ERR_SSL_KEY_USAGE_INCOMPATIBLE — сертификат не содержит TLS Web Server Authentication (OID 1.3.6.1.5.5.7.3.1) в extKeyUsage. Chrome считает такой cert не предназначенным для HTTPS. Причины: cert выпущен для S/MIME, code signing, client auth. Исправление: запросить у CA сертификат с правильным extKeyUsage или перевыпустить Let's Encrypt.
Эта ошибка блокирует HTTPS-доступ. Ниже: причины, исправление, рабочий конфиг, FAQ.
Бесплатный онлайн-инструмент — SSL-чекер: результат мгновенно, без регистрации.
openssl x509 -in cert.pem -text | grep -A1 "Extended Key Usage"TLS Web Server Authenticationserver {
listen 443 ssl http2;
server_name example.com;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256;
ssl_prefer_server_ciphers off;
ssl_stapling on;
ssl_stapling_verify on;
}Ошибка ERR_SSL_KEY_USAGE_INCOMPATIBLE возникает, когда сертификат SSL не предназначен для аутентификации сервера. Это может произойти, если ключи сертификата не соответствуют требованиям, установленным в KeyUsage и ExtendedKeyUsage полях сертификата. Для правильной работы сертификат должен включать serverAuth в ExtendedKeyUsage.
Ошибка ERR_SSL_KEY_USAGE_INCOMPATIBLE может возникнуть по нескольким причинам:
Для исправления ошибки необходимо:
openssl x509 -in your_cert.crt -text -noout, убедившись, что в Extended Key Usage присутствует serverAuth.Для исправления ошибки ERR_SSL_KEY_USAGE_INCOMPATIBLE вы можете использовать следующую последовательность действий:
openssl.cnf, с содержимым:[ req ]
default_bits = 2048
prompt = no
distinguished_name = req_distinguished_name
req_extensions = v3_req
[ req_distinguished_name ]
C = RU
ST = Moscow
L = Moscow
O = Your Company
OU = Your Department
CN = yourdomain.com
[v3_req]
keyUsage = digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
openssl req -new -x509 -days 365 -keyout your_private.key -out your_cert.crt -config openssl.cnfsudo systemctl restart nginxПосле выполнения этих шагов ошибка ERR_SSL_KEY_USAGE_INCOMPATIBLE должна быть устранена, и ваш сайт будет доступен по HTTPS.
SSL/TLS — протокол шифрования, который защищает данные между браузером и сервером. Наш инструмент анализирует сертификат, цепочку доверия, версию TLS и известныеуязвимости.
Издатель, срок действия, алгоритм подписи, покрываемые домены (SAN) и тип валидации (DV/OV/EV).
Проверка полной цепочки: от конечного сертификата через промежуточные до корневого CA.
Версия протокола (TLS 1.2/1.3), набор шифров, поддержка Perfect Forward Secrecy (PFS).
Создайте монитор — получайте уведомления в Telegram и email за 30/14/7 дней до истечения.
мониторинг SSL-сертификатов
аудит TLS-конфигурации
HTTPS как фактор ранжирования
доверие покупателей
www и поддомены.Strict-Transport-Security заставляет браузер всегда использовать HTTPS.Мониторинг SSL-сертификатов, история проверок и уведомления за 30 дней до истечения.
Зарегистрироваться (FREE)Extended Key Usage — X.509 extension, описывающий для каких целей cert предназначен: serverAuth, clientAuth, codeSigning, emailProtection. Browser проверяет наличие serverAuth для HTTPS.
Старые браузеры не проверяли extKeyUsage строго. Chrome 82+ требует serverAuth явно. Cert, работавший 5 лет назад, теперь блокируется.
Нет — cert подписан CA. Изменение структуры инвалидирует подпись. Только перевыпуск.
Да. Все ACME-cert выпускаются с <code>serverAuth,clientAuth</code> в extKeyUsage. Универсальный формат.
Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.