Skip to content
EN

ERR_CERT_WEAK_SIGNATURE_ALGORITHM: устаревший SHA-1 или MD5

Коротко:

ERR_CERT_WEAK_SIGNATURE_ALGORITHM — SSL-сертификат подписан устаревшим алгоритмом (SHA-1, MD5, MD2). Chrome блокирует такие сертификаты с 2017 года. Решение: перевыпустить сертификат с SHA-256 или выше. Все современные CA (Let's Encrypt, DigiCert) выдают SHA-256 по умолчанию.

Эта ошибка часто встречается в дебаггинге SSL. Разбираем причины и даём пошаговое решение.

Проверить SSL своего сайта →

Что означает ERR_CERT_WEAK_SIGNATURE_ALGORITHM

ERR_CERT_WEAK_SIGNATURE_ALGORITHM — SSL-сертификат подписан устаревшим алгоритмом (SHA-1, MD5, MD2). Chrome блокирует такие сертификаты с 2017 года. Решение: перевыпустить сертификат с SHA-256 или выше. Все современные CA (Let's Encrypt, DigiCert) выдают SHA-256 по умолчанию.

Ошибка может появиться в Chrome, Edge, Opera, Brave (все на Chromium) и частично в Firefox и Safari. Разные браузеры отображают один и тот же код по-разному — но суть одна.

Как исправить (пошагово)

  1. Проверьте SSL-сертификат онлайнчекер Enterno.io покажет грейд, срок действия, цепочку и конкретную причину.
  2. Если проблема на стороне сервера — перевыпустите сертификат через certbot или выбранного CA.
  3. Обновите nginx/apache конфигурацию (настройте TLS 1.2/1.3, fullchain, правильные ciphers).
  4. Проверьте kernel OpenSSL — устаревший openssl < 1.1 может ломать handshake.
  5. После деплоя: проверьте ещё раз через SSL-чекер + очистите browser SSL-cache.

Проверить SSL сейчас →

Смежные SSL-ошибки

Что такое ошибка ERR_CERT_WEAK_SIGNATURE_ALGORITHM?

Ошибка ERR_CERT_WEAK_SIGNATURE_ALGORITHM указывает на использование слабого алгоритма подписи сертификата SSL/TLS, что может привести к уязвимостям в безопасности. Эта проблема возникает, когда сервер использует хэш-функции, такие как MD5 или SHA-1, которые больше не соответствуют современным стандартам безопасности. Для устранения этой ошибки необходимо перейти на более надежные алгоритмы, такие как SHA-256 или SHA-384. Обновление сертификата и конфигурации сервера – ключевые шаги для обеспечения безопасного соединения.

Как определить и исправить ошибку ERR_CERT_WEAK_SIGNATURE_ALGORITHM?

Для диагностики ошибки ERR_CERT_WEAK_SIGNATURE_ALGORITHM можно использовать команду openssl x509 -in your_certificate.crt -text -noout, которая покажет информацию о сертификате, включая используемый алгоритм подписи. Если вы видите, что используется SHA-1 или MD5, это сигнал о необходимости обновления сертификата.

Чтобы исправить эту ошибку, выполните следующие шаги:

  1. Получите новый сертификат: Обратитесь к вашему поставщику сертификатов и запросите новый сертификат, который использует более безопасный алгоритм, например, SHA-256.
  2. Обновите конфигурацию сервера: Убедитесь, что ваш веб-сервер настроен на использование нового сертификата. Для Apache это может выглядеть так:
SSLCertificateFile /path/to/your_new_certificate.crt
SSLCertificateKeyFile /path/to/your_private_key.key
SSLCertificateChainFile /path/to/your_chain_file.pem
  1. Перезапустите сервер: После внесения изменений в конфигурацию сервера перезапустите его, чтобы применить новые настройки.

После выполнения этих шагов проверьте, исчезла ли ошибка, используя браузер или инструмент проверки SSL.

Практические рекомендации по выбору безопасных алгоритмов подписи

При выборе алгоритмов подписи для SSL-сертификатов важно учитывать современные стандарты безопасности. Рекомендуется использовать алгоритмы, которые соответствуют требованиям CA/Browser Forum и Web Trust.

Вот некоторые рекомендации:

  • SHA-256: Это наиболее распространенный и безопасный алгоритм для современных сертификатов. Он обеспечивает достаточный уровень защиты и поддерживается всеми современными браузерами.
  • SHA-384: Этот алгоритм используется в более строгих случаях, когда требуется повышенный уровень безопасности. Он обеспечивает большую длину хэша и подходит для организаций с высокими требованиями к безопасности.
  • Избегайте устаревших алгоритмов: Не используйте MD5 и SHA-1, так как они подвержены атакам и не обеспечивают достаточной защиты.

Также стоит проверить, поддерживает ли ваш сервер выбранный алгоритм. Например, для Nginx вам нужно убедиться, что в конфигурации включены необходимые параметры:

ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers 'HIGH:!aNULL:!MD5';

Регулярно обновляйте сертификаты и следите за состоянием безопасности вашей веб-инфраструктуры, чтобы избежать появления ошибок, таких как ERR_CERT_WEAK_SIGNATURE_ALGORITHM.

СертификатСрок, издатель, домены (SAN)
ЦепочкаПроверка промежуточных и корневых CA
TLS-протоколВерсия TLS и набор шифров
УязвимостиHeartbleed, POODLE, слабые шифры

Почему нам доверяют

TLS 1.3
поддержка
Полная
цепочка CA
<2с
результат
30/14/7
дней до истечения

Как это работает

1

Введите домен

2

Проверка цепочки TLS

3

Дата истечения и уязвимости

Что проверяет SSL-тест?

SSL/TLS — протокол шифрования, который защищает данные между браузером и сервером. Наш инструмент анализирует сертификат, цепочку доверия, версию TLS и известныеуязвимости.

Детали сертификата

Издатель, срок действия, алгоритм подписи, покрываемые домены (SAN) и тип валидации (DV/OV/EV).

Цепочка доверия

Проверка полной цепочки: от конечного сертификата через промежуточные до корневого CA.

Анализ TLS

Версия протокола (TLS 1.2/1.3), набор шифров, поддержка Perfect Forward Secrecy (PFS).

Оповещения об истечении

Создайте монитор — получайте уведомления в Telegram и email за 30/14/7 дней до истечения.

DV vs OV vs EV сертификаты

DV (Domain Validation)
  • Подтверждение только владения доменом
  • Выдаётся за минуты автоматически
  • Бесплатно через Let's Encrypt
  • Подходит для большинства сайтов
  • Самый распространённый тип
OV / EV
  • Проверка организации (OV) или расширенная проверка (EV)
  • Выдаётся за 1-5 рабочих дней
  • Стоимость от $50 до $500/год
  • Для финансов, e-commerce, госсайтов
  • Повышает доверие пользователей

Кому это нужно

DevOps

мониторинг SSL-сертификатов

Безопасность

аудит TLS-конфигурации

SEO

HTTPS как фактор ранжирования

E-commerce

доверие покупателей

Частые ошибки

Истёкший сертификатБраузеры блокируют сайт с истёкшим SSL. Настройте автопродление или мониторинг.
Неполная цепочка сертификатовБез промежуточного CA некоторые браузеры и боты не смогут верифицировать сертификат.
Mixed content на HTTPS-сайтеHTTP-ресурсы на HTTPS-странице — замок в браузере пропадает, снижается доверие.
Использование TLS 1.0/1.1Устаревшие версии TLS содержат известные уязвимости. Используйте TLS 1.2+ или 1.3.
Несовпадение домена в сертификатеСертификат должен покрывать все домены сайта, включая www и поддомены.

Лучшие практики

Настройте автопродлениеLet's Encrypt + certbot с cron — сертификат обновляется автоматически каждые 60-90 дней.
Включите HSTSЗаголовок Strict-Transport-Security заставляет браузер всегда использовать HTTPS.
Используйте TLS 1.3TLS 1.3 быстрее (1-RTT handshake) и безопаснее — убраны устаревшие шифры.
Мониторьте срок действияСоздайте монитор на Enterno.io — получайте уведомления задолго до истечения.
Проверяйте цепочку после обновленияПосле обновления сертификата убедитесь, что промежуточные сертификаты установлены.

Получите больше с бесплатным аккаунтом

Мониторинг SSL-сертификатов, история проверок и уведомления за 30 дней до истечения.

Зарегистрироваться (FREE)

Больше по теме

Источники

Часто задаваемые вопросы

Безопасно ли игнорировать ERR_CERT_WEAK_SIGNATURE_ALGORITHM?

Нет. Эта ошибка означает реальную проблему с SSL-сертификатом. Игнорирование (через chrome://flags или "thisisunsafe") делает соединение уязвимым к man-in-the-middle. Исправляйте на стороне сервера.

Как проверить наличие этой ошибки заранее?

Используйте <a href="/ssl">SSL/TLS-чекер Enterno.io</a> или <a href="/monitors">настройте мониторинг</a> с алертом за 14 дней до истечения сертификата. Получите email/Telegram-уведомление до того, как пользователи увидят ошибку.

Помогает ли очистка cookies / cache?

Иногда — для промежуточных кэшированных ошибок SSL. Шаги: chrome://net-internals/#sockets → Flush sockets, chrome://net-internals/#hsts → Delete domain security policies (осторожно, только для debug). Но если проблема на сервере — очистка cache не поможет.

Let's Encrypt бесплатный — и сертификат валидный?

Да, Let's Encrypt сертификаты во всех современных trust stores (Chrome, Firefox, Safari, Edge). 90-дневный срок действия с автопродлением через certbot. Нет причин использовать платный CA для стандартного сайта.

Запустить инструмент, который описан в этой статье

Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.