Errori di handshake SSL/TLS e come risolverli

Aggiornato il: 18 agosto 2025

Il TLS è essenziale per proteggere i dati sensibili dei clienti e le informazioni critiche per l'azienda. Fornisce le funzionalità di crittografia richieste dalla maggior parte delle normative sulla privacy dei dati. Nel frattempo, l'HTTPS, che indica che un sito web utilizza il protocollo TLS/SSL, è un fattore di ranking SEO.

Tuttavia, l'acquisto e l'installazione di un certificato SSL/TLS è solo il primo passo. Anche il server e il client devono completare con successo l'handshake affinché venga stabilita una connessione sicura. È inoltre necessario affrontare le cause alla base degli errori TLS, come il fallimento dell'handshake TLS o i timeout.  

Un errore di handshake TLS/SSL impedisce a un browser, come Google Chrome, Mozilla Firefox e altri, di stabilire una connessione sicura con un sito web o un servizio online. Ciò può essere dannoso per l'azienda, poiché gli hacker potrebbero intercettare o manipolare dati sensibili come informazioni personali, credenziali di accesso e numeri di carte di credito. La conseguente violazione della sicurezza potrebbe danneggiare la reputazione dell'azienda, diminuire la fiducia dei clienti, portare alla perdita di affari e causare problemi di conformità. Un errore di handshake SSL è uno dei tipi più comuni di interruzione della connessione e richiede un'attenzione immediata.

Gli errori di handshake possono verificarsi sia sul lato client che sul lato server e sono spesso legati a problemi di configurazione, certificati scaduti o non validi, versioni TLS non supportate o suite di cifratura incompatibili.

Esaminiamo in dettaglio le cause più comuni, come risolverle e come prevenire questi errori in modo proattivo.

Che cos'è un errore di handshake TLS?

Il messaggio “Handshake SSL non riuscito” indica che si è verificato un errore durante il tentativo di stabilire una connessione sicura tra il server e il client. L'handshake TLS è un processo in più fasi che prevede la negoziazione del protocollo, lo scambio di certificati e la generazione di chiavi per creare una sessione sicura. Questo errore significa che non è stato possibile avviare la sessione sicura, impedendo il trasferimento sicuro dei dati.

Cosa causa un errore di handshake TLS e come risolverlo?

Gli errori TLS hanno varie cause, che richiedono soluzioni diverse. Alcuni hanno origine dal lato client, come browser obsoleti o impostazioni errate, mentre altri derivano dal server, come certificati non validi o protocolli TLS configurati in modo errato. Identificare la causa principale è fondamentale per ripristinare una connessione sicura. Le cause più comuni includono:

Cause lato client di un errore di handshake TLS

• Ora di sistema errata: un errore TLS si verifica quando l'orologio di sistema è diverso dall'ora effettiva. Poiché un certificato SSL/TLS specifica un periodo di validità, una discrepanza nella data/ora può causare un errore di handshake. L'utente può correggere questo errore modificando l'ora e la data di sistema.
• Errore del browser: una configurazione errata del browser o un plugin possono causare un errore di handshake SSL/TLS. L'utente può passare a un browser diverso per verificare se l'errore di handshake TLS è causato dalla configurazione del browser. Se il sito continua a non connettersi, disattiva tutti i plugin e riprova. Mantenere aggiornato il browser web aiuta anche a garantire la compatibilità con i protocolli e i certificati TLS moderni. Svuota la cache e cancella i cookie, poiché potrebbero interferire con l'handshake di connessione. Prova anche a disattivare temporaneamente le estensioni del browser per escludere eventuali conflitti.
• Attacco Man-in-the-middle (MITM): oltre alle attività dannose, questo errore può verificarsi quando una connessione viene interrotta da un componente di rete come un firewall. Se l'interruzione si verifica sul lato client, l'utente può regolare le impostazioni VPN o antivirus per risolvere il problema. Alcuni server proxy e filtri di contenuto possono anche interferire con la convalida dei certificati e causare un errore di handshake TLS. La disattivazione temporanea delle impostazioni proxy può aiutare a isolare la causa.

Cause lato server di un errore di handshake TLS

• Protocollo non corrispondente: un errore di handshake TLS si verifica quando il client e il server non supportano reciprocamente una versione TLS, ad esempio il browser supporta TLS 1.0 o TLS 1.1 mentre il server supporta TLS 1.3. In questo caso, l'utente deve aggiornare il browser per poter utilizzare l'ultima versione TLS. Per garantire il corretto handshake, è essenziale che entrambe le parti utilizzino una versione compatibile di TLS.
• Incompatibilità della suite di cifratura: si verifica un errore quando il client e il server non dispongono di una suite di cifratura compatibile, ovvero non riescono a concordare la modalità di crittografia e decrittografia dei dati. Poiché TLS 1.3 ha deprecato i cifrari obsoleti, è consigliabile aggiornare il client all'ultima versione di TLS.
• Server abilitati SNI: l'indicazione del nome del server (SNI) può causare errori TLS quando un client/dispositivo meno recente non supporta SNI o il server ha configurazioni SNI errate. È possibile correggere questo errore assicurandosi che le configurazioni SNI del server siano accurate e che il certificato SSL/TLS corrisponda ai nomi host.
• Problemi relativi ai certificati: i certificati revocati, inattivi o scaduti possono causare errori TLS. Un errore di handshake può verificarsi anche quando il nome host non corrisponde al nome comune (CN) nel certificato. Anche catene di certificati incomplete o certificati intermedi mancanti possono causare un errore di handshake SSL. È possibile prevenire questi problemi acquistando i certificati TLS da un'autorità di certificazione (CA) affidabile, come Sectigo, e stabilendo un solido processo di gestione dei certificati digitali.
• Regole firewall configurate in modo errato: i firewall o le politiche di sicurezza di rete che bloccano le porte TLS (ad esempio, porta 443) o interferiscono con il traffico di handshake possono impedire il completamento della connessione. Controlla i gruppi di sicurezza del server o le impostazioni del firewall per verificare la presenza di eventuali blocchi.

Che cos'è un timeout di handshake TLS?

Questo errore TLS si verifica quando il processo di handshake richiede più tempo della durata prestabilita. Il tentativo di connessione viene considerato non riuscito e l'handshake viene interrotto.

Cosa causa un timeout dell'handshake TLS?

Un timeout dell'handshake TLS si verifica quando il client e il server non riescono a completare il processo di handshake entro un periodo di tempo definito. Mentre un errore di handshake spesso segnala una chiara configurazione errata o incompatibilità, un timeout in genere indica ritardi, sistemi che non rispondono o interruzioni introdotte lungo il percorso di connessione. Questi problemi possono derivare dal lato client o dal lato server e per risolverli è necessario identificare dove il processo è stato ritardato o bloccato.

Le cause comuni dei timeout dell'handshake TLS includono:

• Latenza di rete e connessioni di rete lente che ritardano la trasmissione dei messaggi di handshake
• Router configurati in modo errato o firmware obsoleto che interferiscono con le connessioni sicure e contribuiscono ai timeout dell'handshake
• Un carico elevato del server o una limitazione delle risorse che aumenta il tempo necessario per completare l'handshake
• Dispositivi di rete intermedi, come firewall, bilanciatori di carico, proxy o strumenti di ispezione approfondita dei pacchetti, che interrompono o ritardano il processo di handshake
• Un server non raggiungibile, non disponibile o in downtime
• Problemi di prestazioni sul lato client, inclusi sistemi operativi obsoleti, browser o hardware lento che ritardano la parte del handshake relativa al client
• Problemi di risoluzione DNS, come server DNS lenti o configurati in modo errato, che ritardano l'individuazione dell'indirizzo IP del server
• Catene di certificati di grandi dimensioni o certificati SSL/TLS configurati in modo errato che prolungano il tempo necessario per convalidare e completare il handshake

Come risolvere gli errori di timeout del handshake TLS:

I timeout dell'handshake TLS sono spesso sintomi di problemi più profondi di prestazioni, configurazione o compatibilità sul lato client o server. Per risolverli in modo efficace, è necessario individuare la causa sottostante e applicare correzioni mirate. Di seguito sono riportate soluzioni pratiche che affrontano le cause più comuni degli errori di timeout dell'handshake TLS:

• Ottimizzare le prestazioni del server allocando risorse sufficienti (CPU, memoria, larghezza di banda) per gestire in modo efficiente le connessioni in entrata.
  
• Implementare il bilanciamento del carico su più server per evitare colli di bottiglia o sovraccarichi di una singola macchina.
  
• Verificare che le versioni TLS e le suite di cifratura siano compatibili tra client e server e in linea con le migliori pratiche attuali.
  
• Aggiornare regolarmente il software del server, le librerie TLS e le configurazioni SSL per beneficiare dei più recenti miglioramenti delle prestazioni e delle patch di sicurezza. Anche errori minori nella configurazione del server possono causare ritardi o errori nell'handshake.
  
• Monitorare la latenza della rete e i tempi di risoluzione DNS per rilevare i ritardi causati da servizi o infrastrutture di terze parti.
  
• Utilizzare strumenti diagnostici per individuare dove il processo di handshake si blocca o supera la soglia di timeout.

Come prevenire gli errori di handshake TLS/SSL

Prevenire in modo proattivo gli errori di handshake TLS/SSL aiuta a garantire che utenti e clienti possano accedere al tuo sito web o ai tuoi servizi online senza interruzioni. Contribuisce inoltre a offrire un'esperienza senza interruzioni per promuovere l'efficienza operativa, ridurre al minimo i costosi tempi di inattività e instaurare un rapporto di fiducia con i visitatori.

Poiché gli errori di handshake TLS possono derivare da una serie di cause, la prevenzione richiede una strategia multilivello che includa una configurazione adeguata, un monitoraggio costante e una gestione del ciclo di vita dei certificati disciplinata.

Configura e mantieni il tuo server per prevenire errori di handshake:

• Supporta i protocolli TLS più recenti (ad esempio TLS 1.2 e 1.3) e suite di cifratura avanzate.
  
• Verifica che la catena di certificati sia completa e installata correttamente.
  
• Assicurati che la configurazione SNI del server corrisponda al CN e ai nomi host del certificato.
  
• Bilancia CPU, memoria e larghezza di banda per gestire tempestivamente le richieste di handshake.
  
• Mantieni aggiornati il server e il software del sistema operativo per evitare problemi di compatibilità e prestazioni.
  

Rafforza la visibilità operativa e l'esperienza utente:

• Monitora le condizioni della rete per identificare e risolvere tempestivamente la latenza.
  
• Evita di sovraccaricare i singoli server attraverso il bilanciamento del carico o il ridimensionamento.
  
• Implementa una logica di gestione degli errori per informare gli utenti dei problemi di connessione in modo cortese.
  
• Utilizza flussi di lavoro di registrazione per facilitare la diagnosi e la risoluzione degli errori di handshake. Procedure di risoluzione dei problemi documentate possono accelerare i tempi di risposta e aiutare a prevenire errori di configurazione ricorrenti.
  
• Esegui test su più browser e dispositivi per garantire un'ampia compatibilità.
  

Soprattutto, mantieni certificati SSL/TLS attivi e accurati da una CA affidabile. Ad esempio, Sectigo offre vari tipi di certificati SSL/TLS (ad esempio, convalidazione estesa, convalidazione dell'organizzazione, convalidazione del dominio, wildcard e multidominio). Questi certificati soddisfano gli standard più elevati con crittografia a 256 bit, la crittografia più potente disponibile per le connessioni web.

Ma l'acquisto dei certificati TLS è solo il primo passo. Per prevenire interruzioni causate da certificati scaduti o gestiti in modo errato, è necessaria una gestione del ciclo di vita dei certificati a prova di errore per evitare che certificati scaduti, inattivi o revocati causino errori TLS. Il modo migliore per garantire che nulla sfugga al controllo è automatizzare i flussi di lavoro del ciclo di vita dei certificati con una solida piattaforma di gestione dei certificati.

Prevenire gli errori di handshake TLS/SSL con Sectigo

Connessioni affidabili e sicure sono essenziali per guadagnare la fiducia degli utenti e mantenere esperienze digitali senza interruzioni. Essere all'avanguardia significa disporre dell'infrastruttura giusta per supportare i requisiti di sicurezza in continua evoluzione e gestire i certificati con precisione su larga scala.

Sectigo's Certificate Manager (SCM) è una piattaforma universale indipendente dalla CA che aiuta le aziende a individuare, consolidare e gestire tutti i certificati digitali in un unico posto.Inizia la tua prova gratuita per scoprire come ottenere una visione d'insieme del tuo inventario di certificati, semplificare i flussi di lavoro e ridurre al minimo gli errori TLS.

Scopri di più? Contattateci per prenotare una demo di Sectigo Certificate Manager!

Messaggi relativi:

TLS 1.2 Handshake vs TLS 1.3 Handshake

Cosa succede quando il vostro certificato SSL scade e come rinnovarlo