Ошибка NET::ERR_CERT_AUTHORITY_INVALID: причины и решение
NET::ERR_CERT_AUTHORITY_INVALID — браузер Chrome/Edge не доверяет SSL-сертификату сайта: цепочка сертификации не ведёт к доверенному корневому центру. Причина в 90% случаев — самоподписанный сертификат, истёкший корневой CA или неполная цепочка. Исправление: установить сертификат от публичного CA (Let's Encrypt, DigiCert) и настроить полную цепочку на сервере.
Эта ошибка блокирует доступ к сайту и пугает посетителей. В 90% случаев проблема на стороне сервера — некорректно настроенный SSL-сертификат. Разбираем все причины и даём пошаговое исправление.
Что значит ошибка NET::ERR_CERT_AUTHORITY_INVALID
Когда браузер открывает HTTPS-сайт, он проверяет цепочку SSL-сертификатов: сертификат сайта → промежуточный CA → корневой CA. Если хотя бы одно звено не доверенное или отсутствует — Chrome показывает NET::ERR_CERT_AUTHORITY_INVALID.
Это не означает, что сайт взломан. Чаще всего причина — в администрировании сервера:
- Самоподписанный сертификат (не выпущен публичным CA)
- Корневой CA не установлен в операционной системе
- Неполная цепочка сертификатов на сервере (отсутствует intermediate CA)
- Истёкший корневой CA (редко, но случается с legacy сертификатами)
- Сертификат от недоверенного CA (пример: COMODO, больше не в chrome root store)
Как исправить ошибку (пошагово)
- Проверьте SSL-сертификат онлайн — используйте SSL-чекер Enterno.io. Введите домен — увидите полную цепочку, издателя и проблемы.
- Если сертификат самоподписанный — замените на Let's Encrypt (бесплатно) или коммерческий CA.
- Если неполная цепочка — добавьте intermediate CA в bundle-файл. Для nginx:
ssl_certificate /path/to/fullchain.pem;(не простоcert.pem). - Проверьте Root CA в браузере — Chrome использует собственный trust store, не системный. Обновите Chrome.
- Очистите SSL-кеш браузера — Chrome: chrome://net-internals/#ssl → Flush sockets.
Пример: правильная настройка SSL для nginx
server {
listen 443 ssl http2;
server_name example.com;
# ВАЖНО: fullchain — сертификат + все промежуточные CA
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;
# OCSP stapling (опционально, но рекомендуется)
ssl_stapling on;
ssl_stapling_verify on;
}Смежные SSL-ошибки
- ERR_CERT_DATE_INVALID — истёкший сертификат
- NET::ERR_CERT_COMMON_NAME_INVALID — неверный домен в сертификате
- ERR_SSL_PROTOCOL_ERROR — несовместимость TLS
- Mixed Content — HTTP-ресурсы на HTTPS-странице
Почему нам доверяют
Как это работает
Введите домен
Проверка цепочки TLS
Дата истечения и уязвимости
Что проверяет SSL-тест?
SSL/TLS — протокол шифрования, который защищает данные между браузером и сервером. Наш инструмент анализирует сертификат, цепочку доверия, версию TLS и известныеуязвимости.
Детали сертификата
Издатель, срок действия, алгоритм подписи, покрываемые домены (SAN) и тип валидации (DV/OV/EV).
Цепочка доверия
Проверка полной цепочки: от конечного сертификата через промежуточные до корневого CA.
Анализ TLS
Версия протокола (TLS 1.2/1.3), набор шифров, поддержка Perfect Forward Secrecy (PFS).
Оповещения об истечении
Создайте монитор — получайте уведомления в Telegram и email за 30/14/7 дней до истечения.
DV vs OV vs EV сертификаты
- Подтверждение только владения доменом
- Выдаётся за минуты автоматически
- Бесплатно через Let's Encrypt
- Подходит для большинства сайтов
- Самый распространённый тип
- Проверка организации (OV) или расширенная проверка (EV)
- Выдаётся за 1-5 рабочих дней
- Стоимость от $50 до $500/год
- Для финансов, e-commerce, госсайтов
- Повышает доверие пользователей
Кому это нужно
DevOps
мониторинг SSL-сертификатов
Безопасность
аудит TLS-конфигурации
SEO
HTTPS как фактор ранжирования
E-commerce
доверие покупателей
Частые ошибки
www и поддомены.Лучшие практики
Strict-Transport-Security заставляет браузер всегда использовать HTTPS.Получите больше с бесплатным аккаунтом
Мониторинг SSL-сертификатов, история проверок и уведомления за 30 дней до истечения.
Зарегистрироваться (FREE)Больше по теме
Гайды
Исследования
Часто задаваемые вопросы
Безопасно ли обойти ошибку NET::ERR_CERT_AUTHORITY_INVALID?
Нет. Chrome показывает эту ошибку потому, что не может проверить подлинность сайта. Обход (через chrome://flags или thisisunsafe) делает соединение уязвимым к man-in-the-middle атакам. Безопасно проходить только при тестировании собственного dev-сервера.
Почему ошибка появляется только в Chrome, а в Firefox всё работает?
Chrome и Firefox имеют разные trust stores. Chrome использует свой root CA список (chrome-root-store), Firefox — Mozilla CA список. Если ваш CA есть в Mozilla, но не в Chrome, ошибка покажется только в Chrome.
Можно ли исправить на стороне клиента?
Если ошибка появляется на одном сайте — исправлять нужно на сервере. Если на всех HTTPS-сайтах — проверьте системное время, обновите Chrome, проверьте корпоративный proxy (он может подменять сертификаты).
Как проверить SSL-цепочку онлайн?
Используйте <a href="/ssl">SSL/TLS чекер Enterno.io</a> — введите домен, получите полную цепочку сертификатов, дату истечения, издателя и предупреждения. Бесплатно и без регистрации.
Let's Encrypt бесплатный — будет ли доверенный сертификат?
Да. Let's Encrypt — CA, включённый во все современные trust stores (Chrome, Firefox, Safari, Edge). Сертификаты действительны 90 дней, автоматическое продление через certbot.