Когда при заходе на сайт в браузере появляется красный экран с надписью "Ваше подключение не защищено" или "NET::ERR_CERT_DATE_INVALID", это крайне неприятная ситуация как для владельца сайта, так и для посетителя. Такая ошибка означает наличие проблемы с сертификатом и её нужно решать немедленно, потому что каждая минута простоя приводит к потере посетителей и потенциальных клиентов. В этой статье мы подробно рассмотрим причины всех ошибок семейства NET::ERR_CERT и практические способы их устранения.
Ошибка NET::ERR_CERT_DATE_INVALID
Это самая распространённая ошибка, возникающая когда срок действия сертификата истёк или ещё не начался. Браузер сравнивает даты "Not Before" и "Not After" внутри сертификата с текущей датой и если текущая дата вне этого диапазона, выдаёт ошибку. Решение простое — немедленно обновить сертификат. Но иногда проблема не на сервере, а в неправильной дате-времени на компьютере пользователя, поэтому сначала проверьте время на своём устройстве.
Ошибка NET::ERR_CERT_AUTHORITY_INVALID
Эта ошибка означает что орган выдавший сертификат (CA) не является доверенным для браузера. Причин может быть много: используется самоподписанный сертификат, не установлен промежуточный сертификат, или сертификат действительно выдан недоверенным CA. Часто причина в отсутствии intermediate chain — в конфигурации Apache или Nginx обязательно должен быть указан полный файл fullchain.pem. Тест SSL Labs (ssllabs.com/ssltest) сразу выявляет эту проблему.
NET::ERR_CERT_COMMON_NAME_INVALID
Эта ошибка возникает когда доменное имя в сертификате не совпадает с тем доменом по которому вы заходите. Например, сертификат получен для example.uz, а вы заходите на www.example.uz или наоборот. Решение — добавить все нужные варианты в список Subject Alternative Names (SAN) или получить wildcard сертификат. Wildcard сертификат имеет вид *.example.uz и охватывает все поддомены, что очень удобно для проектов с множеством поддоменов.
NET::ERR_CERT_REVOKED и проблемы OCSP
Если сертификат был отозван CA, браузер показывает эту ошибку. Сертификат обычно отзывают при компрометации безопасности, утечке ключа или по запросу владельца. Отозванный сертификат восстановить невозможно — нужно получить новый и установить его на сервер. Также если OCSP сервер не отвечает, некоторые браузеры могут выдавать ошибку, в этом случае включение OCSP stapling решает проблему.
NET::ERR_CERT_WEAK_SIGNATURE_ALGORITHM
Если сертификат подписан устаревшим алгоритмом (SHA-1, MD5), современные браузеры его не принимают. Текущий стандарт — сертификаты подписанные минимум SHA-256, старые сертификаты нужно немедленно заменить. Кроме того, длина RSA ключа должна быть не менее 2048 бит, 1024-битные ключи не используются с 2014 года.
Практика Sayt.uz
23% клиентов Sayt.uz обращаются к нам с ошибками NET::ERR_CERT. Из них 58% — истёкший сертификат, 24% — проблема с intermediate chain, 11% — несоответствие домена и 7% — другие причины. Наши услуги предотвращают такие ошибки: автоматическое обновление от 95 000 сум/год, мониторинг и оповещения 40 000 сум/год, профессиональная установка 150 000 сум разово. Клиенты Sayt.uz сталкиваются с ошибками сертификата в среднем 0,3 раза за 12 месяцев, самостоятельные владельцы — 4,7 раза.