Skip to content
EN

ERR_CERT_SYMANTEC_LEGACY: устаревший сертификат

Коротко:

NET::ERR_CERT_SYMANTEC_LEGACY — Chrome 70+ (октябрь 2018) автоматически не доверяет сертификатам Symantec, VeriSign, Thawte, GeoTrust и RapidSSL выпущенным до 1 декабря 2017. Причина: Symantec нарушил Baseline Requirements, CA был distrustified. Исправление: перевыпустить cert у DigiCert (который приобрёл бизнес Symantec) или у любого другого CA, например Let's Encrypt.

Эта ошибка блокирует HTTPS-доступ. Ниже: причины, исправление, рабочий конфиг, FAQ.

Проверить SSL своего сайта →

Причины ошибки

  • Сертификат выпущен Symantec/VeriSign/Thawte/GeoTrust до 01.12.2017
  • RapidSSL/SSL.com cert куплен до 2018
  • Корпоративный legacy cert не перевыпускался 5+ лет
  • Equifax Secure Certificate Authority (устаревший sub-CA)
  • Старые EV-certs от Symantec brands

Пошаговое исправление

  1. Перевыпустите cert у DigiCert (наследник Symantec) — бесплатная замена для legacy клиентов
  2. Или переходите на Let's Encrypt: certbot --nginx -d example.com
  3. Проверьте CA: openssl x509 -in cert.pem -issuer — ищите "Symantec"/"VeriSign"
  4. Обновите fullchain на сервере после выпуска нового cert
  5. Проверьте через SSL-чекер — увидите CA и дату выпуска

Проверить SSL-сертификат →

Пример: правильная настройка TLS в nginx

server {
    listen 443 ssl http2;
    server_name example.com;

    ssl_certificate     /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;

    ssl_protocols       TLSv1.2 TLSv1.3;
    ssl_ciphers         ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256;
    ssl_prefer_server_ciphers off;

    ssl_stapling        on;
    ssl_stapling_verify on;
}

Смежные SSL-ошибки

Что такое ERR_CERT_SYMANTEC_LEGACY?

Ошибка ERR_CERT_SYMANTEC_LEGACY возникает, когда веб-сайт использует устаревший сертификат, выданный Symantec, который больше не поддерживается с 2026 года. Это может привести к проблемам с безопасностью и доверием к сайту, так как современные браузеры отказываются принимать такие сертификаты. Для решения проблемы необходимо обновить сертификат до более актуального типа, например, Let's Encrypt или Comodo.

Причины возникновения ошибки ERR_CERT_SYMANTEC_LEGACY

Ошибка ERR_CERT_SYMANTEC_LEGACY возникает из-за прекращения поддержки сертификатов, выданных Symantec и его дочерними компаниями. В 2018 году Google и другие крупные браузеры начали удалять поддержку таких сертификатов, что привело к необходимости их замены. Устаревшие сертификаты могут вызвать недоверие со стороны пользователей и повлиять на рейтинг сайта в поисковых системах.

  • Устаревшие сертификаты: Сертификаты, выданные до 2016 года, могут быть признаны устаревшими.
  • Отсутствие обновлений: Необновленные сертификаты не соответствуют современным стандартам безопасности.
  • Проблемы с браузерами: Большинство современных браузеров не поддерживают устаревшие сертификаты, что приводит к ошибкам при доступе к сайтам.

Как исправить ошибку ERR_CERT_SYMANTEC_LEGACY?

Чтобы устранить ошибку ERR_CERT_SYMANTEC_LEGACY, необходимо заменить устаревший сертификат на новый. Вот пошаговая инструкция по обновлению сертификата:

  1. Проверьте текущий сертификат: Используйте команду openssl s_client -connect example.com:443 для получения информации о сертификате.
  2. Получите новый сертификат: Выберите надежного поставщика сертификатов, например, Let's Encrypt или DigiCert, и следуйте их инструкциям по получению нового сертификата.
  3. Установите новый сертификат: Замените старый сертификат на новый в конфигурации вашего веб-сервера. Например, для Apache это может выглядеть так:
SSLCertificateFile /path/to/new/cert.pem
SSLCertificateKeyFile /path/to/new/key.pem
SSLCertificateChainFile /path/to/new/chain.pem
  1. Перезапустите веб-сервер: После внесения изменений необходимо перезапустить сервер, чтобы они вступили в силу. Для Apache используйте команду sudo systemctl restart apache2.
  2. Проверьте обновление: Повторно выполните команду openssl s_client -connect example.com:443, чтобы убедиться, что новый сертификат установлен правильно.

Следуя этим шагам, вы сможете устранить ошибку ERR_CERT_SYMANTEC_LEGACY и обеспечить безопасность вашего сайта.

СертификатСрок, издатель, домены (SAN)
ЦепочкаПроверка промежуточных и корневых CA
TLS-протоколВерсия TLS и набор шифров
УязвимостиHeartbleed, POODLE, слабые шифры

Почему нам доверяют

TLS 1.3
поддержка
Полная
цепочка CA
<2с
результат
30/14/7
дней до истечения

Как это работает

1

Введите домен

2

Проверка цепочки TLS

3

Дата истечения и уязвимости

Что проверяет SSL-тест?

SSL/TLS — протокол шифрования, который защищает данные между браузером и сервером. Наш инструмент анализирует сертификат, цепочку доверия, версию TLS и известныеуязвимости.

Детали сертификата

Издатель, срок действия, алгоритм подписи, покрываемые домены (SAN) и тип валидации (DV/OV/EV).

Цепочка доверия

Проверка полной цепочки: от конечного сертификата через промежуточные до корневого CA.

Анализ TLS

Версия протокола (TLS 1.2/1.3), набор шифров, поддержка Perfect Forward Secrecy (PFS).

Оповещения об истечении

Создайте монитор — получайте уведомления в Telegram и email за 30/14/7 дней до истечения.

DV vs OV vs EV сертификаты

DV (Domain Validation)
  • Подтверждение только владения доменом
  • Выдаётся за минуты автоматически
  • Бесплатно через Let's Encrypt
  • Подходит для большинства сайтов
  • Самый распространённый тип
OV / EV
  • Проверка организации (OV) или расширенная проверка (EV)
  • Выдаётся за 1-5 рабочих дней
  • Стоимость от $50 до $500/год
  • Для финансов, e-commerce, госсайтов
  • Повышает доверие пользователей

Кому это нужно

DevOps

мониторинг SSL-сертификатов

Безопасность

аудит TLS-конфигурации

SEO

HTTPS как фактор ранжирования

E-commerce

доверие покупателей

Частые ошибки

Истёкший сертификатБраузеры блокируют сайт с истёкшим SSL. Настройте автопродление или мониторинг.
Неполная цепочка сертификатовБез промежуточного CA некоторые браузеры и боты не смогут верифицировать сертификат.
Mixed content на HTTPS-сайтеHTTP-ресурсы на HTTPS-странице — замок в браузере пропадает, снижается доверие.
Использование TLS 1.0/1.1Устаревшие версии TLS содержат известные уязвимости. Используйте TLS 1.2+ или 1.3.
Несовпадение домена в сертификатеСертификат должен покрывать все домены сайта, включая www и поддомены.

Лучшие практики

Настройте автопродлениеLet's Encrypt + certbot с cron — сертификат обновляется автоматически каждые 60-90 дней.
Включите HSTSЗаголовок Strict-Transport-Security заставляет браузер всегда использовать HTTPS.
Используйте TLS 1.3TLS 1.3 быстрее (1-RTT handshake) и безопаснее — убраны устаревшие шифры.
Мониторьте срок действияСоздайте монитор на Enterno.io — получайте уведомления задолго до истечения.
Проверяйте цепочку после обновленияПосле обновления сертификата убедитесь, что промежуточные сертификаты установлены.

Получите больше с бесплатным аккаунтом

Мониторинг SSL-сертификатов, история проверок и уведомления за 30 дней до истечения.

Зарегистрироваться (FREE)

Больше по теме

Источники

Часто задаваемые вопросы

Почему Google наказал Symantec?

Symantec в 2015–2017 выпустил тысячи неправильных cert (включая для google.com без разрешения). Chrome объявил distrust в 2017, применил в Chrome 70 (октябрь 2018).

DigiCert купил Symantec — значит ли это перевыпуск работает?

Да. DigiCert в августе 2017 приобрёл Symantec website security business. Новые cert от DigiCert CA валидны в Chrome.

Можно ли обойти ошибку?

Нет флагов Chrome для обхода. Единственный путь — перевыпуск cert.

А в Firefox/Safari работает старый cert?

Mozilla и Apple применили похожий distrust. В 2026 практически нигде не работают.

Запустить инструмент, который описан в этой статье

Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.