HSTS Error — сайт в HSTS-preload списке, но сейчас имеет сломанный SSL. Chrome не позволяет обойти предупреждение (security feature). Решение для владельца: исправить SSL-сертификат. Для тестирования: chrome://net-internals/#hsts → "Delete domain security policies".
Эта ошибка часто встречается в дебаггинге SSL. Разбираем причины и даём пошаговое решение.
Бесплатный онлайн-инструмент — SSL-чекер: результат мгновенно, без регистрации.
HSTS Error — сайт в HSTS-preload списке, но сейчас имеет сломанный SSL. Chrome не позволяет обойти предупреждение (security feature). Решение для владельца: исправить SSL-сертификат. Для тестирования: chrome://net-internals/#hsts → "Delete domain security policies".
Ошибка может появиться в Chrome, Edge, Opera, Brave (все на Chromium) и частично в Firefox и Safari. Разные браузеры отображают один и тот же код по-разному — но суть одна.
Ошибка HSTS (HTTP Strict Transport Security) возникает, когда браузер не может установить безопасное соединение из-за неправильной конфигурации. Чтобы обойти HSTS Error, необходимо удалить домен из кеша HSTS браузера. Для этого в Chrome используйте команду chrome://net-internals/#hsts для очистки кэша. В Firefox можно воспользоваться командой about:preferences#privacy и удалить сайт из списка исключений.
HTTP Strict Transport Security (HSTS) — это механизм безопасности, который заставляет браузеры всегда использовать защищённое соединение (HTTPS) для доступа к веб-сайтам. Он защищает от атак типа «человек посередине» (MitM), принуждая браузер устанавливать соединение только через HTTPS. Когда сервер отвечает с заголовком Strict-Transport-Security, браузер сохраняет эту информацию в кэше, что предотвращает любые попытки доступа по HTTP. Заголовок может выглядеть так: Strict-Transport-Security: max-age=31536000; includeSubDomains, где max-age указывает время в секундах, в течение которого браузер должен соблюдать это правило.
Если вы столкнулись с HSTS Error, это может быть связано с несколькими причинами:
Для обхода HSTS Error важно понимать, как браузеры обрабатывают HSTS-заголовки. Например, если вы разрабатываете на локальном сервере и хотите протестировать изменения, вы можете удалить домен из кеша HSTS. В Chrome это делается следующим образом:
chrome://net-internals/#hsts в адресной строке.Для Firefox процесс немного отличается:
about:preferences#privacy.После выполнения этих действий попробуйте снова получить доступ к вашему сайту. Если проблема сохраняется, проверьте настройки вашего SSL-сертификата и убедитесь, что он корректно установлен и действителен. Вы можете использовать команду openssl s_client -connect yourdomain.com:443 для проверки соединения и получения информации о сертификате.
Чтобы обойти HSTS Error, необходимо удалить домен из HSTS списка браузера. Для этого в Google Chrome можно воспользоваться командой chrome://net-internals/#hsts. Введите доменное имя в разделе Delete domain security policies и нажмите Delete. Это позволит вам временно игнорировать настройки HSTS и получить доступ к сайту без HTTPS.
HTTP Strict Transport Security (HSTS) — это веб-протокол, который заставляет браузеры устанавливать соединение с сайтом только через HTTPS. Это помогает предотвратить атаки типа «человек посередине» (MITM), однако может привести к проблемам доступа, если сертификаты SSL недействительны или сайт неправильно сконфигурирован.
HSTS работает с использованием HTTP-заголовка Strict-Transport-Security, который сервер отправляет браузеру. Этот заголовок сообщает браузеру, что данный сайт доступен только по протоколу HTTPS и устанавливает срок действия этого правила. Например, заголовок может выглядеть так:
Strict-Transport-Security: max-age=31536000; includeSubDomainsЭто означает, что браузер будет использовать HTTPS для данного домена и всех его поддоменов в течение одного года (31536000 секунд).
Если вы столкнулись с HSTS Error, это может произойти по нескольким причинам:
Чтобы обойти HSTS Error, вы можете временно удалить домен из списка HSTS, как описано выше, или использовать режим инкогнито, который может игнорировать некоторые кэшированные данные. Однако стоит помнить, что эти действия не решают основную проблему с конфигурацией сервера.
Пример настройки HSTS на сервере Apache:
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"Этот код добавляется в конфигурацию вашего виртуального хоста. После его добавления убедитесь, что HTTPS работает корректно и SSL-сертификаты действительны. В противном случае пользователи будут сталкиваться с HSTS Error, не имея возможности получить доступ к сайту.
SSL/TLS — протокол шифрования, который защищает данные между браузером и сервером. Наш инструмент анализирует сертификат, цепочку доверия, версию TLS и известныеуязвимости.
Издатель, срок действия, алгоритм подписи, покрываемые домены (SAN) и тип валидации (DV/OV/EV).
Проверка полной цепочки: от конечного сертификата через промежуточные до корневого CA.
Версия протокола (TLS 1.2/1.3), набор шифров, поддержка Perfect Forward Secrecy (PFS).
Создайте монитор — получайте уведомления в Telegram и email за 30/14/7 дней до истечения.
мониторинг SSL-сертификатов
аудит TLS-конфигурации
HTTPS как фактор ранжирования
доверие покупателей
www и поддомены.Strict-Transport-Security заставляет браузер всегда использовать HTTPS.Мониторинг SSL-сертификатов, история проверок и уведомления за 30 дней до истечения.
Зарегистрироваться (FREE)Нет. Эта ошибка означает реальную проблему с SSL-сертификатом. Игнорирование (через chrome://flags или "thisisunsafe") делает соединение уязвимым к man-in-the-middle. Исправляйте на стороне сервера.
Используйте <a href="/ssl">SSL/TLS-чекер Enterno.io</a> или <a href="/monitors">настройте мониторинг</a> с алертом за 14 дней до истечения сертификата. Получите email/Telegram-уведомление до того, как пользователи увидят ошибку.
Иногда — для промежуточных кэшированных ошибок SSL. Шаги: chrome://net-internals/#sockets → Flush sockets, chrome://net-internals/#hsts → Delete domain security policies (осторожно, только для debug). Но если проблема на сервере — очистка cache не поможет.
Да, Let's Encrypt сертификаты во всех современных trust stores (Chrome, Firefox, Safari, Edge). 90-дневный срок действия с автопродлением через certbot. Нет причин использовать платный CA для стандартного сайта.
Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.