NET::ERR_SSL_PINNED_KEY_NOT_IN_CERT_CHAIN — браузер ожидал конкретный публичный ключ (HPKP/Certificate Transparency static pin) в цепочке сертификатов, но его нет. Причина: сайт сменил cert, а старый pin ещё не истёк (max-age). Исправление: очистить HSTS/pinning в Chrome (chrome://net-internals), дождаться истечения pin, или для static pins — обновление Chrome.
Эта ошибка блокирует HTTPS-доступ. Ниже: причины, исправление, рабочий конфиг, FAQ.
Бесплатный онлайн-инструмент — SSL-чекер: результат мгновенно, без регистрации.
chrome://net-internals/#hsts → Delete domain → введите доменchrome://net-internals/#sockets → Flush socketsPublic-Key-Pins: max-age=0;server {
listen 443 ssl http2;
server_name example.com;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256;
ssl_prefer_server_ciphers off;
ssl_stapling on;
ssl_stapling_verify on;
}Ошибка NET::ERR_SSL_PINNED_KEY_NOT_IN_CERT_CHAIN возникает, когда браузер не может установить безопасное соединение с сервером из-за проблем с сертификатом, который не соответствует ожидаемым ключам, заданным в механизме HTTP Public Key Pinning (HPKP). Это может произойти, если сертификат не содержит необходимый ключ или если его цепочка не включает доверенные корневые сертификаты.
Ошибка может возникнуть по нескольким причинам:
Последствия включают невозможность доступа к сайту для пользователей и потенциальные проблемы с безопасностью, так как пиннинг ключей предназначен для защиты от атак типа man-in-the-middle.
Для устранения ошибки NET::ERR_SSL_PINNED_KEY_NOT_IN_CERT_CHAIN необходимо проверить конфигурацию HPKP на сервере. Вот пример настройки для Apache:
Header always set Public-Key-Pins "pin-sha256=<ваш_пин>; pin-sha256=<дополнительный_пин>; max-age=5184000; includeSubDomains"Здесь важно заменить <ваш_пин> и <дополнительный_пин> на актуальные значения вашего сертификата. Чтобы получить пин, используйте команду:
openssl x509 -in ваш_сертификат.crt -noout -pubkey | openssl rsa -pubin -outform DER | openssl dgst -sha256 -binary | openssl base64После внесения изменений, обязательно протестируйте конфигурацию с помощью инструмента SSL Labs для проверки корректности установки HPKP и цепочки сертификатов.
SSL/TLS — протокол шифрования, который защищает данные между браузером и сервером. Наш инструмент анализирует сертификат, цепочку доверия, версию TLS и известныеуязвимости.
Издатель, срок действия, алгоритм подписи, покрываемые домены (SAN) и тип валидации (DV/OV/EV).
Проверка полной цепочки: от конечного сертификата через промежуточные до корневого CA.
Версия протокола (TLS 1.2/1.3), набор шифров, поддержка Perfect Forward Secrecy (PFS).
Создайте монитор — получайте уведомления в Telegram и email за 30/14/7 дней до истечения.
мониторинг SSL-сертификатов
аудит TLS-конфигурации
HTTPS как фактор ранжирования
доверие покупателей
www и поддомены.Strict-Transport-Security заставляет браузер всегда использовать HTTPS.Мониторинг SSL-сертификатов, история проверок и уведомления за 30 дней до истечения.
Зарегистрироваться (FREE)HTTP Public Key Pinning — механизм, привязывающий домен к конкретным публичным ключам. Chrome 72+ удалил поддержку (2018) из-за риска потери доступа к домену при ошибке настройки.
Chrome встроенно хранит pins для ~50 крупных сайтов (Google, Facebook, Twitter). Не отключается через UI. Защищает от MITM-атак на эти домены.
chrome://net-internals/#hsts → Delete domain. Также очистите cookies/cache для домена. Перезапустите Chrome.
Нет. Expect-CT требует сертификат в CT-логах (Certificate Transparency), не pinning. Тоже deprecated с 2022 — CT теперь enforced автоматически.
Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.