使用了不受支持的协议：TLS 1.0/1.1 导致 HTTPS 站点握手失败

一、现象层：典型错误表现与用户侧感知

• Chrome 120+ 显示 ERR_SSL_VERSION_OR_CIPHER_MISMATCH，无详细技术日志，仅白屏或跳转至“您的连接不是私密连接”警告页
• Firefox 118+ 报 Secure Connection Failed — SSL_ERROR_UNSUPPORTED_VERSION，地址栏锁图标消失且显示“⚠️ 不安全”
• iOS 17+ Safari 在 WKWebView 中静默失败（NSURLErrorDomain -1200），不触发 didFailProvisionalNavigation 的常规错误回调
• Android 13+ WebView 或 OkHttp 4.11+ 默认禁用 TLS 1.0/1.1，javax.net.ssl.SSLHandshakeException: Connection closed by peer 成为高频堆栈首行

二、协议层：TLS 握手失败的本质机制

现代客户端（如 Chromium/Blink 内核）在 TCP 连接建立后，主动过滤掉 TLS 1.0/1.1 的 ClientHello 发送逻辑——并非“尝试后失败”，而是根本不出包。服务端若仅监听 TLS 1.1，将收不到任何有效握手帧，TCP 连接在约 3–5 秒后由客户端 RST 中断。Wireshark 抓包关键特征如下：

三、验证层：多维度精准定位问题归属

1. 客户端能力探测：curl -v --tlsv1.1 https://legacy.example.com（返回 Protocol "https" not supported or disabled in libcurl 即证实客户端策略拦截）
2. 服务端响应验证：openssl s_client -connect legacy.example.com:443 -tls1_1 -msg 2>/dev/null | grep "Protocol" 若输出 Protocol : TLSv1.1，说明服务端仍可响应；若超时或报 connect: Connection refused，则服务端已关闭该协议监听端口
3. 中间设备审计：检查负载均衡器（F5 BIG-IP v16+）、WAF（Cloudflare TLS 1.0/1.1 策略默认 OFF）、反向代理（Nginx 1.19+ ssl_protocols TLSv1.2 TLSv1.3;）是否隐式降级或透传失败

四、根因层：遗留系统的技术债务图谱

五、解法层：分级治理路径与兼容性权衡

• 紧急绕过（仅限隔离内网）：Chrome 启动参数 --unsafely-treat-insecure-origin-as-secure="https://legacy.internal" --user-data-dir=/tmp/chrome-tls11（⚠️ 仅调试，不可上线）
• 服务端升级（推荐）：

  # Nginx 示例：强制 TLS 1.2+，禁用弱套件
  ssl_protocols TLSv1.2 TLSv1.3;
  ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256;
  ssl_prefer_server_ciphers off;

• 应用层适配（Java）：JVM 启动参数 -Dhttps.protocols=TLSv1.2 -Djdk.tls.client.protocols=TLSv1.2 + SSLContext.setDefault(SSLContext.getInstance("TLSv1.2"))