Skip to content
EN

NET::ERR_CERT_REVOKED: что случилось

Коротко:

NET::ERR_CERT_REVOKED — CA (Let's Encrypt, DigiCert) отозвал ваш SSL-сертификат. Это серьёзно: клиенты полностью не могут подключиться. Причины: compromised private key, mis-issuance, CA compliance issue. Solution: немедленно выпустите новый cert и разверните на сервере. Узнать причину — через CA dashboard или email notifications.

Эта ошибка блокирует HTTPS-доступ. Ниже: причины, исправление, FAQ.

Проверить SSL своего сайта →

Причины ошибки

  • Compromised private key (утечка в git, логах)
  • CA обнаружил ошибку в issuance, compliance revocation
  • Запросили revocation через certbot revoke
  • Domain ownership изменился
  • Mass-revocation из-за industry CVE (редко)

Пошаговое исправление

  1. Срочно: выпустите новый cert. certbot certonly --force-renewal -d example.com
  2. Обновите на веб-сервере: nginx -t && systemctl reload nginx
  3. Проверьте причину revocation в CA dashboard (Let's Encrypt — email)
  4. Если утекший private key: сгенерируйте новую пару RSA
  5. Если Must-Staple в cert: обновите OCSP-stapling в nginx config

Проверить SSL-сертификат →

Смежные SSL-ошибки

Что такое ERR_CERT_REVOKED?

Ошибка ERR_CERT_REVOKED возникает, когда ваш браузер обнаруживает, что SSL-сертификат, используемый для защиты соединения, был отозван центром сертификации (CA). Это может произойти по различным причинам, включая компрометацию ключей, ошибки в конфигурации или изменение данных сертификата. Чтобы устранить эту проблему, необходимо проверить статус сертификата и, в случае необходимости, заменить его на новый.

Как проверить статус сертификата?

Для диагностики проблемы ERR_CERT_REVOKED вы можете использовать команду openssl в терминале. Эта команда позволяет проверить статус сертификата через Online Certificate Status Protocol (OCSP). Пример команды:

openssl ocsp -issuer issuer.crt -cert certificate.crt -url http://ocsp.example.com

В этом примере issuer.crt — это сертификат центра сертификации, а certificate.crt — это сертификат вашего сайта. Если сертификат был отозван, вы получите соответствующее сообщение.

Также можно воспользоваться онлайн-сервисами для проверки статуса сертификата, такими как SSL Labs или crt.sh.

Причины отзыва сертификата и способы их устранения

Существует несколько причин, по которым сертификат может быть отозван. Вот основные из них:

  • Компрометация ключа. Если частный ключ был скомпрометирован, CA отзывает сертификат для защиты пользователей.
  • Ошибки в конфигурации. Неверные данные в сертификате или его настройках могут привести к отзыву.
  • Изменения в домене. Если вы изменили владельца домена или его структуру, сертификат может быть отозван.

Чтобы избежать проблем с отзывом сертификата, следуйте следующим рекомендациям:

  1. Регулярно обновляйте сертификаты. Убедитесь, что ваши сертификаты актуальны и не истекают.
  2. Используйте надежные CA. Выбирайте проверенные и надежные центры сертификации для получения сертификатов.
  3. Мониторинг статуса сертификатов. Настройте автоматические проверки статуса сертификатов, чтобы быстро реагировать на возможные проблемы.

Следуя этим рекомендациям, вы сможете минимизировать риск возникновения ошибки ERR_CERT_REVOKED и обеспечить безопасность своих пользователей.

СертификатСрок, издатель, домены (SAN)
ЦепочкаПроверка промежуточных и корневых CA
TLS-протоколВерсия TLS и набор шифров
УязвимостиHeartbleed, POODLE, слабые шифры

Почему нам доверяют

TLS 1.3
поддержка
Полная
цепочка CA
<2с
результат
30/14/7
дней до истечения

Как это работает

1

Введите домен

2

Проверка цепочки TLS

3

Дата истечения и уязвимости

Что проверяет SSL-тест?

SSL/TLS — протокол шифрования, который защищает данные между браузером и сервером. Наш инструмент анализирует сертификат, цепочку доверия, версию TLS и известныеуязвимости.

Детали сертификата

Издатель, срок действия, алгоритм подписи, покрываемые домены (SAN) и тип валидации (DV/OV/EV).

Цепочка доверия

Проверка полной цепочки: от конечного сертификата через промежуточные до корневого CA.

Анализ TLS

Версия протокола (TLS 1.2/1.3), набор шифров, поддержка Perfect Forward Secrecy (PFS).

Оповещения об истечении

Создайте монитор — получайте уведомления в Telegram и email за 30/14/7 дней до истечения.

DV vs OV vs EV сертификаты

DV (Domain Validation)
  • Подтверждение только владения доменом
  • Выдаётся за минуты автоматически
  • Бесплатно через Let's Encrypt
  • Подходит для большинства сайтов
  • Самый распространённый тип
OV / EV
  • Проверка организации (OV) или расширенная проверка (EV)
  • Выдаётся за 1-5 рабочих дней
  • Стоимость от $50 до $500/год
  • Для финансов, e-commerce, госсайтов
  • Повышает доверие пользователей

Кому это нужно

DevOps

мониторинг SSL-сертификатов

Безопасность

аудит TLS-конфигурации

SEO

HTTPS как фактор ранжирования

E-commerce

доверие покупателей

Частые ошибки

Истёкший сертификатБраузеры блокируют сайт с истёкшим SSL. Настройте автопродление или мониторинг.
Неполная цепочка сертификатовБез промежуточного CA некоторые браузеры и боты не смогут верифицировать сертификат.
Mixed content на HTTPS-сайтеHTTP-ресурсы на HTTPS-странице — замок в браузере пропадает, снижается доверие.
Использование TLS 1.0/1.1Устаревшие версии TLS содержат известные уязвимости. Используйте TLS 1.2+ или 1.3.
Несовпадение домена в сертификатеСертификат должен покрывать все домены сайта, включая www и поддомены.

Лучшие практики

Настройте автопродлениеLet's Encrypt + certbot с cron — сертификат обновляется автоматически каждые 60-90 дней.
Включите HSTSЗаголовок Strict-Transport-Security заставляет браузер всегда использовать HTTPS.
Используйте TLS 1.3TLS 1.3 быстрее (1-RTT handshake) и безопаснее — убраны устаревшие шифры.
Мониторьте срок действияСоздайте монитор на Enterno.io — получайте уведомления задолго до истечения.
Проверяйте цепочку после обновленияПосле обновления сертификата убедитесь, что промежуточные сертификаты установлены.

Получите больше с бесплатным аккаунтом

Мониторинг SSL-сертификатов, история проверок и уведомления за 30 дней до истечения.

Зарегистрироваться (FREE)

Больше по теме

Источники

Часто задаваемые вопросы

Сколько ждать Let's Encrypt после revocation?

Сразу можно выпустить новый. Certbot auto-handles. Revocation не влияет на rate limit (те же 5 requests per week per domain).

Revoked cert остался на клиентах в кэше?

Да, если OCSP soft-fail. Rigorous validation (Chrome Must-Staple, Firefox) сразу отсекает. Mobile apps — до 7 дней кэша.

Как узнать revocation reason?

Let's Encrypt — в email. Commercial CA — в dashboard account.

Проверить активно ли?

<a href="/ssl">Enterno SSL-чекер</a> → статус cert (Active / Revoked / Expired).

Запустить инструмент, который описан в этой статье

Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.