Windows XP，Chrome 48 和 RC4

Question

您的网站需要支持 Windows XP 中可用的密码，这就是您收到密码套件不匹配的原因。您的 SSL Labs 测试报告列出了以下密码：

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b)   ECDH secp256r1 (eq. 3072 bits RSA)   FS  128
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 (0xc023)   ECDH secp256r1 (eq. 3072 bits RSA)   FS  128
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (0xc009)   ECDH secp256r1 (eq. 3072 bits RSA)   FS 128
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (0xc02c)   ECDH secp256r1 (eq. 3072 bits RSA)   FS  256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 (0xc024)   ECDH secp256r1 (eq. 3072 bits RSA)   FS  256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA (0xc00a)   ECDH secp256r1 (eq. 3072 bits RSA)   FS 256
TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA (0xc008)   ECDH secp256r1 (eq. 3072 bits RSA)   FS    112
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 (0xcc14)   ECDH secp256r1 (eq. 3072 bits RSA)   FS    256P
(P) This server prefers ChaCha20 suites with clients that don't have AES-NI (e.g., Android devices)

以下是 Windows XP/Server 2003 中支持的 TLS 密码套件。

TLS_RSA_WITH_RC4_128_MD5
TLS_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_DES_CBC_SHA
TLS_DHE_DSS_WITH_DES_CBC_SHA
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA
TLS_RSA_EXPORT_WITH_RC4_40_MD5
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
TLS_RSA_WITH_NULL_MD5
TLS_RSA_WITH_NULL_SHA

https://msdn.microsoft.com/en-us/library/windows/desktop/aa380512(v=vs.85).aspx

您的网站根本无法在 Windows XP 上运行。如果您想支持 Windows XP，则需要添加一个受支持的套件。最常用的似乎是前面提到的TLS_RSA_WITH_3DES_EDE_CBC_SHA。

编辑以添加：我刚刚注意到您正在使用 CloudFlare。请务必阅读 SSL 常见问题解答和旧版浏览器支持文章。

https://support.cloudflare.com/hc/en-us/articles/214770928-Legacy-Browser-Support

我知道 Chrome 是一款现代浏览器，但正如我之前所说，它使用适用于其所运行的任何操作系统的 Windows 库，并且直到 Windows Vista 才引入 TLS/SNI 支持。因此，如果您在 CloudFlare 中禁用旧版浏览器支持，那么您也会破坏 XP 上的 Chrome，因为您的网站只能通过支持 SNI 的浏览器访问。

Answer 1