Skip to content
EN

HSTS Error: браузер заблокировал доступ по HSTS-политике

Коротко:

HSTS Error — сайт в HSTS-preload списке, но сейчас имеет сломанный SSL. Chrome не позволяет обойти предупреждение (security feature). Решение для владельца: исправить SSL-сертификат. Для тестирования: chrome://net-internals/#hsts → "Delete domain security policies".

Эта ошибка часто встречается в дебаггинге SSL. Разбираем причины и даём пошаговое решение.

Проверить SSL своего сайта →

Что означает HSTS Error

HSTS Error — сайт в HSTS-preload списке, но сейчас имеет сломанный SSL. Chrome не позволяет обойти предупреждение (security feature). Решение для владельца: исправить SSL-сертификат. Для тестирования: chrome://net-internals/#hsts → "Delete domain security policies".

Ошибка может появиться в Chrome, Edge, Opera, Brave (все на Chromium) и частично в Firefox и Safari. Разные браузеры отображают один и тот же код по-разному — но суть одна.

Как исправить (пошагово)

  1. Проверьте SSL-сертификат онлайнчекер Enterno.io покажет грейд, срок действия, цепочку и конкретную причину.
  2. Если проблема на стороне сервера — перевыпустите сертификат через certbot или выбранного CA.
  3. Обновите nginx/apache конфигурацию (настройте TLS 1.2/1.3, fullchain, правильные ciphers).
  4. Проверьте kernel OpenSSL — устаревший openssl < 1.1 может ломать handshake.
  5. После деплоя: проверьте ещё раз через SSL-чекер + очистите browser SSL-cache.

Проверить SSL сейчас →

Смежные SSL-ошибки

TL;DR: Как обойти HSTS Error

Ошибка HSTS (HTTP Strict Transport Security) возникает, когда браузер не может установить безопасное соединение из-за неправильной конфигурации. Чтобы обойти HSTS Error, необходимо удалить домен из кеша HSTS браузера. Для этого в Chrome используйте команду chrome://net-internals/#hsts для очистки кэша. В Firefox можно воспользоваться командой about:preferences#privacy и удалить сайт из списка исключений.

Что такое HSTS и как он работает

HTTP Strict Transport Security (HSTS) — это механизм безопасности, который заставляет браузеры всегда использовать защищённое соединение (HTTPS) для доступа к веб-сайтам. Он защищает от атак типа «человек посередине» (MitM), принуждая браузер устанавливать соединение только через HTTPS. Когда сервер отвечает с заголовком Strict-Transport-Security, браузер сохраняет эту информацию в кэше, что предотвращает любые попытки доступа по HTTP. Заголовок может выглядеть так: Strict-Transport-Security: max-age=31536000; includeSubDomains, где max-age указывает время в секундах, в течение которого браузер должен соблюдать это правило.

Если вы столкнулись с HSTS Error, это может быть связано с несколькими причинами:

  • Неправильная конфигурация сервера.
  • Отсутствие действительного SSL-сертификата.
  • Проблемы с сетью или прокси-серверами.

Практическое руководство по обходу HSTS Error

Для обхода HSTS Error важно понимать, как браузеры обрабатывают HSTS-заголовки. Например, если вы разрабатываете на локальном сервере и хотите протестировать изменения, вы можете удалить домен из кеша HSTS. В Chrome это делается следующим образом:

  1. Откройте браузер и введите chrome://net-internals/#hsts в адресной строке.
  2. В разделе Delete domain security policies введите ваш домен и нажмите кнопку Delete.

Для Firefox процесс немного отличается:

  1. Перейдите в about:preferences#privacy.
  2. В разделе Cookies and Site Data нажмите Manage Exceptions.
  3. Найдите ваш домен и удалите его из списка.

После выполнения этих действий попробуйте снова получить доступ к вашему сайту. Если проблема сохраняется, проверьте настройки вашего SSL-сертификата и убедитесь, что он корректно установлен и действителен. Вы можете использовать команду openssl s_client -connect yourdomain.com:443 для проверки соединения и получения информации о сертификате.

Как обойти HSTS Error: краткий ответ

Чтобы обойти HSTS Error, необходимо удалить домен из HSTS списка браузера. Для этого в Google Chrome можно воспользоваться командой chrome://net-internals/#hsts. Введите доменное имя в разделе Delete domain security policies и нажмите Delete. Это позволит вам временно игнорировать настройки HSTS и получить доступ к сайту без HTTPS.

Понимание HSTS и его воздействие на доступность сайта

HTTP Strict Transport Security (HSTS) — это веб-протокол, который заставляет браузеры устанавливать соединение с сайтом только через HTTPS. Это помогает предотвратить атаки типа «человек посередине» (MITM), однако может привести к проблемам доступа, если сертификаты SSL недействительны или сайт неправильно сконфигурирован.

HSTS работает с использованием HTTP-заголовка Strict-Transport-Security, который сервер отправляет браузеру. Этот заголовок сообщает браузеру, что данный сайт доступен только по протоколу HTTPS и устанавливает срок действия этого правила. Например, заголовок может выглядеть так:

Strict-Transport-Security: max-age=31536000; includeSubDomains

Это означает, что браузер будет использовать HTTPS для данного домена и всех его поддоменов в течение одного года (31536000 секунд).

Если вы столкнулись с HSTS Error, это может произойти по нескольким причинам:

  • Неправильная конфигурация HTTPS на сервере;
  • Истекший или недействительный SSL-сертификат;
  • Изменения в DNS или IP-адресе;
  • Неправильные настройки на стороне клиента.

Чтобы обойти HSTS Error, вы можете временно удалить домен из списка HSTS, как описано выше, или использовать режим инкогнито, который может игнорировать некоторые кэшированные данные. Однако стоит помнить, что эти действия не решают основную проблему с конфигурацией сервера.

Пример настройки HSTS на сервере Apache:

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Этот код добавляется в конфигурацию вашего виртуального хоста. После его добавления убедитесь, что HTTPS работает корректно и SSL-сертификаты действительны. В противном случае пользователи будут сталкиваться с HSTS Error, не имея возможности получить доступ к сайту.

СертификатСрок, издатель, домены (SAN)
ЦепочкаПроверка промежуточных и корневых CA
TLS-протоколВерсия TLS и набор шифров
УязвимостиHeartbleed, POODLE, слабые шифры

Почему нам доверяют

TLS 1.3
поддержка
Полная
цепочка CA
<2с
результат
30/14/7
дней до истечения

Как это работает

1

Введите домен

2

Проверка цепочки TLS

3

Дата истечения и уязвимости

Что проверяет SSL-тест?

SSL/TLS — протокол шифрования, который защищает данные между браузером и сервером. Наш инструмент анализирует сертификат, цепочку доверия, версию TLS и известныеуязвимости.

Детали сертификата

Издатель, срок действия, алгоритм подписи, покрываемые домены (SAN) и тип валидации (DV/OV/EV).

Цепочка доверия

Проверка полной цепочки: от конечного сертификата через промежуточные до корневого CA.

Анализ TLS

Версия протокола (TLS 1.2/1.3), набор шифров, поддержка Perfect Forward Secrecy (PFS).

Оповещения об истечении

Создайте монитор — получайте уведомления в Telegram и email за 30/14/7 дней до истечения.

DV vs OV vs EV сертификаты

DV (Domain Validation)
  • Подтверждение только владения доменом
  • Выдаётся за минуты автоматически
  • Бесплатно через Let's Encrypt
  • Подходит для большинства сайтов
  • Самый распространённый тип
OV / EV
  • Проверка организации (OV) или расширенная проверка (EV)
  • Выдаётся за 1-5 рабочих дней
  • Стоимость от $50 до $500/год
  • Для финансов, e-commerce, госсайтов
  • Повышает доверие пользователей

Кому это нужно

DevOps

мониторинг SSL-сертификатов

Безопасность

аудит TLS-конфигурации

SEO

HTTPS как фактор ранжирования

E-commerce

доверие покупателей

Частые ошибки

Истёкший сертификатБраузеры блокируют сайт с истёкшим SSL. Настройте автопродление или мониторинг.
Неполная цепочка сертификатовБез промежуточного CA некоторые браузеры и боты не смогут верифицировать сертификат.
Mixed content на HTTPS-сайтеHTTP-ресурсы на HTTPS-странице — замок в браузере пропадает, снижается доверие.
Использование TLS 1.0/1.1Устаревшие версии TLS содержат известные уязвимости. Используйте TLS 1.2+ или 1.3.
Несовпадение домена в сертификатеСертификат должен покрывать все домены сайта, включая www и поддомены.

Лучшие практики

Настройте автопродлениеLet's Encrypt + certbot с cron — сертификат обновляется автоматически каждые 60-90 дней.
Включите HSTSЗаголовок Strict-Transport-Security заставляет браузер всегда использовать HTTPS.
Используйте TLS 1.3TLS 1.3 быстрее (1-RTT handshake) и безопаснее — убраны устаревшие шифры.
Мониторьте срок действияСоздайте монитор на Enterno.io — получайте уведомления задолго до истечения.
Проверяйте цепочку после обновленияПосле обновления сертификата убедитесь, что промежуточные сертификаты установлены.

Получите больше с бесплатным аккаунтом

Мониторинг SSL-сертификатов, история проверок и уведомления за 30 дней до истечения.

Зарегистрироваться (FREE)

Больше по теме

Источники

Часто задаваемые вопросы

Безопасно ли игнорировать HSTS Error?

Нет. Эта ошибка означает реальную проблему с SSL-сертификатом. Игнорирование (через chrome://flags или "thisisunsafe") делает соединение уязвимым к man-in-the-middle. Исправляйте на стороне сервера.

Как проверить наличие этой ошибки заранее?

Используйте <a href="/ssl">SSL/TLS-чекер Enterno.io</a> или <a href="/monitors">настройте мониторинг</a> с алертом за 14 дней до истечения сертификата. Получите email/Telegram-уведомление до того, как пользователи увидят ошибку.

Помогает ли очистка cookies / cache?

Иногда — для промежуточных кэшированных ошибок SSL. Шаги: chrome://net-internals/#sockets → Flush sockets, chrome://net-internals/#hsts → Delete domain security policies (осторожно, только для debug). Но если проблема на сервере — очистка cache не поможет.

Let's Encrypt бесплатный — и сертификат валидный?

Да, Let's Encrypt сертификаты во всех современных trust stores (Chrome, Firefox, Safari, Edge). 90-дневный срок действия с автопродлением через certbot. Нет причин использовать платный CA для стандартного сайта.

Запустить инструмент, который описан в этой статье

Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.