Skip to content
EN

NET::ERR_CERT_VALIDITY_TOO_LONG: исправление

Коротко:

NET::ERR_CERT_VALIDITY_TOO_LONG появляется когда SSL-сертификат выпущен на срок > 398 дней. С сентября 2020 Apple, Google и Mozilla не принимают сертификаты с бóльшим сроком — это требование Baseline Requirements 1.7.3. Исправление: перевыпустить сертификат с валидностью ≤ 397 дней (Let's Encrypt = 90 дней, подходит всегда).

Эта ошибка блокирует HTTPS-доступ. Ниже: причины, исправление, рабочий конфиг, FAQ.

Проверить SSL своего сайта →

Причины ошибки

  • Сертификат выпущен на 2+ года (старая практика до сентября 2020)
  • Commercial CA выдал "extended validity" — обход ограничений
  • Self-signed cert с days=10000 — типичная ошибка admins
  • Legacy сертификат перевыпущен со старыми параметрами
  • Firewall/proxy подменил сертификат с длинной валидностью

Пошаговое исправление

  1. Перевыпустите сертификат: certbot renew --force-renewal
  2. Для self-signed: openssl req -x509 -days 365 (не 3650!)
  3. У commercial CA попросите 1-year cert — 2-year снят с продаж с 2020
  4. Проверьте actual validity через SSL-чекер — Not Before → Not After
  5. Корпоративный proxy: исключите ваш домен из SSL-inspection

Проверить SSL-сертификат →

Пример: правильная настройка TLS в nginx

server {
    listen 443 ssl http2;
    server_name example.com;

    ssl_certificate     /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;

    ssl_protocols       TLSv1.2 TLSv1.3;
    ssl_ciphers         ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256;
    ssl_prefer_server_ciphers off;

    ssl_stapling        on;
    ssl_stapling_verify on;
}

Смежные SSL-ошибки

Что такое ошибка ERR_CERT_VALIDITY_TOO_LONG?

Ошибка ERR_CERT_VALIDITY_TOO_LONG возникает, когда SSL-сертификат вашего сайта имеет срок действия более 398 дней. Это ограничение было введено в 2020 году, чтобы повысить безопасность веб-сайтов и уменьшить вероятность использования устаревших сертификатов. Если вы видите эту ошибку, необходимо обновить сертификат, чтобы он соответствовал современным стандартам.

Причины возникновения ошибки ERR_CERT_VALIDITY_TOO_LONG

Существует несколько причин, по которым вы можете столкнуться с ошибкой ERR_CERT_VALIDITY_TOO_LONG:

  • Использование устаревших сертификатов: Некоторые организации по-прежнему используют сертификаты с долгим сроком действия, что является нарушением современных стандартов.
  • Неправильная конфигурация сервера: Если ваш сервер настроен на использование сертификатов, срок действия которых превышает 398 дней, это приведет к возникновению ошибки.
  • Необновленные настройки CA: Если ваш центр сертификации (CA) не обновил свои политики, это также может быть причиной проблемы.

Помимо этого, важно помнить, что использование коротких сертификатов (например, на 90 дней) может повысить безопасность вашего сайта, так как позволяет чаще обновлять ключи.

Как исправить ошибку ERR_CERT_VALIDITY_TOO_LONG

Для устранения ошибки ERR_CERT_VALIDITY_TOO_LONG вам необходимо заменить текущий сертификат на новый, срок действия которого не превышает 398 дней. Вот пошаговая инструкция по исправлению ошибки:

  1. Проверьте текущий сертификат: Используйте команду openssl x509 -in /path/to/your/certificate.crt -noout -text, чтобы получить информацию о сроке действия сертификата.
  2. Выберите центр сертификации: Выберите CA, который предоставляет сертификаты с коротким сроком действия. Например, Let's Encrypt предлагает бесплатные сертификаты сроком на 90 дней.
  3. Создайте новый запрос: Используйте команду openssl req -new -key your_private_key.key -out your_request.csr для создания нового запроса на сертификат.
  4. Получите новый сертификат: Отправьте запрос в выбранный CA и получите новый сертификат.
  5. Установите новый сертификат: Замените старый сертификат на новый в конфигурации вашего веб-сервера. Например, для Apache это может выглядеть так:
SSLCertificateFile /path/to/your/new_certificate.crt
SSLCertificateKeyFile /path/to/your/private_key.key

Перезапустите веб-сервер: После установки нового сертификата не забудьте перезапустить ваш веб-сервер, чтобы изменения вступили в силу. Например, для Apache используйте команду sudo systemctl restart apache2.

После выполнения всех шагов проверьте, исчезла ли ошибка, используя инструменты для проверки SSL, такие как SSL Labs.

СертификатСрок, издатель, домены (SAN)
ЦепочкаПроверка промежуточных и корневых CA
TLS-протоколВерсия TLS и набор шифров
УязвимостиHeartbleed, POODLE, слабые шифры

Почему нам доверяют

TLS 1.3
поддержка
Полная
цепочка CA
<2с
результат
30/14/7
дней до истечения

Как это работает

1

Введите домен

2

Проверка цепочки TLS

3

Дата истечения и уязвимости

Что проверяет SSL-тест?

SSL/TLS — протокол шифрования, который защищает данные между браузером и сервером. Наш инструмент анализирует сертификат, цепочку доверия, версию TLS и известныеуязвимости.

Детали сертификата

Издатель, срок действия, алгоритм подписи, покрываемые домены (SAN) и тип валидации (DV/OV/EV).

Цепочка доверия

Проверка полной цепочки: от конечного сертификата через промежуточные до корневого CA.

Анализ TLS

Версия протокола (TLS 1.2/1.3), набор шифров, поддержка Perfect Forward Secrecy (PFS).

Оповещения об истечении

Создайте монитор — получайте уведомления в Telegram и email за 30/14/7 дней до истечения.

DV vs OV vs EV сертификаты

DV (Domain Validation)
  • Подтверждение только владения доменом
  • Выдаётся за минуты автоматически
  • Бесплатно через Let's Encrypt
  • Подходит для большинства сайтов
  • Самый распространённый тип
OV / EV
  • Проверка организации (OV) или расширенная проверка (EV)
  • Выдаётся за 1-5 рабочих дней
  • Стоимость от $50 до $500/год
  • Для финансов, e-commerce, госсайтов
  • Повышает доверие пользователей

Кому это нужно

DevOps

мониторинг SSL-сертификатов

Безопасность

аудит TLS-конфигурации

SEO

HTTPS как фактор ранжирования

E-commerce

доверие покупателей

Частые ошибки

Истёкший сертификатБраузеры блокируют сайт с истёкшим SSL. Настройте автопродление или мониторинг.
Неполная цепочка сертификатовБез промежуточного CA некоторые браузеры и боты не смогут верифицировать сертификат.
Mixed content на HTTPS-сайтеHTTP-ресурсы на HTTPS-странице — замок в браузере пропадает, снижается доверие.
Использование TLS 1.0/1.1Устаревшие версии TLS содержат известные уязвимости. Используйте TLS 1.2+ или 1.3.
Несовпадение домена в сертификатеСертификат должен покрывать все домены сайта, включая www и поддомены.

Лучшие практики

Настройте автопродлениеLet's Encrypt + certbot с cron — сертификат обновляется автоматически каждые 60-90 дней.
Включите HSTSЗаголовок Strict-Transport-Security заставляет браузер всегда использовать HTTPS.
Используйте TLS 1.3TLS 1.3 быстрее (1-RTT handshake) и безопаснее — убраны устаревшие шифры.
Мониторьте срок действияСоздайте монитор на Enterno.io — получайте уведомления задолго до истечения.
Проверяйте цепочку после обновленияПосле обновления сертификата убедитесь, что промежуточные сертификаты установлены.

Получите больше с бесплатным аккаунтом

Мониторинг SSL-сертификатов, история проверок и уведомления за 30 дней до истечения.

Зарегистрироваться (FREE)

Больше по теме

Источники

Часто задаваемые вопросы

Почему Apple/Google/Mozilla решили ограничить срок?

Короткий срок заставляет чаще перевыпускать сертификаты → меньше риск компрометации ключа, быстрее вывод уязвимых сертификатов из обращения.

398 дней — почему именно столько?

Это 13 месяцев + buffer для продления. Ограничение Apple с 2020: max 398 дней. Google и Mozilla присоединились.

Можно ли обойти в Chrome через флаги?

Нет. Это встроенная политика safetynet, не отключается.

Let's Encrypt 90 дней — это раздражает, альтернативы?

ZeroSSL, Buypass — бесплатные альтернативы с 90-дневными cert. Коммерческие (DigiCert, Sectigo) — 1 год. Все ≤ 398 дней.

Запустить инструмент, который описан в этой статье

Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.