NSURLErrorServerCertificateUntrusted: iOS fix
NSURLErrorServerCertificateUntrusted (код -1202) — Foundation Network layer iOS/macOS отверг сервер SSL cert. Причина: self-signed, expired, untrusted CA, пустой SAN, или cert не удовлетворяет ATS (App Transport Security) requirements. В 2026 iOS требует TLS 1.2+, forward secrecy, SHA-256+ signature. Fix: реальный cert от Let's Encrypt/Sectigo, или для dev — NSAllowsArbitraryLoads (НЕ production).
Ниже: причины, исправление, FAQ.
Причины ошибки
- Self-signed cert в dev-окружении без bundle trust
- App Transport Security (ATS) отвергает TLS 1.0/1.1
- Cert не содержит SAN (Subject Alternative Name) — iOS требует с 2017
- CA не в iOS trust store (старые Symantec root retired)
- Cert chain неполный (нет intermediate)
Пошаговое исправление
- Используйте real cert от mainstream CA (Let's Encrypt, DigiCert, Sectigo)
- Проверьте chain: Enterno SSL Checker
- Для dev: pin cert в app через NSURLSessionDelegate
urlSession:didReceiveChallenge: - Info.plist:
NSAppTransportSecurity > NSExceptionDomainsдля specific domain (осторожно) - TLS config server: TLS 1.2+ + ECDHE + SHA-256
Смежные SSL-ошибки
Почему нам доверяют
Как это работает
Введите домен
Проверка цепочки TLS
Дата истечения и уязвимости
Что проверяет SSL-тест?
SSL/TLS — протокол шифрования, который защищает данные между браузером и сервером. Наш инструмент анализирует сертификат, цепочку доверия, версию TLS и известныеуязвимости.
Детали сертификата
Издатель, срок действия, алгоритм подписи, покрываемые домены (SAN) и тип валидации (DV/OV/EV).
Цепочка доверия
Проверка полной цепочки: от конечного сертификата через промежуточные до корневого CA.
Анализ TLS
Версия протокола (TLS 1.2/1.3), набор шифров, поддержка Perfect Forward Secrecy (PFS).
Оповещения об истечении
Создайте монитор — получайте уведомления в Telegram и email за 30/14/7 дней до истечения.
DV vs OV vs EV сертификаты
- Подтверждение только владения доменом
- Выдаётся за минуты автоматически
- Бесплатно через Let's Encrypt
- Подходит для большинства сайтов
- Самый распространённый тип
- Проверка организации (OV) или расширенная проверка (EV)
- Выдаётся за 1-5 рабочих дней
- Стоимость от $50 до $500/год
- Для финансов, e-commerce, госсайтов
- Повышает доверие пользователей
Кому это нужно
DevOps
мониторинг SSL-сертификатов
Безопасность
аудит TLS-конфигурации
SEO
HTTPS как фактор ранжирования
E-commerce
доверие покупателей
Частые ошибки
www и поддомены.Лучшие практики
Strict-Transport-Security заставляет браузер всегда использовать HTTPS.Получите больше с бесплатным аккаунтом
Мониторинг SSL-сертификатов, история проверок и уведомления за 30 дней до истечения.
Зарегистрироваться (FREE)Больше по теме
Часто задаваемые вопросы
Как добавить self-signed для dev?
Info.plist → NSAppTransportSecurity → NSExceptionDomains → your-dev-domain → NSExceptionAllowsInsecureHTTPLoads=YES. Но только debug builds.
Certificate pinning best practice?
SHA-256 hash certificate или SPKI pin. Rotate вместе с cert, провалидируйте при каждом build.
iOS игнорирует self-signed?
Да, Foundation по default. Нужен custom trust eval через URLSessionDelegate.
ATS требования 2026?
TLS 1.2+, ECDHE forward secrecy, AES-128-GCM+, SHA-256 signature. Cert с SAN (обязательно).