ERR_SSL_KEY_USAGE_INCOMPATIBLE错误google Chrome无法访问此网站可能暂时关闭或已永久移动到新网站

xriantvc  于 12个月前  发布在  Go
关注(0)|答案(2)|浏览(117)

今天我遇到了ERR_SSL_KEY_USAGE_INCOMPATIBLE错误:

This site can't be reached  
The webpage at https://... might be temporarily down or it may have moved permanently to a new web address.
ERR_SSL_KEY_USAGE_INCOMPATIBLE

字符串


的数据
你知道为什么会这样吗?我该怎么解决?

sqyvllje

sqyvllje1#

根据您提供的标记,此SSL错误发生在Google Chrome浏览器上,涉及IIS (Internet Information Services)和SSL证书。
ERR_SSL_KEY_USAGE_INCOMPATIBLE错误明确表示Chrome使用或识别SSL证书的方式存在问题,可能是由于IIS中的错误配置或证书本身的问题。
This thread报告了类似的问题:
我们找到了一个修复。删除位于C:\users\(username)\AppData\Local\Google\Chrome\User Data\Local State中的用户的本地状态文件。删除后,问题就消失了。让我知道这对你是否有效。
编辑:确认这也发生在MacOS上。需要转到Library/Application Support/Google/并从其删除Local State文件。
并且:
此问题的根本原因是一个Chrome变体,您可以在版本115、116和117的Chrome发行说明中了解更多信息,这些说明可在Google's previous release notes中阅读。
搜索“Require X.509 key usage extension for RSA certificates chaining to local roots”的注解,阅读Google分享的关于此更改的简介。
您无法调整标记来恢复此变体,但Chrome提供了策略RSAKeyUsageForLocalAnchorsEnabled,以便在您更新证书时暂时禁用此变体。
解释它的作用以及为什么它不会危及Chrome的安全性。
删除Chrome的用户数据目录中的Local State文件是一个故障排除步骤。
正如Giovanni Esposito在评论中指出的那样:“这只是一个(可怕的)解决方案,因为你每次都需要这样做”
True。ERR_SSL_KEY_USAGE_INCOMPATIBLE错误的实际解决方案是根据Chrome的要求,使用正确的密钥使用扩展更新SSL证书。使用RSAKeyUsageForLocalAnchorsEnabled策略仅提供了一个缓解措施,允许在证书达到标准时继续操作。

删除Local State文件的作用:

Chrome会运行一个名为“变量”的实验,它本质上是对新功能或更改的A/B测试。删除Local State文件会将这些变量重置为默认状态。
Local State文件保存Chrome的临时状态信息,包括一些未通过标准设置界面公开的设置和状态。
如果文件损坏,可能会导致错误。删除它会强制Chrome创建一个新的Local State文件,这可以解决此类错误。

为什么它不会 * 危及安全性:

Local State文件不直接链接到您的个人浏览数据,如历史记录、书签或保存的密码。它包含有关浏览器状态的信息,但不存储个人标识符或加密密钥等敏感信息。
Chrome将在下次启动时重新生成Local State文件,恢复默认状态,而不会出现可能导致问题的变化。
关于RSAKeyUsageForLocalAnchorsEnabled政策:
RSAKeyUsageForLocalAnchorsEnabled策略可供管理员预览未来版本的行为,默认情况下将启用此检查。此时,此策略将暂时供需要更多时间更新的管理员使用。
未通过此检查的连接将失败,并出现错误ERR_SSL_KEY_USAGE_INCOMPATIBLE。出现此错误的站点可能配置了错误的证书。
现代ECDHE_RSA密码套件使用“digitalSignature“密钥使用选项,而传统RSA解密密码套件使用“keyEncipherment“密钥使用选项。如果不确定,管理员应在用于HTTPS的RSA证书中包含这两个选项。

true = Enable RSA key usage checking
   false = Disable RSA key usage checking
   not set = Use the default setting for RSA key usage checking

字符串
相同的线程包括实际的soution:
我们也遇到了同样的问题,解决方案是创建一个新的自签名证书,该证书具有或使用密钥用法创建:"Digital Signature, Certificate Signing, Off-line CRL Signing, CRL Signing (86)",之后我们所有的内部网站现在都可以在Chrome中工作。
您应该使用该使用密钥创建它,并且它应该来自OpenSSL,v3版本。
x1c 0d1x的数据

1rhkuytd

1rhkuytd2#

找到了修复方法.删除“本地状态”后,我们的问题不断出现。所以我们将其缩小到组策略。
修复:转到C:\Windows\System32\GroupPolicy\并删除此文件夹中的所有文件和文件(不是根文件夹,只是子文件夹)
然后,在CMD中运行gpupdate/ force。这对我们很有效。

相关问题