Skip to content
Тарифы EN Войти
EN

ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED: решение

Автор: · Обновлено
Коротко:

ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED появляется в mTLS (mutual TLS) когда сервер запрашивает клиентский сертификат, но клиент не смог подписать challenge. Причины: смарт-карта/eToken заблокирован, приватный ключ повреждён, Chrome не нашёл cert в хранилище, expired cert. Исправление: проверить сертификат в ОС, разблокировать смарт-карту, переустановить cert.

Эта ошибка блокирует HTTPS-доступ. Ниже: причины, исправление, рабочий конфиг, FAQ.

Попробовать бесплатно →

Причины ошибки

  • Смарт-карта / eToken заблокированы после неверного PIN
  • Приватный ключ повреждён или удалён
  • Chrome не видит клиентский сертификат в хранилище ОС
  • Клиентский cert истёк
  • Сервер требует cert от определённого CA, ваш — от другого
  • CryptoPro/JaCarta драйверы устарели (RU случай)

Пошаговое исправление

  1. Проверьте cert в ОС: Windows — certmgr.msc, macOS — Keychain, Linux — ~/.pki/nssdb
  2. Смарт-карта: извлеките и вставьте заново, введите PIN внимательно
  3. Переустановите сертификат из pfx/p12: File → Install Certificate
  4. Обновите драйверы смарт-карты (CryptoPro, JaCarta, Rutoken)
  5. Для теста: в Chrome зайдите в chrome://settings/certificates — увидите установленные
  6. Мониторьте client-cert сервисы через Enterno Monitor

Проверить SSL-сертификат →

Пример: правильная настройка TLS в nginx

server {
    listen 443 ssl http2;
    server_name example.com;

    ssl_certificate     /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;

    ssl_protocols       TLSv1.2 TLSv1.3;
    ssl_ciphers         ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256;
    ssl_prefer_server_ciphers off;

    ssl_stapling        on;
    ssl_stapling_verify on;
}

Смежные SSL-ошибки

Смежные материалы

СертификатСрок, издатель, домены (SAN)
ЦепочкаПроверка промежуточных и корневых CA
TLS-протоколВерсия TLS и набор шифров
УязвимостиHeartbleed, POODLE, слабые шифры

Почему нам доверяют

TLS 1.3
поддержка
Полная
цепочка CA
<2с
результат
30/14/7
дней до истечения

Как это работает

1

Введите домен

2

Проверка цепочки TLS

3

Дата истечения и уязвимости

Что проверяет SSL-тест?

SSL/TLS — протокол шифрования, который защищает данные между браузером и сервером. Наш инструмент анализирует сертификат, цепочку доверия, версию TLS и известныеуязвимости.

Детали сертификата

Издатель, срок действия, алгоритм подписи, покрываемые домены (SAN) и тип валидации (DV/OV/EV).

Цепочка доверия

Проверка полной цепочки: от конечного сертификата через промежуточные до корневого CA.

Анализ TLS

Версия протокола (TLS 1.2/1.3), набор шифров, поддержка Perfect Forward Secrecy (PFS).

Оповещения об истечении

Создайте монитор — получайте уведомления в Telegram и email за 30/14/7 дней до истечения.

DV vs OV vs EV сертификаты

DV (Domain Validation)
  • Подтверждение только владения доменом
  • Выдаётся за минуты автоматически
  • Бесплатно через Let's Encrypt
  • Подходит для большинства сайтов
  • Самый распространённый тип
OV / EV
  • Проверка организации (OV) или расширенная проверка (EV)
  • Выдаётся за 1-5 рабочих дней
  • Стоимость от $50 до $500/год
  • Для финансов, e-commerce, госсайтов
  • Повышает доверие пользователей

Кому это нужно

DevOps

мониторинг SSL-сертификатов

Безопасность

аудит TLS-конфигурации

SEO

HTTPS как фактор ранжирования

E-commerce

доверие покупателей

Частые ошибки

Истёкший сертификатБраузеры блокируют сайт с истёкшим SSL. Настройте автопродление или мониторинг.
Неполная цепочка сертификатовБез промежуточного CA некоторые браузеры и боты не смогут верифицировать сертификат.
Mixed content на HTTPS-сайтеHTTP-ресурсы на HTTPS-странице — замок в браузере пропадает, снижается доверие.
Использование TLS 1.0/1.1Устаревшие версии TLS содержат известные уязвимости. Используйте TLS 1.2+ или 1.3.
Несовпадение домена в сертификатеСертификат должен покрывать все домены сайта, включая www и поддомены.

Лучшие практики

Настройте автопродлениеLet's Encrypt + certbot с cron — сертификат обновляется автоматически каждые 60-90 дней.
Включите HSTSЗаголовок Strict-Transport-Security заставляет браузер всегда использовать HTTPS.
Используйте TLS 1.3TLS 1.3 быстрее (1-RTT handshake) и безопаснее — убраны устаревшие шифры.
Мониторьте срок действияСоздайте монитор на Enterno.io — получайте уведомления задолго до истечения.
Проверяйте цепочку после обновленияПосле обновления сертификата убедитесь, что промежуточные сертификаты установлены.

Получите больше с бесплатным аккаунтом

Мониторинг SSL-сертификатов, история проверок и уведомления за 30 дней до истечения.

Зарегистрироваться (FREE)

Связанные инструменты

DNS LookupБезопасностьPageSpeedMixed Content

Больше по теме

Гайды

Глоссарий

Исследования

Ошибки

Альтернативы

Часто задаваемые вопросы

Что такое mTLS?

Mutual TLS — двусторонняя аутентификация. Сервер проверяет клиентский сертификат перед выдачей ответа. Используется в банкинге, enterprise API, госуслугах.

Почему Chrome не запросил выбор сертификата?

Если подходящий cert один — Chrome использует автоматически. Если несколько или ни одного — появится dialog. Поведение настраивается в chrome://policy.

Ошибка только в Chrome, в Firefox работает — почему?

Firefox имеет собственное cert store (NSS), независимое от ОС. Chrome использует системное. Разные хранилища = разные доступы.

Как импортировать p12 в Chrome?

chrome://settings/certificates → Your certificates → Import. Введите пароль p12. Cert появится в списке и станет доступным для mTLS.

Начните мониторинг бесплатно

Зарегистрируйтесь и получите доступ к API, мониторингу и уведомлениям

Создать аккаунт Документация API