An ssl error has occurred and a secure connection to the server cannot be made

Устранение неполадок с MSAL для iOS и macOS TLS/SSL

В этой статье содержатся сведения, помогающие устранить проблемы, которые могут возникнуть при использовании библиотеки проверки подлинности Майкрософт (MSAL) для iOS и macOS

проблемы с сетью.

Ошибка 1200: «An SSL error has occurred and a secure connection to the server can’t be made» (Произошла ошибка SSL, не удается установить безопасное соединение с сервером).

Эта ошибка означает, что соединение не защищено. Это происходит, когда сертификат недействителен. Дополнительные сведения, в том числе о том, какой сервер не проходит проверку TLS, см. в параметре NSURLErrorFailingURLErrorKey в словаре userInfo объекта ошибки.

Эта ошибка связана с сетевой библиотекой Apple. Полный список кодов ошибок NSURL находится в NSURLError.h в пакетах SDK для macOS и iOS. Дополнительные сведения об этой ошибке см. в разделе Коды системных ошибок загрузки URL-адресов.

Проблемы с сертификатом

Если URL-адрес, предоставляющий недопустимый сертификат, подключается к серверу, который планируется использовать в процессе проверки подлинности, диагностику проблемы хорошо начать с проверки URL-адреса с помощью службы проверки SSL, такой как SSL Server Test. Она тестирует сервер на основе широкого спектра сценариев и браузеров и проверяет их на наличие многих известных уязвимостей.

По умолчанию новая функция защиты транспорта приложений Apple (ATS) применяет более строгие политики безопасности к приложениям, использующим сертификаты TLS/SSL. Некоторые операционные системы и веб-браузеры начали применять некоторые из этих политик по умолчанию. По соображениям безопасности рекомендуется не отключать ATS.

Сертификаты, использующие хэши SHA-1, имеют известные уязвимости. Большинство современных веб-браузеров не разрешают сертификаты с хэшами SHA-1.

Порталы Captive

Captive Portal предоставляет пользователю веб-страницу при первом доступе к сети Wi-Fi, но не предоставляет доступ к этой сети. Он перехватывает интернет-трафик до тех пор, пока пользователь не будет удовлетворять требованиям портала. Сетевые ошибки из-за того, что пользователь не может подключиться к сетевым ресурсам, ожидаются до тех пор, пока пользователь не подключится через портал.

«An SSL error has occurred and a secure connection to the server cannot be made» #27

Comments

dsernst commented Feb 9, 2017

I’m following the example from the readme exactly, but running into this fatal error during upload:

Will keep investigating.

The text was updated successfully, but these errors were encountered:

benjreinhart commented Feb 9, 2017

Thanks for reporting!

I have not seen this, and I tested uploads in my environment last night. Will keep an eye on it though.

dsernst commented Feb 9, 2017 •

I had added the IAM policy like you specified here, but I hadn’t done anything to configure the bucket after it was created. Do you know offhand if permissions need to be adjusted there as well?

Will keep investigating.

benjreinhart commented Feb 9, 2017

I do not remember, but it’s definitely possible. I do remember having to poke around and bucket permissions/IAM policies for a while before it made sense to me, then I dumped my permissions on this readme.

Wish I could be of more help!

dsernst commented Feb 9, 2017 •

Fighting with AWS permissions always makes me feel like 😒 🙃

dsernst commented Feb 10, 2017 •

Well this particular SSL error went away. I tried a number of things so I’m not positive which made the difference.

I’m going to close this issue for now, although I’m still having some other trouble, but I’ll open more specific issues for those or comment on existing problems I’m seeing, such as #26

dsernst commented Feb 10, 2017 •

I was able to get everything working.

Once I found that, I realized a spot where I had a typo ( us-west-2 instead of us-west-1 ) and was able to get everything working perfectly now. 🏆

Once I got it working, I was able to tighten up all the settings on the bucket and everything is still working fine. So re my earlier question about needing to grant permissions to the bucket rather than just adding the IAM policy to the AccessKey, it was not necessary.

PS, it’s still all working for me even though I tightened up the AccessKey’s policy to just:

s3:GetObject, s3:GetObjectAcl, s3:GetObjectVersion, s3:PutObjectAcl were not necessary and I removed them for security reasons, so that other users can’t see each others’ uploads.

iOS 9.3 : An SSL error has occurred and a secure connection to the server cannot be made

I am getting following error with self signed certificate

Error Domain=NSURLErrorDomain Code=-1200 «An SSL error has occurred and a secure connection to the server cannot be made.

while testing web-services for one of my demo app with

Note: before assuming its Duplicate, I would request please read it all the way,even same i have reported to apple dev forums

Using Alamofire Library

Using NSURLSession

there are bunch of questions already posted but nothing worked for me

posted Alamofire git issue

My Info.pist file is updated for ATS settings this way

Meanwhile I am able to get response for

http://filename.hostname.net

and https://google.com

but not for https://filename.hostname.net

Can anyone please suggest me why I am not able to get this working after huge efforts?

Auth Key Missing!

4 Answers 4

Trending sort

Trending sort is based off of the default sorting method — by highest score — but it boosts votes that have happened recently, helping to surface more up-to-date answers.

It falls back to sorting by highest score if no posts are trending.

Switch to Trending sort

At the command-line in OS X, run the following:

This will tell you what combinations of ATS settings will and will not permit iOS to access your site, and should point you towards what is wrong with your site.

It could be one or more of the following

Apple has released the full requirements list for the App Transport Security.

Turned out that we were working with TLS v1.2 but were missing some of the other requirements.

Почему возникают ошибки SSL-соединения и как их исправить?

Зачастую после установки SSL-сертификатов многие пользователи сталкиваются с ошибками, которые препятствуют корректной работе защищенного протокола HTTPS.

Предлагаем разобраться со способами устранения подобных ошибок.

Что такое SSL?

SSL (Secure Socket Layer) — это интернет-протокол для создания зашифрованного соединения между пользователем и сервером, который гарантирует безопасную передачу данных.

Когда пользователь заходит на сайт, браузер запрашивает у сервера информацию о наличии сертификата. Если сертификат установлен, сервер отвечает положительно и отправляет копию SSL-сертификата браузеру. Затем браузер проверяет сертификат, название которого должно совпадать с именем сайта, срок действия сертификата и наличие корневого сертификата, выданного центром сертификации.

Причины возникновения ошибок SSL-соединения

Когда сертификат работает корректно, адресная строка браузера выглядит примерно так:

Но при наличии ошибок она выглядит несколько иначе:

Существует множество причин возникновения таких ошибок. К числу основных можно отнести:

Давайте рассмотрим каждую из них подробнее.

Проблемы с датой и временем

Если на устройстве установлены некорректные дата и время, ошибка SSL-соединения неизбежна, ведь при проверке сертификата происходит проверка срока его действия. Современные браузеры умеют определять такую ошибку самостоятельно и выводят сообщение о неправильно установленной дате или времени.

Для исправления этой ошибки достаточно установить на устройстве актуальное время. После этого необходимо перезагрузить страницу или браузер.

Ненадежный SSL-сертификат

Иногда при переходе на сайт, защищенный протоколом HTTPS, появляется ошибка «SSL-сертификат сайта не заслуживает доверия».

Одной из причин появления такой ошибки, как и в предыдущем случае, может стать неправильное время. Однако есть и вторая причина — браузеру не удается проверить цепочку доверия сертификата, потому что не хватает корневого сертификата. Для избавления от такой ошибки необходимо скачать специальный пакет GeoTrust Primary Certification Authority, содержащий корневые сертификаты. После скачивания переходим к установке. Для этого:

После вышеперечисленных действий можно перезагрузить устройство и проверить отображение сайта в браузере.

Брандмауэр или антивирус, блокирующие сайт

Некоторые сайты блокируются брандмауэром Windows. Для проверки можно отключить брандмауэр и попробовать зайти на нужный сайт. Если SSL-сертификат начал работать корректно, значит дело в брандмауэре. В браузере Internet Explorer вы можете внести некорректно работающий сайт в список надежных и проблема исчезнет. Однако таким образом вы снизите безопасность своего устройства, так как содержимое сайта может быть небезопасным, а контроль сайта теперь отключен.

Также SSL может блокировать антивирусная программа. Попробуйте отключить в антивирусе проверку протоколов SSL и HTTPS и зайти на сайт. При необходимости добавьте сайт в список исключений антивируса.

Включенный экспериментальный протокол QUIC

QUIC — это новый экспериментальный протокол, который нужен для быстрого подключения к интернету. Основная задача протокола QUIC состоит в поддержке нескольких соединений. Вы можете отключить этот протокол в конфигурации вашего браузера.

Показываем как отключить QUIC на примере браузера Google Chrome:

Этот способ работает и в Windows и в Mac OS.

Отсутствие обновлений операционной системы

Проблемы с SSL-сертификатами могут возникать и из-за того, что на вашей операционной системе давно не устанавливались обновлений. Особенно это касается устаревших версий Windows (7, Vista, XP и более ранние). Установите последние обновления и проверьте работу SSL.

Использование SSL-сертификата версии 3.0

Некоторые сайты используют устаревший SSL-протокол версии 3.0, который не поддерживают браузеры. По крайней мере, по умолчанию. Чтобы браузер поддерживал устаревший SSL необходимо сделать следующее (на примере браузера Google Chrome):

Ошибки «Invalid CSR» при генерации сертификата из панели управления облачного провайдера

В процессе активации сертификата можно столкнуться с ошибкой «Invalid CSR». Такая ошибка возникает по следующим причинам:

SSL Error in Connection to Server through iPhone

I am trying to establish a HTTPS connection to a server using my app. But the connection fails due to following error

The code to connect to server is

my delegate methods are

I am stuck over here and could not find any way out.

Any form of help would be greatly appreciated.

thanks in advance!!

8 Answers 8

Trending sort

Trending sort is based off of the default sorting method — by highest score — but it boosts votes that have happened recently, helping to surface more up-to-date answers.

It falls back to sorting by highest score if no posts are trending.

Switch to Trending sort

iOS 9 forces connections that are using HTTPS to be TLS 1.2 to avoid recent vulnerabilities. In iOS 8 even unencrypted HTTP connections were supported, so that older versions of TLS didn’t make any problems either. As a workaround, you can add this code snippet to your Info.plist:

Thereby you’re disabling the App Transport Security. Hope that’s helpful.

Since it has been left unanswered for long time and my research and current development indicates that the code is perfectly fine for the connection, its the certificate at the server that was not signed by an authorized CA. so anyone having such kind of problem check that the certificate is valid at server end or not.

Hope this would help!!

Maybe your device has a wrong date & time 🙂

I was using iOS 9.3.1 and was using https when I hit this problem. It worked fine through the simulator, but failed on my iPad. The reason is because my iPad had WiFi enabled and had connected to my company’s guest network, but I hadn’t received the pop-up website where I accept to join the network. After accepting everything worked fine again.

Apps built on XCode8 will require TLS 1.2 for SSL connection

Even I was facing the same issue.

This issue can be occur if the SSL certificate over server is a private certificate. In such scenario you can solve it using this.

Try the web address with safari from phone.