Błąd internetu
Błędy i naprawa

Błąd ERR_ECH_NOT_NEGOTIATED – przyczyny i naprawa

Mateusz Sobociński
Autor: Mateusz Sobociński - CEO & Red. Nacz. @ asMAX
4 min. czytania

Błąd ERRECHNOT_NEGOTIATED — Przyczyny i szczegółowy poradnik naprawy

Spis treści

ERRECHNOT_NEGOTIATED to komunikat napotykany najczęściej podczas próby otwarcia strony internetowej w nowoczesnych przeglądarkach (np. Google Chrome, Mozilla Firefox), wskazujący na problem z negocjacją funkcji Encrypted Client Hello (ECH) w protokole TLS. ECH zwiększa prywatność użytkownika, ukrywając odwiedzaną witrynę przed pośrednikami.

Wyjaśnienie mechanizmu ECH

  • ECH (Encrypted Client Hello) to rozszerzenie protokołu TLS 1.3, pozwalające na szyfrowanie części procesu nawiązywania połączenia HTTPS.
  • Przeglądarki, które obsługują ECH, próbują zainicjować połączenie przy jego użyciu.
  • Jeśli serwer nie obsługuje ECH lub występuje konfiguracja blokująca ten mechanizm, pojawia się błąd ERRECHNOT_NEGOTIATED.

Najczęstsze przyczyny błędu

  • Serwer WWW nie obsługuje ECH lub TLS 1.3.
  • Pośrednik (firewall, proxy, CDN) blokuje lub nie przepuszcza negocjacji ECH.
  • Przeglądarka lub system nie jest poprawnie skonfigurowana.
  • Wykorzystywany DNS nie zwraca wymaganych rekordów do obsługi ECH.
  • Polityka bezpieczeństwa sieci lokalnej blokuje nowe rozszerzenia TLS.

Instrukcje krok po kroku dla webmastera i web dewelopera

1. Sprawdź obsługę TLS i ECH na serwerze

  • Upewnij się, że serwer WWW (np. Apache, Nginx) oraz serwer CDN obsługują TLS 1.3.
  • Zweryfikuj, czy stack TLS jest aktualny i wspiera rozszerzenie ECH.
  • Skorzystaj z narzędzi typu [SSL Labs] do testu serwera pod kątem ECH oraz protokołu TLS 1.3.

2. Przejrzyj konfigurację pośredników

  • Sprawdź, czy firewall, proxy, CDN lub Web Application Firewall nie blokują ruchu TLS 1.3 i ECH.
  • W FortiGate i podobnych rozwiązaniach sprawdź policy flow mode i pozwól na przepływ ECH.

3. Skonfiguruj DNS

  • ECH wymaga, aby DNS serwował specjalny rekord typu HTTPS (SVCB/HTTPS RR).
  • Skonfiguruj DNS tak, aby poprawnie zwracał wymagane rekordy.
  • Upewnij się, że przeglądarka klienta korzysta z aktualnych serwerów DNS (najlepiej obsługujących DNS-over-HTTPS).

4. Zaktualizuj konfigurację przeglądarki

  • Najnowsza wersja Google Chrome, Firefox i Edge wspiera ECH — zalecane jest korzystanie z aktualnej wersji.
  • Możesz spróbować wyłączyć ECH (np. w Chrome: chrome://flags → ustaw “Encrypted Client Hello” na “Disabled”) w razie problemów testowych.

5. Logi i diagnostyka

  • W przypadku trwających problemów, zbierz logi TLS/TCP ze strony serwera oraz logi przeglądarki.
  • Jeżeli korzystasz z firewalli typu FortiGate, otwórz zgłoszenie do wsparcia technicznego, przekazując zgromadzone logi.

Instrukcje krok po kroku dla użytkownika końcowego

1. Zaktualizuj przeglądarkę i system

  • Upewnij się, że korzystasz z najnowszych wersji przeglądarki i systemu operacyjnego.

2. Zmień serwer DNS

  • Spróbuj zmienić serwer DNS na publiczny, np. Cloudflare (1.1.1.1) lub Google (8.8.8.8).
  • W systemie Windows:
  • Panel Sterowania → Sieć i Internet → Zmień ustawienia adaptera → wybierz połączenie → Właściwości → Protokół internetowy (TCP/IPv4) → Ustaw adresy DNS.

3. Wyłącz ECH w przeglądarce (testowo)

  • W Chrome wpisz: chrome://flags i znajdź “Encrypted Client Hello”. Ustaw na “Disabled”.
  • W Firefox wpisz: about:config, znajdź network.dns.echconfig.enabled i ustaw na false.

4. Spróbuj innej przeglądarki

  • Czasami problem dotyczy konkretnej implementacji ECH. Zmień przeglądarkę, np. z Chrome na Firefox.

Dodatkowe informacje

  • Błąd ERRECHNOT_NEGOTIATED nie oznacza, że strona jest niebezpieczna, ale sygnalizuje problem z szyfrowaną negocjacją.
  • ECH jest wciąż wdrażane, więc nie wszystkie strony czy serwery obsługują tę funkcję.
  • Jeśli problem dotyczy własnej witryny, wdrażaj jedynie na w pełni wspieranej infrastrukturze.

Tabela: Najważniejsze kroki diagnostyczne

Etap Webmaster/Web Developer Użytkownik Końcowy
Aktualizacja TLS/ECH Tak
Sprawdzenie firewalla/proxy/CDN Tak
Zmiana DNS Tak Tak
Wyłączenie ECH w przeglądarce Testowo Testowo
Zmiana przeglądarki Tak Tak

Podsumowanie –
Błąd ERRECHNOT_NEGOTIATED wynika z przerwanej lub nieobsługiwanej negocjacji mechanizmu ECH. Rozwiązanie problemu wymaga sprawdzenia obsługi ECH po stronie serwera, pośrednika, przeglądarki i DNS. W razie braku efektu warto skorzystać z pomocy zespołu technicznego lub tymczasowo wyłączyć ECH.

Przeczytaj:

  1. Jak serwer DNS wpływa na szybkość i bezpieczeństwo online?
  2. Błąd ERR_ECH_FALLBACK_CERTIFICATE_INVALID – przyczyny i naprawa
  3. Co to jest DNS (Domain Name System)? Działanie, rekordy, bezpieczeństwo
  4. Błąd ERR_DNS_SORT_ERROR – przyczyny i naprawa
  5. Błąd ERR_DNS_SERVER_FAILED – przyczyny i naprawa
Podziel się artykułem
Autor:Mateusz Sobociński
CEO & Red. Nacz. @ asMAX
Obserwuj:
Ex-redaktor w GW (Technologie) i ex-PR w koreańskim start-upie technologicznym. Absolwent Imperial College Business School (MBA) i Politechniki Warszawskiej. Od 2025 CEO i redaktor naczelny w asMAX.
Brak komentarzy

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *