR_CIPHER_MISMATCH trên các trình duyệt khác nhau

Lỗi này không chỉ xuất hiện trên Chrome. Mỗi trình duyệt hiển thị thông báo khác nhau nhưng nguyên nhân giống nhau:

• Google Chrome: ERR_SSL_VERSION_OR_CIPHER_MISMATCH
• Mozilla Firefox: SSL_ERROR_NO_CYPHER_OVERLAP
• Microsoft Edge: Tương tự Chrome (cùng engine Chromium)
• Safari: “Safari can’t establish a secure connection to the server”

Nếu bạn gặp lỗi trên một trình duyệt, thử truy cập bằng trình duyệt khác. Nếu tất cả đều lỗi, vấn đề nằm ở phía server. Nếu chỉ một trình duyệt lỗi, vấn đề có thể do cache hoặc cài đặt riêng của trình duyệt đó.

Cách kiểm tra nhanh chứng chỉ SSL từ trình duyệt

Bạn không cần công cụ bên ngoài để kiểm tra sơ bộ. Ngay trên Chrome, bạn có thể xem thông tin chứng chỉ SSL:

1. Click chuột phải vào trang web > chọn Inspect (hoặc nhấn F12)
2. Chuyển sang tab Security
3. Ở đây bạn sẽ thấy phiên bản TLS đang dùng, thông tin chứng chỉ, và trạng thái kết nối
4. Nhấn View certificate để xem chi tiết: ngày hết hạn, tên miền được cover, tổ chức cấp chứng chỉ

Thông tin này giúp bạn nhanh chóng xác định được lỗi nằm ở đâu: chứng chỉ hết hạn, tên miền không khớp, hay phiên bản TLS quá cũ.

Ngoài ra, bạn cũng có thể kiểm tra nhanh bằng command line. Mở Terminal hoặc Command Prompt và chạy:

openssl s_client -connect example.com:443 -tls1_2

Thay example.com bằng domain bạn cần kiểm tra. Lệnh này sẽ hiện thông tin chi tiết về chứng chỉ SSL, phiên bản TLS, và cipher đang dùng. Nếu kết nối thất bại, bạn sẽ biết ngay server không hỗ trợ TLS 1.2.

Câu hỏi thường gặp

Tổng kết

Lỗi ERR_SSL_VERSION_OR_CIPHER_MISMATCH nghe phức tạp nhưng nguyên nhân thường khá rõ ràng: chứng chỉ SSL hết hạn, phiên bản TLS quá cũ, cipher suite không tương thích, hoặc cấu hình CDN chưa đúng.

Nếu bạn là chủ website, hãy bắt đầu bằng việc kiểm tra chứng chỉ SSL qua Qualys SSL Labs, sau đó xem xét cấu hình TLS và cipher suite trên server. Hầu hết trường hợp chỉ cần gia hạn chứng chỉ hoặc bật TLS 1.2/1.3 là xong.

Nếu bạn là người dùng, thử xoá cache trình duyệt, xoá SSL state, cập nhật trình duyệt lên bản mới nhất, và kiểm tra xem phần mềm diệt virus có đang can thiệp kết nối SSL không. Thường chỉ cần 1-2 bước là truy cập lại được.

Nếu bạn đang tìm dịch vụ hosting có chứng chỉ SSL miễn phí và cấu hình TLS luôn cập nhật, hãy tham khảo các gói hosting tại AZDIGI. Chúng mình hỗ trợ Let’s Encrypt tự động gia hạn và cấu hình TLS 1.3 mặc định trên tất cả các gói, giúp bạn không phải lo về các lỗi SSL kiểu này.