“网站使用的协议不受支持”通常因tls版本不兼容导致,需启用tls 1.2/1.3、禁用旧协议、重置浏览器flags、修改注册表、调整firefox配置及更新根证书。
如果您尝试访问某个网站时,浏览器显示“网站使用的协议不受支持”,这通常意味着客户端与服务器之间无法就TLS版本达成一致,常见于TLS 1.0/1.1被禁用而服务器未启用TLS 1.2或更高版本,或客户端TLS设置被异常修改。以下是修复TLS设置的多种方法:
一、启用TLS 1.2及TLS 1.3(Windows系统)
Windows默认可能禁用较新TLS版本,需通过系统设置手动启用,确保浏览器可协商使用现代加密协议。
1、按下 Win + R 打开运行窗口,输入 inetcpl.cpl 并回车。
2、切换到“高级”选项卡,向下滚动至“安全”区域。
3、勾选 TLS 1.2 和 TLS 1.3 复选框,取消勾选 SSL 2.0、SSL 3.0、TLS 1.0、TLS 1.1(除非明确需要兼容老旧服务)。
4、点击“确定”,重启所有已打开的浏览器窗口。
二、重置Chrome浏览器TLS相关标志
Chrome可通过内部flags页面强制启用或禁用实验性TLS行为,某些误配置会导致协议协商失败,需恢复默认或启用关键选项。
1、在Chrome地址栏输入 chrome://flags/#tls13-variant 并回车。
2、将 TLS 1.3 选项设为 Enabled 或 Default。
3、在地址栏输入 chrome://flags/#ssl-version-min 并回车。
4、将 Minimum SSL/TLS version 设为 TLS 1.2。
5、点击右下角“重新启动”按钮使更改生效。
三、修改注册表强制启用TLS 1.2(管理员权限)
当组策略或系统级限制导致TLS 1.2不可用时,可通过注册表直接写入启用开关,适用于企业环境或深度锁定系统。
1、以管理员身份运行 regedit。
2、导航至路径:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client。
3、若 Client 项不存在,右键“Protocols” → 新建 → 项,命名为 TLS 1.2,再在其下新建项 Client。
4、在 Client 项右侧空白处右键 → 新建 → DWORD (32位) 值,命名为 Enabled,双击将其值设为 1。
5、同理,在同一路径下的 Server 子项中也创建并设为 1(如需本地服务响应TLS 1.2请求)。
四、在Firefox中启用TLS 1.3并禁用弱协议
Firefox使用独立的配置系统(about:config),需手动调整底层网络协议参数,避免因遗留配置导致协商降级。
1、在Firefox地址栏输入 about:config,确认风险提示进入设置页。
2、在搜索栏输入 security.tls.version.min,双击将其值改为 4(对应TLS 1.3)。
3、搜索 security.tls.version.max,确保其值为 4。
4、搜索 security.tls.unsafe_fallback_ssl3_enabled,双击设为 false。
5、关闭并重启Firefox。
五、检查并更新根证书存储
TLS握手失败有时并非协议版本问题,而是因缺少有效根证书导致无法验证服务器身份,进而中断连接流程,需同步更新系统证书库。
1、访问微软官网下载最新 Windows Root Certificate Program Update(KB931125或更新版本)。
2、以管理员身份运行下载的安装包,按提示完成安装。
3、打开命令提示符(管理员),执行:certmgr.msc,确认“受信任的根证书颁发机构”列表中存在 DigiCert TLS RSA SHA256 2022 CA1、ISRG Root X1 等主流CA证书。
4、若缺失,可手动从 https://curl.se/ca/cacert.pem 下载PEM文件,使用 certutil -addstore root cacert.pem 导入。
