NET::ERR_CERT_VALIDITY_TOO_LONG появляется когда SSL-сертификат выпущен на срок > 398 дней. С сентября 2020 Apple, Google и Mozilla не принимают сертификаты с бóльшим сроком — это требование Baseline Requirements 1.7.3. Исправление: перевыпустить сертификат с валидностью ≤ 397 дней (Let's Encrypt = 90 дней, подходит всегда).
Эта ошибка блокирует HTTPS-доступ. Ниже: причины, исправление, рабочий конфиг, FAQ.
Бесплатный онлайн-инструмент — SSL-чекер: результат мгновенно, без регистрации.
days=10000 — типичная ошибка adminscertbot renew --force-renewalopenssl req -x509 -days 365 (не 3650!)server {
listen 443 ssl http2;
server_name example.com;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256;
ssl_prefer_server_ciphers off;
ssl_stapling on;
ssl_stapling_verify on;
}Ошибка ERR_CERT_VALIDITY_TOO_LONG возникает, когда SSL-сертификат вашего сайта имеет срок действия более 398 дней. Это ограничение было введено в 2020 году, чтобы повысить безопасность веб-сайтов и уменьшить вероятность использования устаревших сертификатов. Если вы видите эту ошибку, необходимо обновить сертификат, чтобы он соответствовал современным стандартам.
Существует несколько причин, по которым вы можете столкнуться с ошибкой ERR_CERT_VALIDITY_TOO_LONG:
Помимо этого, важно помнить, что использование коротких сертификатов (например, на 90 дней) может повысить безопасность вашего сайта, так как позволяет чаще обновлять ключи.
Для устранения ошибки ERR_CERT_VALIDITY_TOO_LONG вам необходимо заменить текущий сертификат на новый, срок действия которого не превышает 398 дней. Вот пошаговая инструкция по исправлению ошибки:
openssl x509 -in /path/to/your/certificate.crt -noout -text, чтобы получить информацию о сроке действия сертификата.openssl req -new -key your_private_key.key -out your_request.csr для создания нового запроса на сертификат.SSLCertificateFile /path/to/your/new_certificate.crt
SSLCertificateKeyFile /path/to/your/private_key.key
Перезапустите веб-сервер: После установки нового сертификата не забудьте перезапустить ваш веб-сервер, чтобы изменения вступили в силу. Например, для Apache используйте команду sudo systemctl restart apache2.
После выполнения всех шагов проверьте, исчезла ли ошибка, используя инструменты для проверки SSL, такие как SSL Labs.
SSL/TLS — протокол шифрования, который защищает данные между браузером и сервером. Наш инструмент анализирует сертификат, цепочку доверия, версию TLS и известныеуязвимости.
Издатель, срок действия, алгоритм подписи, покрываемые домены (SAN) и тип валидации (DV/OV/EV).
Проверка полной цепочки: от конечного сертификата через промежуточные до корневого CA.
Версия протокола (TLS 1.2/1.3), набор шифров, поддержка Perfect Forward Secrecy (PFS).
Создайте монитор — получайте уведомления в Telegram и email за 30/14/7 дней до истечения.
мониторинг SSL-сертификатов
аудит TLS-конфигурации
HTTPS как фактор ранжирования
доверие покупателей
www и поддомены.Strict-Transport-Security заставляет браузер всегда использовать HTTPS.Мониторинг SSL-сертификатов, история проверок и уведомления за 30 дней до истечения.
Зарегистрироваться (FREE)Короткий срок заставляет чаще перевыпускать сертификаты → меньше риск компрометации ключа, быстрее вывод уязвимых сертификатов из обращения.
Это 13 месяцев + buffer для продления. Ограничение Apple с 2020: max 398 дней. Google и Mozilla присоединились.
Нет. Это встроенная политика safetynet, не отключается.
ZeroSSL, Buypass — бесплатные альтернативы с 90-дневными cert. Коммерческие (DigiCert, Sectigo) — 1 год. Все ≤ 398 дней.
Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.