ERR_CERT_WEAK_SIGNATURE_ALGORITHM — SSL-сертификат подписан устаревшим алгоритмом (SHA-1, MD5, MD2). Chrome блокирует такие сертификаты с 2017 года. Решение: перевыпустить сертификат с SHA-256 или выше. Все современные CA (Let's Encrypt, DigiCert) выдают SHA-256 по умолчанию.
Эта ошибка часто встречается в дебаггинге SSL. Разбираем причины и даём пошаговое решение.
Бесплатный онлайн-инструмент — SSL-чекер: результат мгновенно, без регистрации.
ERR_CERT_WEAK_SIGNATURE_ALGORITHM — SSL-сертификат подписан устаревшим алгоритмом (SHA-1, MD5, MD2). Chrome блокирует такие сертификаты с 2017 года. Решение: перевыпустить сертификат с SHA-256 или выше. Все современные CA (Let's Encrypt, DigiCert) выдают SHA-256 по умолчанию.
Ошибка может появиться в Chrome, Edge, Opera, Brave (все на Chromium) и частично в Firefox и Safari. Разные браузеры отображают один и тот же код по-разному — но суть одна.
Ошибка ERR_CERT_WEAK_SIGNATURE_ALGORITHM указывает на использование слабого алгоритма подписи сертификата SSL/TLS, что может привести к уязвимостям в безопасности. Эта проблема возникает, когда сервер использует хэш-функции, такие как MD5 или SHA-1, которые больше не соответствуют современным стандартам безопасности. Для устранения этой ошибки необходимо перейти на более надежные алгоритмы, такие как SHA-256 или SHA-384. Обновление сертификата и конфигурации сервера – ключевые шаги для обеспечения безопасного соединения.
Для диагностики ошибки ERR_CERT_WEAK_SIGNATURE_ALGORITHM можно использовать команду openssl x509 -in your_certificate.crt -text -noout, которая покажет информацию о сертификате, включая используемый алгоритм подписи. Если вы видите, что используется SHA-1 или MD5, это сигнал о необходимости обновления сертификата.
Чтобы исправить эту ошибку, выполните следующие шаги:
SSLCertificateFile /path/to/your_new_certificate.crt
SSLCertificateKeyFile /path/to/your_private_key.key
SSLCertificateChainFile /path/to/your_chain_file.pemПосле выполнения этих шагов проверьте, исчезла ли ошибка, используя браузер или инструмент проверки SSL.
При выборе алгоритмов подписи для SSL-сертификатов важно учитывать современные стандарты безопасности. Рекомендуется использовать алгоритмы, которые соответствуют требованиям CA/Browser Forum и Web Trust.
Вот некоторые рекомендации:
Также стоит проверить, поддерживает ли ваш сервер выбранный алгоритм. Например, для Nginx вам нужно убедиться, что в конфигурации включены необходимые параметры:
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers 'HIGH:!aNULL:!MD5';Регулярно обновляйте сертификаты и следите за состоянием безопасности вашей веб-инфраструктуры, чтобы избежать появления ошибок, таких как ERR_CERT_WEAK_SIGNATURE_ALGORITHM.
SSL/TLS — протокол шифрования, который защищает данные между браузером и сервером. Наш инструмент анализирует сертификат, цепочку доверия, версию TLS и известныеуязвимости.
Издатель, срок действия, алгоритм подписи, покрываемые домены (SAN) и тип валидации (DV/OV/EV).
Проверка полной цепочки: от конечного сертификата через промежуточные до корневого CA.
Версия протокола (TLS 1.2/1.3), набор шифров, поддержка Perfect Forward Secrecy (PFS).
Создайте монитор — получайте уведомления в Telegram и email за 30/14/7 дней до истечения.
мониторинг SSL-сертификатов
аудит TLS-конфигурации
HTTPS как фактор ранжирования
доверие покупателей
www и поддомены.Strict-Transport-Security заставляет браузер всегда использовать HTTPS.Мониторинг SSL-сертификатов, история проверок и уведомления за 30 дней до истечения.
Зарегистрироваться (FREE)Нет. Эта ошибка означает реальную проблему с SSL-сертификатом. Игнорирование (через chrome://flags или "thisisunsafe") делает соединение уязвимым к man-in-the-middle. Исправляйте на стороне сервера.
Используйте <a href="/ssl">SSL/TLS-чекер Enterno.io</a> или <a href="/monitors">настройте мониторинг</a> с алертом за 14 дней до истечения сертификата. Получите email/Telegram-уведомление до того, как пользователи увидят ошибку.
Иногда — для промежуточных кэшированных ошибок SSL. Шаги: chrome://net-internals/#sockets → Flush sockets, chrome://net-internals/#hsts → Delete domain security policies (осторожно, только для debug). Но если проблема на сервере — очистка cache не поможет.
Да, Let's Encrypt сертификаты во всех современных trust stores (Chrome, Firefox, Safari, Edge). 90-дневный срок действия с автопродлением через certbot. Нет причин использовать платный CA для стандартного сайта.
Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.