Skip to content
EN

ERR_TLS_CERT_VALIDATION_TIMED_OUT

Коротко:

ERR_TLS_CERT_VALIDATION_TIMED_OUT — Chrome не смог проверить revocation status cert через OCSP/CRL в разумное время. Обычно происходит когда CA OCSP responder down или slow. Fix: включить OCSP Stapling на сервере (server сам fetches OCSP ответ и staples в handshake), чтобы клиенты не делали lookup.

Ниже: причины, исправление, FAQ.

Проверить SSL своего сайта →

Причины ошибки

  • CA OCSP responder down или timeout
  • Corporate firewall блокирует outgoing OCSP queries
  • Client на slow network (< 100ms до CA в RU из EU)
  • Must-Staple cert без OCSP Stapling на сервере
  • Firewall на server side блокирует outgoing OCSP fetches

Пошаговое исправление

  1. Включите OCSP Stapling: гайд настройки
  2. В nginx: ssl_stapling on; ssl_stapling_verify on;
  3. Set resolver: resolver 1.1.1.1 valid=60s;
  4. Firewall: разрешите outgoing к OCSP hosts (Let's Encrypt: ocsp.int-x3.letsencrypt.org)
  5. Проверка: Enterno SSL → OCSP Stapling: Active

Проверить SSL-сертификат →

Смежные SSL-ошибки

TL;DR: Что такое ERR_TLS_CERT_VALIDATION_TIMED_OUT?

Ошибка ERR_TLS_CERT_VALIDATION_TIMED_OUT возникает, когда клиент не может завершить проверку сертификата TLS, так как запрос на проверку статуса сертификата через OCSP (Online Certificate Status Protocol) превышает допустимое время ожидания. Это может быть связано с проблемами сети, недоступностью OCSP-сервера или неправильной конфигурацией сертификата. Рекомендуется проверить настройки сервера и доступность OCSP-сервера.

Причины возникновения ошибки ERR_TLS_CERT_VALIDATION_TIMED_OUT

Ошибка ERR_TLS_CERT_VALIDATION_TIMED_OUT может возникать по нескольким причинам:

  • Недоступность OCSP-сервера: Если сервер, отвечающий за проверку статуса сертификата, не доступен, клиент не сможет получить необходимую информацию.
  • Сетевые проблемы: Проблемы с сетью, такие как высокая задержка или потеря пакетов, могут привести к превышению времени ожидания.
  • Неправильная конфигурация: Если сертификат неправильно настроен или истек, это может вызвать проблемы с его проверкой.
  • Блокировка firewall: Некоторые брандмауэры могут блокировать запросы к OCSP-серверам.

Для решения проблемы необходимо провести диагностику и определить источник ошибки.

Как исправить ошибку ERR_TLS_CERT_VALIDATION_TIMED_OUT

Для устранения ошибки ERR_TLS_CERT_VALIDATION_TIMED_OUT выполните следующие шаги:

  1. Проверьте доступность OCSP-сервера: Используйте команду ping или curl, чтобы убедиться, что OCSP-сервер доступен. Например:
curl -I http://ocsp.example.com
  1. Проверьте настройки сертификата: Убедитесь, что сертификат правильно установлен и не истек. Используйте команду:
openssl x509 -in your_certificate.crt -text -noout
  1. Измените настройки таймаута: Если проблема связана с сетевыми задержками, вы можете увеличить время ожидания для OCSP-запросов. В зависимости от вашего веб-сервера это можно сделать в конфигурации. Например, для Apache добавьте следующее в конфигурационный файл:
SSLUseStapling On
SSLStaplingCache "shmcb:/var/run/ocsp-stapling-cache(128000)"
SSLStaplingResponder http://ocsp.example.com
SSLStaplingErrorCache "shmcb:/var/run/ocsp-error-cache(128000)"
  1. Проверьте настройки брандмауэра: Убедитесь, что ваш брандмауэр не блокирует запросы к OCSP-серверу.

После выполнения этих шагов протестируйте соединение снова, чтобы убедиться, что ошибка устранена.

TL;DR: Что такое ERR_TLS_CERT_VALIDATION_TIMED_OUT?

Ошибка ERR_TLS_CERT_VALIDATION_TIMED_OUT возникает, когда клиент не может установить соединение с сервером из-за истечения времени ожидания проверки сертификата TLS. Это может произойти по нескольким причинам, включая недоступность OCSP-ресурсов, проблемы с сетевым подключением или неправильные настройки сервера. Для диагностики проблемы можно использовать команду openssl s_client -connect example.com:443 -status, чтобы проверить состояние сертификата и OCSP.

Проблемы с OCSP: как они влияют на ERR_TLS_CERT_VALIDATION_TIMED_OUT

OCSP (Online Certificate Status Protocol) — это протокол, который позволяет клиентам проверять статус сертификатов в реальном времени. Когда клиент пытается установить TLS-соединение, он отправляет запрос к OCSP-серверу, чтобы убедиться, что сертификат действителен. Если OCSP-сервер недоступен или не отвечает вовремя, клиент может столкнуться с ошибкой ERR_TLS_CERT_VALIDATION_TIMED_OUT.

Основные причины, по которым может возникнуть данная ошибка, включают:

  • Недоступность OCSP-сервера: Это может быть вызвано временными сбоями в работе сервера или его конфигурацией. Проверьте, доступен ли OCSP-сервер, выполнив команду ping ocsp.example.com.
  • Проблемы с сетевым подключением: Если у клиента или сервера есть проблемы с сетью, это может привести к истечению времени ожидания. Используйте команду traceroute example.com для диагностики возможных проблем с маршрутизацией.
  • Настройки сервера: Неправильные настройки на веб-сервере или в конфигурации SSL могут также вызвать задержки. Проверьте конфигурацию сервера, используя apachectl -S для Apache или nginx -T для Nginx.

Чтобы предотвратить возникновение этой ошибки, важно:

  1. Убедиться, что OCSP-сервер доступен и правильно настроен.
  2. Настроить таймауты для OCSP-запросов, чтобы избежать слишком долгих ожиданий.
  3. Использовать кэширование статуса сертификатов, чтобы снизить количество запросов к OCSP-серверу.

Пример настройки кэширования в Nginx:

ssl_stapling on;

ssl_stapling_verify on;

resolver 8.8.8.8;

Такое кэширование поможет снизить нагрузку на OCSP-сервер и уменьшить вероятность возникновения ошибок.

СертификатСрок, издатель, домены (SAN)
ЦепочкаПроверка промежуточных и корневых CA
TLS-протоколВерсия TLS и набор шифров
УязвимостиHeartbleed, POODLE, слабые шифры

Почему нам доверяют

TLS 1.3
поддержка
Полная
цепочка CA
<2с
результат
30/14/7
дней до истечения

Как это работает

1

Введите домен

2

Проверка цепочки TLS

3

Дата истечения и уязвимости

Что проверяет SSL-тест?

SSL/TLS — протокол шифрования, который защищает данные между браузером и сервером. Наш инструмент анализирует сертификат, цепочку доверия, версию TLS и известныеуязвимости.

Детали сертификата

Издатель, срок действия, алгоритм подписи, покрываемые домены (SAN) и тип валидации (DV/OV/EV).

Цепочка доверия

Проверка полной цепочки: от конечного сертификата через промежуточные до корневого CA.

Анализ TLS

Версия протокола (TLS 1.2/1.3), набор шифров, поддержка Perfect Forward Secrecy (PFS).

Оповещения об истечении

Создайте монитор — получайте уведомления в Telegram и email за 30/14/7 дней до истечения.

DV vs OV vs EV сертификаты

DV (Domain Validation)
  • Подтверждение только владения доменом
  • Выдаётся за минуты автоматически
  • Бесплатно через Let's Encrypt
  • Подходит для большинства сайтов
  • Самый распространённый тип
OV / EV
  • Проверка организации (OV) или расширенная проверка (EV)
  • Выдаётся за 1-5 рабочих дней
  • Стоимость от $50 до $500/год
  • Для финансов, e-commerce, госсайтов
  • Повышает доверие пользователей

Кому это нужно

DevOps

мониторинг SSL-сертификатов

Безопасность

аудит TLS-конфигурации

SEO

HTTPS как фактор ранжирования

E-commerce

доверие покупателей

Частые ошибки

Истёкший сертификатБраузеры блокируют сайт с истёкшим SSL. Настройте автопродление или мониторинг.
Неполная цепочка сертификатовБез промежуточного CA некоторые браузеры и боты не смогут верифицировать сертификат.
Mixed content на HTTPS-сайтеHTTP-ресурсы на HTTPS-странице — замок в браузере пропадает, снижается доверие.
Использование TLS 1.0/1.1Устаревшие версии TLS содержат известные уязвимости. Используйте TLS 1.2+ или 1.3.
Несовпадение домена в сертификатеСертификат должен покрывать все домены сайта, включая www и поддомены.

Лучшие практики

Настройте автопродлениеLet's Encrypt + certbot с cron — сертификат обновляется автоматически каждые 60-90 дней.
Включите HSTSЗаголовок Strict-Transport-Security заставляет браузер всегда использовать HTTPS.
Используйте TLS 1.3TLS 1.3 быстрее (1-RTT handshake) и безопаснее — убраны устаревшие шифры.
Мониторьте срок действияСоздайте монитор на Enterno.io — получайте уведомления задолго до истечения.
Проверяйте цепочку после обновленияПосле обновления сертификата убедитесь, что промежуточные сертификаты установлены.

Получите больше с бесплатным аккаунтом

Мониторинг SSL-сертификатов, история проверок и уведомления за 30 дней до истечения.

Зарегистрироваться (FREE)

Больше по теме

Источники

Часто задаваемые вопросы

OCSP vs CRL?

OCSP — запрос status of ONE cert в real-time. CRL — download full list. OCSP faster, CRL простее для offline validation.

OCSP Stapling обязателен?

Для Must-Staple certs — да. Для regular — strongly recommended, часто ускоряет handshake на 100-300ms.

Client caches OCSP?

Да, до 7 дней обычно. Поэтому одиночный timeout не повторяется часто.

Server-side fixes?

<code>ssl_stapling on</code> + valid resolver. nginx самостоятельно fetches OCSP + кэширует.

Запустить инструмент, который описан в этой статье

Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.