Cómo Solucionar el Error ERR_SSL_VERSION_OR_CIPHER

Sección 01

¿Qué es el Error ERR_SSL_VERSION_OR_CIPHER_MISMATCH?

🔒

ERR_SSL_VERSION_OR_CIPHER_MISMATCH

Tu conexión no es privada. Los atacantes podrían estar intentando robar tu información de ejemplo.com.
NET::ERR_SSL_VERSION_OR_CIPHER_MISMATCH

ERR_SSL_VERSION_OR_CIPHER_MISMATCH es un error de seguridad del navegador que aparece cuando tu navegador y el servidor web no pueden acordar una versión de protocolo SSL/TLS común ni un algoritmo de cifrado (cipher suite) para establecer una conexión segura.

Cuando visitas un sitio web HTTPS, tu navegador y el servidor realizan un "handshake" — una breve negociación para establecer qué protocolos de seguridad admiten ambas partes. Si no existe un terreno común — por ejemplo, el servidor solo admite TLS 1.0 obsoleto, pero tu navegador moderno exige al menos TLS 1.2 — el handshake falla y aparece este error.

ℹ️

Para saber Este error se ve con más frecuencia en Google Chrome, pero aparece en todos los navegadores principales con nombres distintos: SSL_ERROR_NO_CYPHER_OVERLAP en Firefox, ERR_SSL_VERSION_INTERFERENCE en Edge y simplemente un aviso "No se puede conectar de forma segura" en Safari.

El error es una función de seguridad, no un fallo. Los navegadores bloquean intencionalmente las conexiones a servidores que usan cifrado peligrosamente obsoleto o débil, protegiendo a los usuarios de posibles ataques de intermediario (man-in-the-middle) e intercepción de datos.

Sección 02

Causas Más Comunes de ERR_SSL_VERSION_OR_CIPHER_MISMATCH

Comprender por qué ocurre este error es el primer paso para solucionarlo. Estas son las causas raíz más frecuentes:

🗝️

Protocolo TLS Obsoleto

El servidor solo admite TLS 1.0 o TLS 1.1, que los navegadores modernos han desactivado por defecto.

🔑

Cipher Suites Débiles

El servidor usa algoritmos de cifrado obsoletos (RC4, DES, 3DES) que los navegadores modernos han eliminado.

📜

Certificado SSL Caducado

Un certificado caducado o mal configurado fuerza al servidor a un estado de handshake roto.

🌐

Mala Configuración SNI

El Server Name Indication (SNI) falta o está mal configurado en servidores de alojamiento compartido con múltiples dominios.

🛡️

Interferencia de Antivirus o Firewall

Algunos programas de seguridad interceptan el tráfico SSL usando sus propios certificados, a menudo desactualizados.

💻

Navegador o Sistema Operativo Antiguo

Un navegador o sistema operativo desactualizado puede no admitir TLS 1.3 ni los cipher suites modernos requeridos por el servidor.

Sección 03

Cómo Solucionar ERR_SSL_VERSION_OR_CIPHER_MISMATCH como Visitante Web

Si ves este error en el sitio web de otra persona, prueba primero estas correcciones del lado del cliente. Trabaja en orden: la mayoría de los usuarios resuelven el problema en los primeros tres pasos.

Actualiza tu Navegador a la Última Versión

Para todos los usuarios

Los navegadores desactualizados carecen de soporte para las versiones modernas de TLS y los cipher suites. Actualiza tu navegador de inmediato:

Chrome: Ve a chrome://settings/help — Chrome detectará e instalará actualizaciones automáticamente.
Firefox: Accede a Ayuda → Acerca de Firefox para iniciar una búsqueda automática de actualizaciones.
Edge: Abre Configuración → Acerca de Microsoft Edge y sigue las instrucciones de actualización.
Tras actualizar, reinicia completamente el navegador y vuelve a intentar acceder a la página.

Limpia el Estado SSL, la Caché y las Cookies

Para todos los usuarios

Una caché SSL corrupta puede provocar fallos persistentes en el handshake incluso en servidores correctamente configurados.

En Chrome, abre Configuración → Privacidad y seguridad → Borrar datos de navegación.
Marca "Archivos e imágenes en caché", "Cookies" y "Datos de aplicaciones alojadas". Selecciona "Todo el tiempo" como rango.
En Windows, limpia también el estado SSL del sistema: abre Opciones de Internet → pestaña Contenido → haz clic en Borrar estado SSL.
Reinicia el navegador y recarga la página.

Desactiva Temporalmente el Análisis SSL del Antivirus

Para usuarios con software de seguridad

Muchos programas antivirus (Kaspersky, Avast, ESET, Bitdefender) interceptan las conexiones HTTPS para analizarlas. Si su certificado integrado está desactualizado, se activa este error.

Abre el panel de configuración de tu antivirus.
Busca opciones denominadas "Análisis SSL", "Análisis HTTPS" o "Web Shield".
Desactiva temporalmente esta función y recarga el sitio web.
Si el error desaparece, actualiza tu antivirus a la última versión; esto suele resolver el conflicto de forma permanente.

⚠️

Advertencia No dejes el análisis SSL desactivado de forma permanente. Vuelve a activarlo una vez que hayas actualizado el software antivirus.

Comprueba y Corrige la Fecha y Hora del Sistema

Para todos los usuarios

Un reloj del sistema incorrecto provoca que la validación del certificado SSL falle, lo que puede manifestarse como un error de discrepancia de cifrado. Asegúrate de que la fecha, hora y zona horaria sean correctas y estén configuradas para sincronizarse automáticamente.

Windows: Haz clic derecho en el reloj de la barra de tareas → Ajustar fecha/hora → activa "Establecer la hora automáticamente".
macOS: Ve a Configuración del Sistema → General → Fecha y hora → activa la configuración automática.
Reinicia el navegador tras corregir la hora.

Actualiza tu Sistema Operativo

Para todos los usuarios

Los sistemas operativos más antiguos, como Windows 7 o macOS 10.12, no admiten TLS 1.3 de forma nativa. Actualizar el sistema operativo garantiza que la pila TLS subyacente sea lo suficientemente moderna para los servidores web actuales.

Windows: Abre Configuración → Windows Update e instala todas las actualizaciones pendientes.
macOS: Ve a Configuración del Sistema → General → Actualización de software.
Reinicia el sistema tras instalar las actualizaciones.

Sección 04

Cómo Solucionar ERR_SSL_VERSION_OR_CIPHER_MISMATCH como Administrador Web

Si eres el propietario o administrador del sitio afectado, la causa raíz es casi siempre una mala configuración del servidor. Aquí tienes cómo diagnosticarla y solucionarla.

✅

Antes de Empezar Analiza tu dominio con el SSL Labs Server Test (ssllabs.com/ssltest) — te da una calificación en letras, identifica exactamente qué versiones de TLS y cipher suites admites, y señala los problemas específicos en términos claros.

Habilita TLS 1.2 y TLS 1.3 — Desactiva TLS 1.0 y 1.1

Administradores de servidor

Los navegadores modernos requieren al menos TLS 1.2. TLS 1.0 y 1.1 han sido oficialmente declarados obsoletos por el IETF y están desactivados en todos los navegadores principales desde 2022.

Configuración de Nginx

nginx.confserver {
    listen 443 ssl;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:
                ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:
                ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305;
    ssl_prefer_server_ciphers off;
}

Configuración de Apache

/etc/apache2/sites-available/tu-sitio.conf<VirtualHost *:443>
    SSLEngine on
    SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
    SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:
                   ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384
    SSLHonorCipherOrder off
</VirtualHost>

💡

Consejo Tras editar la configuración, ejecuta siempre nginx -t o apachectl configtest antes de recargar para detectar errores de sintaxis.

Renueva o Reinstala tu Certificado SSL

Administradores de servidor

Un certificado caducado, autofirmado (en producción) o instalado incorrectamente es un desencadenante habitual. Usa una Autoridad de Certificación (CA) de confianza como Let's Encrypt para obtener certificados gratuitos con renovación automática.

Instala Certbot: sudo apt install certbot python3-certbot-nginx
Obtén un certificado: sudo certbot --nginx -d tudominio.com -d www.tudominio.com
Certbot configurará automáticamente Nginx/Apache y establecerá la renovación automática.
Verifica la renovación con: sudo certbot renew --dry-run

Corrige la Configuración de SNI (Server Name Indication)

Alojamiento compartido / múltiples dominios

SNI permite múltiples certificados SSL en la misma dirección IP. Sin una configuración SNI adecuada, el servidor puede servir el certificado incorrecto — o ningún certificado en absoluto.

Si estás en alojamiento compartido, contacta con tu proveedor de hosting para confirmar que SNI está habilitado para tu dominio. En servidores gestionados por ti mismo, asegúrate de que cada host virtual tenga su propia directiva ssl_certificate y ssl_certificate_key apuntando a los archivos de certificado correctos.

Revisa la Configuración SSL de CDN y Proxy Inverso

Sitios con Cloudflare, AWS u otros CDN

Si tu sitio está detrás de Cloudflare, AWS CloudFront u otro CDN, el error SSL puede originarse en la conexión del CDN a tu servidor de origen — no en el tramo cliente-CDN.

En Cloudflare: Ve a SSL/TLS → Descripción general y establece el modo en Completo (estricto).
En SSL/TLS → Certificados de borde, establece la versión mínima de TLS en TLS 1.2.
Asegúrate de que el servidor de origen también tenga instalado un certificado válido, no solo el borde del CDN.

Sección 05

Versiones del Protocolo TLS: ¿Cuáles son Seguras en 2025?

No todas las versiones de TLS son iguales. Aquí tienes una referencia rápida para entender qué versiones debe usar tu servidor:

Versión TLS	Publicada	Estado	Soporte en Navegadores
SSL 3.0	1996	🔴 Obsoleta — ataque POODLE (2014)	Bloqueada en todos los navegadores
TLS 1.0	1999	🔴 Obsoleta — ataques BEAST, POODLE	Desactivada desde 2020
TLS 1.1	2006	🟡 Obsoleta por el IETF (RFC 8996)	Desactivada desde 2021
TLS 1.2	2008	🟢 Compatible — mínimo requerido	Totalmente compatible
TLS 1.3	2018	🟢 Recomendada — más rápida y segura	Totalmente compatible

      La conclusión es clara: tu servidor debe admitir TLS 1.2 como mínimo, siendo TLS 1.3 la opción más recomendada por rendimiento y seguridad.
    

Sección 06

Entendiendo los Cipher Suites y Por Qué Son Importantes

Un cipher suite es una combinación nombrada de algoritmos criptográficos que se utilizan durante el handshake TLS y la comunicación cifrada posterior. El nombre de un cipher suite típico tiene este aspecto:

Anatomía de un Cipher SuiteTLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

  TLS          → Protocolo
  ECDHE        → Intercambio de claves (Diffie-Hellman efímero sobre curva elíptica)
  RSA          → Autenticación
  AES_256_GCM  → Cifrado masivo (AES de 256 bits en modo Galois/Counter)
  SHA384       → Autenticación de mensajes (HMAC)

Cipher Suites Recomendados para TLS 1.2

Los siguientes cipher suites se consideran sólidos, modernos y compatibles con todos los navegadores actuales:

Cipher Suite	Seguridad	Notas
`ECDHE-ECDSA-AES128-GCM-SHA256`	🟢 Fuerte	Preferido para certificados ECDSA
`ECDHE-RSA-AES128-GCM-SHA256`	🟢 Fuerte	Amplia compatibilidad con certificados RSA
`ECDHE-ECDSA-AES256-GCM-SHA384`	🟢 Fuerte	Para entornos de alta seguridad
`ECDHE-RSA-CHACHA20-POLY1305`	🟢 Fuerte	Excelente para dispositivos móviles
`RC4-SHA`	🔴 Roto	RC4 es criptográficamente inseguro
`DES-CBC3-SHA`	🔴 Roto	Vulnerable al ataque SWEET32

Sección 07

Soluciones por Navegador para Errores de Discrepancia de Cifrado SSL

Google Chrome

Chrome tiene la aplicación de SSL más estricta. Si necesitas acceder a un sitio interno antiguo temporalmente, puedes ejecutar Chrome con parámetros de seguridad reducidos — nunca lo hagas en producción ni para sitios públicos.

Chrome (Windows — solo para pruebas, no usar en producción)chrome.exe --ignore-certificate-errors --ignore-ssl-errors

🚨

Riesgo de Seguridad El uso del parámetro --ignore-certificate-errors te expone a riesgos de seguridad reales. Úsalo únicamente en entornos de prueba aislados en localhost o redes privadas. Nunca lo utilices para omitir errores en sitios web públicos.

Mozilla Firefox

Firefox permite habilitar versiones TLS heredadas a través de su panel de configuración avanzada — útil para acceder a sistemas de intranet antiguos.

Escribe about:config en la barra de direcciones y acepta la advertencia.
Busca security.tls.version.min.
El valor predeterminado es 3 (TLS 1.2). Establecerlo en 1 (TLS 1.0) habilita temporalmente el soporte heredado.
Revierte este cambio en cuanto ya no lo necesites.

Microsoft Edge

Edge usa el mismo motor que Chrome (Chromium) y, por tanto, tiene idéntica aplicación de TLS. El proceso de corrección es el mismo: actualiza Edge desde edge://settings/help y asegúrate de que Windows esté completamente actualizado.

Safari (macOS / iOS)

Safari delega el manejo de TLS al sistema operativo macOS/iOS. La solución es casi siempre actualizar macOS o iOS a la última versión, lo que actualiza el framework Secure Transport subyacente.

Sección 08

Herramientas de Diagnóstico para Identificar Problemas SSL y de Cifrado

Antes de realizar cualquier cambio en el servidor, usa estas herramientas para obtener una imagen clara de qué está fallando exactamente:

Herramienta	Tipo	Qué Analiza
SSL Labs Server Test ssllabs.com/ssltest	Online	Config TLS completa, cipher suites, cadena de certificados, soporte de protocolos, HTTP/2
SSL Checker sslshopper.com/ssl-checker.html	Online	Validez del certificado, fecha de caducidad, cadena de confianza
OpenSSL CLI	Línea de comandos	Pruebas directas de negociación de protocolo
Hardenize	Online	Informe completo de cabeceras de seguridad web + TLS
Chrome DevTools	Integrado	El panel Seguridad muestra la versión exacta de TLS y el cifrado usado en la página actual

Prueba Rápida con OpenSSL

Usa este comando para probar rápidamente qué versiones de TLS admite un servidor desde tu terminal:

Bash — Prueba de soporte de versión TLS# Probar soporte de TLS 1.2
openssl s_client -connect tudominio.com:443 -tls1_2

# Probar soporte de TLS 1.3
openssl s_client -connect tudominio.com:443 -tls1_3

# Ver detalles completos del handshake
openssl s_client -connect tudominio.com:443 -showcerts

Sección 09

¿Cuándo Actualizar tu Configuración TLS vs. Mantener el Soporte Heredado?

Para la gran mayoría de los sitios web, la respuesta es clara: actualiza de inmediato. Sin embargo, algunos escenarios (sistemas internos heredados, interfaces de equipos industriales) requieren una consideración cuidadosa.

✅ Actualizar a TLS 1.2 / 1.3

Soluciona el error para todos los navegadores modernos sin excepciones
Mejora drásticamente la seguridad frente a ataques conocidos
Obligatorio para el cumplimiento PCI-DSS (desde 2018)
Habilita HTTP/2 y HTTP/3, mejorando el rendimiento del sitio
Los certificados de Let's Encrypt son gratuitos y con renovación automática

⚠️ Riesgos de Mantener TLS Antiguo

Los ataques BEAST, POODLE y DROWN explotan versiones antiguas de TLS
No supera auditorías PCI-DSS, HIPAA y otros estándares de cumplimiento
Bloqueado por todos los navegadores principales — sitio inaccesible para la mayoría de usuarios
Daño reputacional y pérdida de confianza de los usuarios
Sin acceso a las ventajas de rendimiento de HTTP/2

Sección 10

Preguntas Frecuentes sobre ERR_SSL_VERSION_OR_CIPHER_MISMATCH

P ¿Es peligroso omitir el error ERR_SSL_VERSION_OR_CIPHER_MISMATCH? ▼

Sí. Este error significa que tu navegador y el servidor no pueden establecer una conexión cifrada y de confianza. Omitirlo te expone a posibles ataques de intermediario (man-in-the-middle) en los que un atacante podría interceptar datos sensibles como contraseñas e información de pago. Nunca omitas este error en redes públicas o no confiables. Si estás probando un servidor de desarrollo local, omitirlo es aceptable siempre que seas consciente del riesgo.

P ¿Por qué aparece este error solo en algunos sitios web y no en todos? ▼

El error solo ocurre cuando hay una discrepancia entre lo que admite tu navegador y lo que ofrece el servidor específico. Los servidores modernos y bien mantenidos admiten TLS 1.2 y 1.3 — tu navegador se conecta sin problemas. Los servidores más antiguos o mal configurados que solo admiten TLS 1.0/1.1 o cipher suites débiles activarán el error en cada visita del navegador.

P El error solo ocurre en mi ordenador, no en otros. ¿Por qué? ▼

Esto suele apuntar a un problema del lado del cliente: análisis SSL del antivirus con un certificado desactualizado, caché SSL corrupta, navegador desactualizado o fecha y hora del sistema incorrectas. Empieza con las soluciones de la Sección 3 de esta guía — en concreto, deshabilitar el análisis HTTPS del antivirus y limpiar el estado SSL.

P ¿Puede una VPN causar ERR_SSL_VERSION_OR_CIPHER_MISMATCH? ▼

Sí. Algunos clientes VPN, especialmente las soluciones VPN corporativas antiguas, interceptan el tráfico TLS usando sus propios certificados o redirigen el tráfico a través de un proxy TLS más antiguo. Prueba a desconectarte de tu VPN y recarga la página. Si el error desaparece, contacta con tu proveedor de VPN o con el departamento de IT para obtener un cliente actualizado.

P ¿Cómo sé si la versión TLS de mi servidor se actualizó correctamente? ▼

Usa el SSL Labs Server Test en ssllabs.com/ssltest para analizar tu dominio. Proporciona un informe detallado que incluye qué versiones de TLS y cipher suites están activos, la validez de tu certificado y una calificación general de seguridad de A+ a F. Apunta a una calificación de A o A+. También puedes comprobarlo en Chrome DevTools pulsando F12, yendo a la pestaña Seguridad y haciendo clic en "Ver certificado".

P ¿Afecta este error al posicionamiento SEO? ▼

Indirectamente, sí. Google usa HTTPS como señal de posicionamiento y rastrea los sitios con Chrome. Si tu servidor presenta este error SSL, Googlebot podría no ser capaz de indexar tus páginas de forma fiable, lo que puede provocar una caída en el posicionamiento. Además, la alta tasa de rebote causada por los usuarios que ven este error afectará negativamente a las señales de experiencia de usuario. Corregir la configuración TLS es una prioridad tanto de seguridad como de SEO.

🔐 Resumen y Conclusiones

ERR_SSL_VERSION_OR_CIPHER_MISMATCH tiene solución en casi todos los casos. Para los visitantes web, los primeros pasos más eficaces son actualizar el navegador, limpiar la caché SSL y desactivar el análisis HTTPS del antivirus. Para los propietarios de sitios, la solución consiste en asegurarse de que el servidor admita TLS 1.2 y TLS 1.3 con cipher suites modernos, tenga instalado un certificado válido y esté correctamente configurado para SNI si aloja múltiples dominios.

Usa el SSL Labs Server Test para auditar tu configuración, apunta a una calificación A+ y configura la renovación automática de certificados con Let's Encrypt para prevenir futuras interrupciones. Con TLS moderno en funcionamiento, tus visitantes obtendrán conexiones más rápidas y seguras — y este error será cosa del pasado.