Skip to content
EN

NET::ERR_CERT_INVALID: детализация

Коротко:

NET::ERR_CERT_INVALID — Chrome 's generic category для всех cert validation failures (более specific errors: AUTHORITY_INVALID, DATE_INVALID, COMMON_NAME_INVALID). Если видите только generic — Chrome не смог сужать category. Fix: nslookup + openssl s_client для детального анализа.

Ниже: причины, исправление, FAQ.

Проверить SSL своего сайта →

Причины ошибки

  • Cert completely malformed (non-DER/PEM)
  • Cert issued для wrong key type
  • Chain cycle (A signs B, B signs A)
  • Legacy cert SHA-1 сигнатура (deprecated)
  • Multiple concurrent issues

Пошаговое исправление

  1. openssl x509 -in cert.pem -text -noout — parse cert
  2. openssl s_client -connect host:443 -servername host — live handshake
  3. Enterno SSL Checker — автоматический анализ
  4. chrome://net-export/ — сохранить network log для анализа
  5. Перевыпустите через Let's Encrypt — fresh start

Проверить SSL-сертификат →

Смежные SSL-ошибки

TL;DR: Что такое NET::ERR_CERT_INVALID?

Ошибка NET::ERR_CERT_INVALID в Google Chrome указывает на то, что сертификат SSL, используемый веб-сайтом, недействителен. Это может произойти из-за истечения срока действия сертификата, его неправильной настройки или использования неподдерживаемого алгоритма шифрования. Для решения проблемы проверьте срок действия сертификата с помощью команды openssl x509 -in your_certificate.crt -noout -dates и убедитесь, что он корректно установлен на сервере.

Причины возникновения NET::ERR_CERT_INVALID

Ошибка NET::ERR_CERT_INVALID может возникать по нескольким причинам, среди которых:

  • Истекший сертификат: Если срок действия SSL-сертификата истек, браузер не сможет его распознать как безопасный.
  • Неправильная настройка: Сертификаты могут быть неправильно настроены на сервере, что приводит к их недоступности для проверки.
  • Использование самоподписанных сертификатов: Самоподписанные сертификаты не признаются браузерами как надежные, что может вызвать эту ошибку.
  • Некорректная цепочка сертификатов: Если промежуточные сертификаты отсутствуют или неправильно установлены, это также может привести к ошибке.

Для диагностики проблемы можно использовать инструменты, такие как SSL Labs, которые предоставляют детальную информацию о состоянии SSL-сертификата и его настройках.

Как исправить ошибку NET::ERR_CERT_INVALID

Исправление ошибки NET::ERR_CERT_INVALID требует выполнения нескольких шагов, в зависимости от причины проблемы. Рассмотрим пример исправления ошибки, связанной с истекшим сертификатом:

  1. Проверка срока действия сертификата: Выполните команду openssl x509 -in your_certificate.crt -noout -dates, чтобы проверить срок действия сертификата.
  2. Обновление сертификата: Если сертификат истек, получите новый сертификат от вашего поставщика услуг или используйте Let's Encrypt для получения бесплатного сертификата.
  3. Установка нового сертификата: Замените старый сертификат на новый на веб-сервере. Для Apache это может выглядеть так:
SSLCertificateFile /path/to/your_new_certificate.crt
SSLCertificateKeyFile /path/to/your_private.key
SSLCertificateChainFile /path/to/intermediate_certificate.crt
  1. Перезапуск веб-сервера: После установки нового сертификата необходимо перезапустить веб-сервер, чтобы изменения вступили в силу. Для Apache используйте команду sudo systemctl restart apache2.
  2. Проверка работоспособности: После перезагрузки проверьте работоспособность сертификата с помощью браузера или инструмента curl -v https://yourdomain.com.

Следуя этим шагам, вы сможете устранить ошибку NET::ERR_CERT_INVALID и обеспечить безопасное подключение к вашему сайту.

TL;DR: NET::ERR_CERT_INVALID — краткий ответ

Ошибка NET::ERR_CERT_INVALID в Google Chrome указывает на недействительный сертификат SSL, что может происходить по нескольким причинам, включая истечение срока действия сертификата, неправильную конфигурацию или несоответствие имени домена. Для устранения этой ошибки необходимо проверить корректность сертификата и его настройки на сервере.

Понимание проблемы NET::ERR_CERT_INVALID

Ошибка NET::ERR_CERT_INVALID возникает, когда браузер не может подтвердить действительность SSL-сертификата, используемого для шифрования данных между клиентом и сервером. Это критически важно, так как недействительные сертификаты могут привести к утечке конфиденциальной информации и снизить доверие пользователей к вашему сайту.

Существует несколько причин, по которым может возникнуть эта ошибка:

  • Истекший сертификат: Если срок действия SSL-сертификата истек, браузер откажется его принимать.
  • Несоответствие имени домена: Сертификат должен соответствовать имени домена, на котором он установлен. Если вы пытаетесь открыть сайт с неправильным именем, вы получите эту ошибку.
  • Неправильная настройка сервера: Неверные настройки на уровне сервера могут привести к тому, что сертификат не будет правильно распознан.
  • Сертификаты от ненадежных центров сертификации: Если сертификат выдан центром сертификации, который не доверяется браузером, появится ошибка.

Для корректного функционирования SSL-сертификата необходимо следовать стандартам, установленным RFC 5280, которые описывают требования к сертификатам X.509.

Важно отметить, что ошибка NET::ERR_CERT_INVALID может затруднить доступ к вашему сайту для пользователей, что в свою очередь может негативно сказаться на трафике и доверии к вашему бренду. Поэтому важно регулярно проверять состояние SSL-сертификатов и их настройки.

Практическое устранение ошибки NET::ERR_CERT_INVALID

Для исправления ошибки NET::ERR_CERT_INVALID необходимо выполнить несколько шагов. Рассмотрим их на примере сервера, работающего под управлением Apache.

  1. Проверка срока действия сертификата: Используйте команду openssl x509 -in /path/to/certificate.crt -noout -dates, чтобы проверить дату истечения срока действия сертификата.
  2. Проверка соответствия имени домена: Убедитесь, что сертификат выдан для правильного домена. Это можно сделать с помощью команды: openssl x509 -in /path/to/certificate.crt -noout -subject. Убедитесь, что CN (Common Name) соответствует вашему домену.
  3. Проверка конфигурации Apache: Откройте файл конфигурации вашего виртуального хоста (обычно находится в /etc/httpd/conf.d/ или /etc/apache2/sites-available/) и убедитесь, что указаны правильные пути к файлам сертификата и ключа:
    SSLCertificateFile /path/to/certificate.crt
    SSLCertificateKeyFile /path/to/private.key
    SSLCertificateChainFile /path/to/chain.pem
  4. Перезагрузка сервера: После внесения изменений в конфигурацию перезагрузите сервер командой sudo systemctl restart apache2 или sudo systemctl restart httpd.
  5. Проверка на сторонних сервисах: Используйте такие инструменты, как SSL Labs для проверки конфигурации вашего сертификата и его соответствия стандартам.

Используя данные шаги, вы сможете устранить ошибку NET::ERR_CERT_INVALID и восстановить доступность вашего сайта для пользователей, что повысит безопасность и доверие к вашему ресурсу.

СертификатСрок, издатель, домены (SAN)
ЦепочкаПроверка промежуточных и корневых CA
TLS-протоколВерсия TLS и набор шифров
УязвимостиHeartbleed, POODLE, слабые шифры

Почему нам доверяют

TLS 1.3
поддержка
Полная
цепочка CA
<2с
результат
30/14/7
дней до истечения

Как это работает

1

Введите домен

2

Проверка цепочки TLS

3

Дата истечения и уязвимости

Что проверяет SSL-тест?

SSL/TLS — протокол шифрования, который защищает данные между браузером и сервером. Наш инструмент анализирует сертификат, цепочку доверия, версию TLS и известныеуязвимости.

Детали сертификата

Издатель, срок действия, алгоритм подписи, покрываемые домены (SAN) и тип валидации (DV/OV/EV).

Цепочка доверия

Проверка полной цепочки: от конечного сертификата через промежуточные до корневого CA.

Анализ TLS

Версия протокола (TLS 1.2/1.3), набор шифров, поддержка Perfect Forward Secrecy (PFS).

Оповещения об истечении

Создайте монитор — получайте уведомления в Telegram и email за 30/14/7 дней до истечения.

DV vs OV vs EV сертификаты

DV (Domain Validation)
  • Подтверждение только владения доменом
  • Выдаётся за минуты автоматически
  • Бесплатно через Let's Encrypt
  • Подходит для большинства сайтов
  • Самый распространённый тип
OV / EV
  • Проверка организации (OV) или расширенная проверка (EV)
  • Выдаётся за 1-5 рабочих дней
  • Стоимость от $50 до $500/год
  • Для финансов, e-commerce, госсайтов
  • Повышает доверие пользователей

Кому это нужно

DevOps

мониторинг SSL-сертификатов

Безопасность

аудит TLS-конфигурации

SEO

HTTPS как фактор ранжирования

E-commerce

доверие покупателей

Частые ошибки

Истёкший сертификатБраузеры блокируют сайт с истёкшим SSL. Настройте автопродление или мониторинг.
Неполная цепочка сертификатовБез промежуточного CA некоторые браузеры и боты не смогут верифицировать сертификат.
Mixed content на HTTPS-сайтеHTTP-ресурсы на HTTPS-странице — замок в браузере пропадает, снижается доверие.
Использование TLS 1.0/1.1Устаревшие версии TLS содержат известные уязвимости. Используйте TLS 1.2+ или 1.3.
Несовпадение домена в сертификатеСертификат должен покрывать все домены сайта, включая www и поддомены.

Лучшие практики

Настройте автопродлениеLet's Encrypt + certbot с cron — сертификат обновляется автоматически каждые 60-90 дней.
Включите HSTSЗаголовок Strict-Transport-Security заставляет браузер всегда использовать HTTPS.
Используйте TLS 1.3TLS 1.3 быстрее (1-RTT handshake) и безопаснее — убраны устаревшие шифры.
Мониторьте срок действияСоздайте монитор на Enterno.io — получайте уведомления задолго до истечения.
Проверяйте цепочку после обновленияПосле обновления сертификата убедитесь, что промежуточные сертификаты установлены.

Получите больше с бесплатным аккаунтом

Мониторинг SSL-сертификатов, история проверок и уведомления за 30 дней до истечения.

Зарегистрироваться (FREE)

Больше по теме

Источники

Часто задаваемые вопросы

Почему generic?

Chrome не всегда может узко классифицировать. Если cert имеет несколько проблем одновременно — generic.

Log для analysis?

chrome://net-export/ → Capture → Export JSON. Нетупитно для non-experts, но reports проблему точно.

Быстрая диагностика?

SSLLabs или Enterno SSL Checker. Дадут specific reason + suggest fix.

Self-signed — это ERR_CERT_INVALID?

Обычно ERR_CERT_AUTHORITY_INVALID. Generic _INVALID — rarer.

Запустить инструмент, который описан в этой статье

Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.