ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED появляется в mTLS (mutual TLS) когда сервер запрашивает клиентский сертификат, но клиент не смог подписать challenge. Причины: смарт-карта/eToken заблокирован, приватный ключ повреждён, Chrome не нашёл cert в хранилище, expired cert. Исправление: проверить сертификат в ОС, разблокировать смарт-карту, переустановить cert.
Эта ошибка блокирует HTTPS-доступ. Ниже: причины, исправление, рабочий конфиг, FAQ.
Бесплатный онлайн-инструмент — SSL-чекер: результат мгновенно, без регистрации.
server {
listen 443 ssl http2;
server_name example.com;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256;
ssl_prefer_server_ciphers off;
ssl_stapling on;
ssl_stapling_verify on;
}Ошибка ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED возникает, когда клиентский сертификат не может быть проверен на сервере при установлении соединения mTLS (Mutual TLS). Это может быть вызвано неправильной конфигурацией сертификатов или их недействительностью. Для решения проблемы проверьте, что клиентский сертификат подписан доверенным центром сертификации (CA) и что он правильно установлен на клиентской стороне. Используйте команды openssl s_client -connect example.com:443 -cert client.crt -key client.key для диагностики.
Ошибка ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED может возникать по нескольким причинам, связанным с настройками и конфигурацией клиентского и серверного сертификатов. Рассмотрим более подробно основные причины и шаги по их устранению.
Если клиентский сертификат был подписан центром сертификации, который не доверен серверу, это может привести к ошибке. Убедитесь, что сервер имеет доступ к цепочке сертификатов, включая корневой сертификат CA.
Проверьте, правильно ли настроены параметры mTLS на сервере. Например, в nginx необходимо убедиться, что директивы ssl_client_certificate и ssl_verify_client правильно указаны:
ssl_client_certificate /etc/ssl/certs/ca.crt;ssl_verify_client on;Если сервер не запрашивает клиентский сертификат, это также приведет к ошибке.
Убедитесь, что сертификаты находятся в правильном формате. Часто используются форматы PEM или DER. Для преобразования сертификатов в формат PEM можно использовать команду:
openssl x509 -in certificate.der -out certificate.pem -outform PEMПроверьте, не истек ли срок действия клиентского сертификата. Для этого используйте команду:
openssl x509 -in client.crt -noout -datesЕсли срок действия истек, вам необходимо получить новый сертификат.
Убедитесь, что файлы сертификатов и ключей имеют правильные права доступа. Сервер должен иметь возможность читать эти файлы. Например, для nginx это может быть:
chmod 600 /etc/ssl/private/client.keyИспользуйте openssl для проверки конфигурации SSL/TLS. Например, команда:
openssl s_client -connect example.com:443 -cert client.crt -key client.keyпозволит вам увидеть, какие сертификаты были отправлены и какие ошибки могут возникнуть.
Обратите внимание на логи вашего веб-сервера. Например, в nginx можно включить детализированные логи:
error_log /var/log/nginx/error.log debug;Это поможет вам выявить конкретные причины возникновения ошибки.
Ошибка ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED может быть устранена путем проверки и настройки сертификатов, а также конфигурации серверного окружения. Следуя описанным шагам, вы сможете диагностировать и исправить проблему, обеспечив корректную работу mTLS.
SSL/TLS — протокол шифрования, который защищает данные между браузером и сервером. Наш инструмент анализирует сертификат, цепочку доверия, версию TLS и известныеуязвимости.
Издатель, срок действия, алгоритм подписи, покрываемые домены (SAN) и тип валидации (DV/OV/EV).
Проверка полной цепочки: от конечного сертификата через промежуточные до корневого CA.
Версия протокола (TLS 1.2/1.3), набор шифров, поддержка Perfect Forward Secrecy (PFS).
Создайте монитор — получайте уведомления в Telegram и email за 30/14/7 дней до истечения.
мониторинг SSL-сертификатов
аудит TLS-конфигурации
HTTPS как фактор ранжирования
доверие покупателей
www и поддомены.Strict-Transport-Security заставляет браузер всегда использовать HTTPS.Мониторинг SSL-сертификатов, история проверок и уведомления за 30 дней до истечения.
Зарегистрироваться (FREE)Mutual TLS — двусторонняя аутентификация. Сервер проверяет клиентский сертификат перед выдачей ответа. Используется в банкинге, enterprise API, госуслугах.
Если подходящий cert один — Chrome использует автоматически. Если несколько или ни одного — появится dialog. Поведение настраивается в chrome://policy.
Firefox имеет собственное cert store (NSS), независимое от ОС. Chrome использует системное. Разные хранилища = разные доступы.
chrome://settings/certificates → Your certificates → Import. Введите пароль p12. Cert появится в списке и станет доступным для mTLS.
Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.