Skip to content
EN

ERR_CERTIFICATE_TRANSPARENCY_REQUIRED: решение

Коротко:

NET::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED — Chrome с октября 2017 требует, чтобы каждый public SSL-сертификат был записан в Certificate Transparency (CT) логи. Cert без SCT (Signed Certificate Timestamp) — отвергается. Причины: выпущен до 2017, commercial CA не подал в CT-лог, corporate proxy подменяет cert. Исправление: перевыпустить через Let's Encrypt/DigiCert (все mainstream CA пишут в CT автоматически).

Ниже: причины, исправление, FAQ.

Проверить SSL своего сайта →

Причины ошибки

  • Cert выпущен commercial CA не-соблюдающим CT policy (редко в 2026)
  • Corporate MITM proxy подменил cert — private root без CT
  • Self-signed cert — нет SCT по определению
  • Cert expired + renewed from cache без CT
  • Chromium flag CT enforcement включён для domain

Пошаговое исправление

  1. Перевыпустите cert через Let's Encrypt (SCT embedded автоматически)
  2. Для commercial CA проверьте, что SCT embedded: openssl x509 -in cert.pem -text | grep -A1 SCT
  3. Если corporate — попросите IT добавить CT-compliant root
  4. Check cert в CT-логе: crt.sh
  5. Temporary workaround (НЕ production): chrome://flags/#chrome-root-store-cert-transparency-policy

Проверить SSL-сертификат →

Смежные SSL-ошибки

Что такое ошибка NET::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED?

Ошибка NET::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED возникает, когда браузер не может подтвердить, что сертификат SSL вашего сайта соответствует стандартам прозрачности сертификатов. Чтобы исправить эту ошибку, убедитесь, что ваш сертификат зарегистрирован в публичных логах прозрачности. Это можно сделать, например, с помощью openssl для проверки сертификата или через панель управления вашего хостинга.

Как проверить сертификат на прозрачность?

Для проверки сертификата на соответствие требованиям прозрачности можно воспользоваться командой openssl s_client -connect yourdomain.com:443 -servername yourdomain.com. Эта команда позволит вам получить информацию о сертификате, включая его цепочку и статус регистрации в логах прозрачности.

Если вы обнаружите, что сертификат не зарегистрирован в логах прозрачности, вам необходимо будет обратиться к вашему провайдеру сертификатов. Например, если вы используете Let's Encrypt, убедитесь, что ваш сертификат был выдан с учетом требований CT (Certificate Transparency).

Также вы можете использовать онлайн-сервисы, такие как crt.sh, для проверки наличия вашего сертификата в логах прозрачности. Введите ваш домен в поисковую строку, и вы получите список всех сертификатов, выданных для него.

Как исправить ошибку NET::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED?

Для исправления ошибки NET::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED выполните следующие шаги:

  1. Проверьте статус сертификата: Используйте команду openssl или онлайн-сервисы для проверки вашего сертификата.
  2. Обновите сертификат: Если ваш сертификат не зарегистрирован в логах прозрачности, обратитесь к вашему CA (Certificate Authority) для получения нового сертификата, который будет соответствовать требованиям CT.
  3. Настройте веб-сервер: Убедитесь, что ваш веб-сервер настроен правильно для работы с новым сертификатом. Например, в конфигурации Apache добавьте следующие строки:
SSLCertificateFile /path/to/your/certificate.crt
SSLCertificateKeyFile /path/to/your/private.key
SSLCertificateChainFile /path/to/your/chainfile.pem

Проверьте конфигурацию: Используйте apachectl configtest для проверки конфигурационных файлов на наличие ошибок.

После выполнения этих шагов перезапустите веб-сервер командой sudo systemctl restart apache2 или аналогичной для вашего сервера. После этого проверьте, исчезла ли ошибка в браузере.

СертификатСрок, издатель, домены (SAN)
ЦепочкаПроверка промежуточных и корневых CA
TLS-протоколВерсия TLS и набор шифров
УязвимостиHeartbleed, POODLE, слабые шифры

Почему нам доверяют

TLS 1.3
поддержка
Полная
цепочка CA
<2с
результат
30/14/7
дней до истечения

Как это работает

1

Введите домен

2

Проверка цепочки TLS

3

Дата истечения и уязвимости

Что проверяет SSL-тест?

SSL/TLS — протокол шифрования, который защищает данные между браузером и сервером. Наш инструмент анализирует сертификат, цепочку доверия, версию TLS и известныеуязвимости.

Детали сертификата

Издатель, срок действия, алгоритм подписи, покрываемые домены (SAN) и тип валидации (DV/OV/EV).

Цепочка доверия

Проверка полной цепочки: от конечного сертификата через промежуточные до корневого CA.

Анализ TLS

Версия протокола (TLS 1.2/1.3), набор шифров, поддержка Perfect Forward Secrecy (PFS).

Оповещения об истечении

Создайте монитор — получайте уведомления в Telegram и email за 30/14/7 дней до истечения.

DV vs OV vs EV сертификаты

DV (Domain Validation)
  • Подтверждение только владения доменом
  • Выдаётся за минуты автоматически
  • Бесплатно через Let's Encrypt
  • Подходит для большинства сайтов
  • Самый распространённый тип
OV / EV
  • Проверка организации (OV) или расширенная проверка (EV)
  • Выдаётся за 1-5 рабочих дней
  • Стоимость от $50 до $500/год
  • Для финансов, e-commerce, госсайтов
  • Повышает доверие пользователей

Кому это нужно

DevOps

мониторинг SSL-сертификатов

Безопасность

аудит TLS-конфигурации

SEO

HTTPS как фактор ранжирования

E-commerce

доверие покупателей

Частые ошибки

Истёкший сертификатБраузеры блокируют сайт с истёкшим SSL. Настройте автопродление или мониторинг.
Неполная цепочка сертификатовБез промежуточного CA некоторые браузеры и боты не смогут верифицировать сертификат.
Mixed content на HTTPS-сайтеHTTP-ресурсы на HTTPS-странице — замок в браузере пропадает, снижается доверие.
Использование TLS 1.0/1.1Устаревшие версии TLS содержат известные уязвимости. Используйте TLS 1.2+ или 1.3.
Несовпадение домена в сертификатеСертификат должен покрывать все домены сайта, включая www и поддомены.

Лучшие практики

Настройте автопродлениеLet's Encrypt + certbot с cron — сертификат обновляется автоматически каждые 60-90 дней.
Включите HSTSЗаголовок Strict-Transport-Security заставляет браузер всегда использовать HTTPS.
Используйте TLS 1.3TLS 1.3 быстрее (1-RTT handshake) и безопаснее — убраны устаревшие шифры.
Мониторьте срок действияСоздайте монитор на Enterno.io — получайте уведомления задолго до истечения.
Проверяйте цепочку после обновленияПосле обновления сертификата убедитесь, что промежуточные сертификаты установлены.

Получите больше с бесплатным аккаунтом

Мониторинг SSL-сертификатов, история проверок и уведомления за 30 дней до истечения.

Зарегистрироваться (FREE)

Больше по теме

Источники

Часто задаваемые вопросы

Что такое SCT?

Signed Certificate Timestamp — cryptographic proof, что cert был записан в публичный CT-лог (Google Argon, Cloudflare Nimbus, etc). Embedded в cert extension, presented в TLS handshake, или stapled через OCSP.

Let's Encrypt включает SCT?

Да, автоматически с 2018. ISRG Root X1 cert имеет SCT в embedded CT extension.

Как проверить наличие SCT?

<a href="/ssl">Enterno SSL Checker</a> показывает CT compliance в SSL-отчёте. Или <code>openssl x509 -in cert.pem -text | grep -A5 "SCT List"</code>.

Influence на compliance?

CT compliance требуется для Chrome, Safari, Edge (Firefox not yet). Браузерная доля ~85% — без SCT теряете большинство пользователей.

Запустить инструмент, который описан в этой статье

Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.