Saytga kirayotganda brauzerda qizil ekran chiqib "Sizning aloqangiz xavfsiz emas" yoki "NET::ERR_CERT_DATE_INVALID" kabi yozuvlar paydo bo'lishi sayt egasi uchun ham, tashrifchi uchun ham juda yoqimsiz vaziyat. Bu xato sertifikat bilan bog'liq biror muammo borligini bildiradi va uni darhol hal qilish kerak, chunki har bir daqiqa ushbu xato saqlanib qolsa, sayt o'z tashrifchilarini va potentsial mijozlarini yo'qotaveradi. Ushbu maqolada NET::ERR_CERT oilasiga kiruvchi barcha xatolarning sabablarini va ularni tuzatishning amaliy yo'llarini batafsil ko'rib chiqamiz.
NET::ERR_CERT_DATE_INVALID xatosi
Bu eng ko'p uchraydigan xato bo'lib, sertifikat muddati tugaganda yoki hali boshlanmaganda chiqadi. Brauzer sertifikat ichidagi "Not Before" va "Not After" sanalarini joriy sana bilan solishtiradi va agar joriy sana shu oraliqdan tashqarida bo'lsa, xato beradi. Yechimi oddiy — sertifikatni darhol yangilash kerak. Lekin ba'zan muammo serverda emas, balki foydalanuvchining kompyuteridagi noto'g'ri sana-vaqtda bo'lishi mumkin, shuning uchun avval o'z qurilmangizdagi vaqtni tekshirib ko'ring.
NET::ERR_CERT_AUTHORITY_INVALID xatosi
Bu xato sertifikatni chiqargan organ (CA) brauzerga ishonchli emasligini bildiradi. Sabablari ko'p bo'lishi mumkin: o'z-o'zidan imzolangan sertifikat ishlatilgan, intermediate sertifikat o'rnatilmagan, yoki sertifikat haqiqatan ham ishonchsiz CA tomonidan berilgan. Ko'pincha intermediate chain yetishmasligi sabab bo'ladi — Apache yoki Nginx konfiguratsiyasida to'liq fullchain.pem fayli ko'rsatilishi shart. SSL Labs testi (ssllabs.com/ssltest) bu muammoni darhol aniqlab beradi.
NET::ERR_CERT_COMMON_NAME_INVALID
Bu xato sertifikatdagi domen nomi siz kirayotgan domen bilan mos kelmasa chiqadi. Masalan, sertifikat example.uz uchun olingan bo'lib, siz www.example.uz ga kirsangiz yoki aksincha. Yechimi — Subject Alternative Names (SAN) ro'yxatiga barcha kerakli variantlarni qo'shish yoki wildcard sertifikat olish. Wildcard sertifikat *.example.uz ko'rinishida bo'ladi va barcha subdomenlarni qamrab oladi, bu esa ko'p subdomenli loyihalar uchun juda qulay.
NET::ERR_CERT_REVOKED va OCSP muammolar
Agar sertifikat CA tomonidan bekor qilingan bo'lsa, brauzer bu xatoni ko'rsatadi. Sertifikat odatda xavfsizlik buzilganda, kalit oshkor bo'lganda yoki egasi so'rovi bilan bekor qilinadi. Bekor qilingan sertifikatni qayta tiklab bo'lmaydi — yangi sertifikat olish va uni serverga o'rnatish kerak. Shuningdek OCSP server javob bermayotgan bo'lsa, ba'zi brauzerlar xato chiqarishi mumkin, bu holatda OCSP stapling yoqilishi muammoni hal qiladi.
NET::ERR_CERT_WEAK_SIGNATURE_ALGORITHM
Sertifikat eskirgan algoritm (SHA-1, MD5) bilan imzolangan bo'lsa, zamonaviy brauzerlar uni qabul qilmaydi. Hozirgi standart — kamida SHA-256 bilan imzolangan sertifikatlar bo'lib, eski sertifikatlarni darhol almashtirish kerak. Bundan tashqari, RSA kaliti uzunligi kamida 2048 bit bo'lishi shart, 1024 bitlik kalitlar 2014 yildan beri ishlatilmaydi.
Sayt.uz amaliyot
Sayt.uz mijozlarining 23% NET::ERR_CERT xatolari bilan bizga murojaat qiladi. Shulardan 58% muddati tugagan sertifikat, 24% intermediate chain muammosi, 11% noto'g'ri domen mosligi va 7% boshqa sabablar. Bizning xizmatlarimiz bunday xatolarni oldini oladi: avtomatik yangilanish 95 000 so'm/yil dan, monitoring va xato xabarlari 40 000 so'm/yil, professional o'rnatish 150 000 so'm bir martalik. Sayt.uz mijozlari 12 oy ichida o'rtacha 0,3 marta sertifikat xatoligiga duch keladi, mustaqil egalar esa 4,7 marta.