不受支持的协议修复：修复不受支持的协议

怎么判断你遇到了“不受支持的协议”错误？

当你用浏览器打开网站时，看到类似“ERR_SSL_VERSION_OR_CIPHER_MISMATCH”或者文字提示“不受支持的协议”，多半是服务器启用了某些客户端不支持的 SSL/TLS 协议版本。
常见场景：老旧手机、旧版浏览器或某些爬虫工具访问你的网站时握手失败，而现代浏览器却能正常访问。

修复前先确认服务器环境

无论你用的是宝塔面板还是纯命令操作的 Nginx 服务器，下面两步必须提前完成：

1. 确认服务器系统版本（推荐 CentOS 7+/Ubuntu 20.04+）
2. 确认 Nginx 版本：在终端执行 nginx -v（宝塔用户可在面板左侧“软件商店”查看 Nginx 版本），建议 1.18 以上，旧版本可能不识别较新的协议参数。
3. 备份当前的 Nginx 配置（宝塔面板：网站 → 设置 → 配置文件，复制全部内容到文本文档；命令方式：cp /etc/nginx/nginx.conf /etc/nginx/nginx.conf.bak）

核心修复步骤：调整 SSL 协议版本

宝塔面板用户操作方法

1. 登录宝塔面板，进入“网站”列表。
2. 点击对应网站的“设置”按钮，选择“SSL”选项卡。
3. 如果已启用 SSL，直接点击“配置文件”右侧的“编辑”按钮（或切换到“配置文件”标签）。
4. 在 server 块中查找 ssl_protocols 这一行（如果没有，手动添加）。
5. 修改协议配置——推荐兼容性较好的写法：

   ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;

如果你只需要现代浏览器且兼顾安全，可以去掉 TLSv1.1：

   ssl_protocols TLSv1.2 TLSv1.3;

注意：不要包含 SSLv2、SSLv3 或 TLSv1.0，这些已被公认不安全，并且很多现代浏览器直接拒绝。

1. 保存配置，然后点击“重载配置”或“重启 Nginx”（在面板右上角“服务” → “Nginx” → “重启”）。

纯命令环境用户操作方法

1. 编辑 Nginx 配置文件，一般路径为 /etc/nginx/nginx.conf 或 /etc/nginx/conf.d/default.conf。
2. 找到 server 块中的 listen 443 ssl; 部分，确认 ssl_protocols 行。
3. 修改或添加上述推荐的协议版本。
4. 测试配置语法：nginx -t（显示 syntax is ok 才能继续）。
5. 平滑重载配置：nginx -s reload。

避坑指南与高频问题

问题1：我根本没找到 ssl_protocols 行，怎么办？
直接手动添加即可，放在 ssl_certificate 或 ssl_certificate_key 之后，例如：

ssl_protocols TLSv1.2 TLSv1.3;

问题2：修改后重启 Nginx 报错“invalid value”
原因：你写入了不存在的协议名称（例如 TLSv1.4）或者 Nginx 版本过低。先用 nginx -v 看版本，低于 1.13 可能不支持 TLSv1.3，请只保留 TLSv1.2。

问题3：改完后某些老设备仍然报错
这些设备可能只支持 TLSv1.0，但 TLSv1.0 已被建议禁用。如果你必须兼容十年前的安卓手机，可以临时改为：

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

不过强烈建议优先升级客户端，而不是降低服务器安全等级。

问题4：宝塔面板里修改后没生效
宝塔的 SSL 配置有时会被面板的自动规则覆盖。请检查“SSL”页签中“强制 HTTPS”是否开启；另外在“网站” → “配置文件”里修改才是最终生效的位置，不要在“SSL”页签的证书设置里直接写。如果还是没生效，可以尝试在“软件商店” → “Nginx” → “配置修改”中全局添加 ssl_protocols。

验证修复是否成功

1. 浏览器访问：清缓存后用 Chrome/Firefox 打开网站，按 F12 进入“安全”选项卡，查看 TLS 版本是否为你设置的值。
2. 在线检测：使用 SSLLabs 输入域名，检查协议支持列表。
3. 命令行验证（适合有 SSH 环境的用户）：

   openssl s_client -connect yourdomain.com:443 -tls1_2

如果返回 CONNECTED 且包含 SSL handshake has read，说明协议正常。
如果要测试 TLSv1.3，把 -tls1_2 换成 -tls1_3。

如果你在修复过程中遇到其他奇怪提示，优先回看上面的避坑点。不受支持的协议修复并不复杂，核心就是确认当前配置、修改协议版本、重载服务三步。
今后配置新网站时，直接使用 TLSv1.2 TLSv1.3 即可同时兼顾安全与兼容。