Skip to content
EN

SEC_ERROR_CA_CERT_INVALID

Коротко:

SEC_ERROR_CA_CERT_INVALID — Firefox считает intermediate/root CA cert invalid. Причины: expired CA cert, malformed DER encoding, deprecated CA (Symantec 2018), root отозван NSS. Fix: заменить chain на свежий intermediate, или switch CA. Let's Encrypt ISRG Root X1 2026-valid без проблем.

Ниже: причины, исправление, FAQ.

Проверить SSL своего сайта →

Причины ошибки

  • Intermediate CA истёк (Let's Encrypt X3 → X1 migration проблемы)
  • Root CA removed из NSS store (Symantec, TurkTrust)
  • Cert chain malformed — не DER/PEM стандарт
  • Self-signed root not imported в Firefox trust
  • Private CA с неправильными CA:TRUE BasicConstraints

Пошаговое исправление

  1. Перевыпустите cert — современный intermediate автоматически
  2. Для Let's Encrypt: apache2ctl graceful + renew вручную
  3. Chain validator: Enterno SSL / SSLLabs
  4. nginx: ssl_certificate fullchain.pem; (fullchain, не cert alone)
  5. Private CA: BasicConstraints=CA:TRUE + валидный pathLenConstraint

Проверить SSL-сертификат →

Смежные SSL-ошибки

TL;DR: Как исправить ошибку SEC_ERROR_CA_CERT_INVALID в Firefox

Ошибка SEC_ERROR_CA_CERT_INVALID в Firefox возникает, когда браузер не доверяет сертификату SSL вашего сайта, поскольку он был выдан недействительным центром сертификации. Чтобы исправить эту ошибку, убедитесь, что ваш сертификат действителен, правильно установлен и соответствует доменному имени. Проверьте настройки на сервере и обновите сертификат при необходимости, используя команды openssl для проверки цепочки сертификатов.

Понимание ошибки SEC_ERROR_CA_CERT_INVALID

Ошибка SEC_ERROR_CA_CERT_INVALID возникает, когда браузер Firefox не может подтвердить подлинность сертификата SSL вашего сайта. Это может произойти по нескольким причинам:

  • Недействительный или просроченный сертификат.
  • Сертификат выдан ненадежным центром сертификации.
  • Проблемы с цепочкой сертификатов.
  • Неправильные настройки сервера.

Когда вы сталкиваетесь с этой ошибкой, важно понимать, что это не просто визуальное предупреждение. Это сигнал о том, что данные, передаваемые между браузером и сервером, могут быть уязвимыми для атак.

Практическое руководство по исправлению ошибки

Чтобы устранить ошибку SEC_ERROR_CA_CERT_INVALID, следуйте этим шагам:

  1. Проверьте сертификат: Используйте команду openssl s_client -connect yourdomain.com:443 для проверки действительности сертификата. Убедитесь, что он не просрочен и правильно установлен.
  2. Проверьте цепочку сертификатов: Убедитесь, что все промежуточные сертификаты также установлены. Вы можете использовать openssl verify -CAfile chain.pem yourdomain.com.crt для проверки цепочки.
  3. Обновите сертификат: Если сертификат недействителен, получите новый сертификат от надежного центра сертификации. Используйте инструменты, такие как Let's Encrypt, для получения бесплатного сертификата.
  4. Настройте веб-сервер: Убедитесь, что веб-сервер правильно настроен для использования SSL. Например, в Apache проверьте, что в конфигурации указаны правильные пути к сертификату и ключу:
    SSLCertificateFile /path/to/your/certificate.crt
    SSLCertificateKeyFile /path/to/your/private.key
    SSLCertificateChainFile /path/to/your/chain.pem
  5. Перезапустите сервер: После внесения изменений перезапустите веб-сервер, чтобы применить новые настройки. Используйте команду sudo systemctl restart apache2 для Apache или sudo systemctl restart nginx для Nginx.

После выполнения этих шагов проверьте сайт в Firefox. Если все сделано правильно, ошибка должна исчезнуть, и ваше соединение будет защищено.

Как быстро исправить ошибку SEC_ERROR_CA_CERT_INVALID в Firefox

Ошибка SEC_ERROR_CA_CERT_INVALID в Firefox возникает, когда браузер не может проверить подлинность сертификата сайта из-за проблем с его цепочкой доверия. Чтобы исправить эту ошибку, убедитесь, что ваш браузер обновлен до последней версии, проверьте правильность даты и времени на вашем устройстве, а также удалите кэш и куки. Если проблема сохраняется, попробуйте вручную установить корневой сертификат CA, который выдает сертификат сайта.

Подробное руководство по устранению ошибки SEC_ERROR_CA_CERT_INVALID

Ошибка SEC_ERROR_CA_CERT_INVALID возникает, когда Firefox не может проверить подлинность сертификата SSL, используемого сайтом. Это может быть связано с различными причинами, включая устаревшие или недоверенные корневые сертификаты, неправильные настройки сервера или проблемы с конфигурацией сети. Давайте рассмотрим основные шаги по устранению этой ошибки.

Проверка обновлений Firefox

Первым делом убедитесь, что вы используете последнюю версию браузера Firefox. Для этого перейдите в меню Помощь и выберите О Firefox. Если доступно обновление, браузер автоматически загрузит его. После обновления перезапустите Firefox и проверьте, исчезла ли ошибка.

Проверка даты и времени

Некорректные настройки времени и даты на вашем устройстве могут привести к проблемам с проверкой сертификатов. Убедитесь, что дата и время установлены правильно. Для этого:

  1. На Windows: щелкните правой кнопкой мыши на времени в правом нижнем углу экрана, выберите Изменить дату и время, затем включите автоматическое обновление.
  2. На macOS: откройте Системные настройки, выберите Дата и время и активируйте Установить дату и время автоматически.

Очистка кэша и куки

Иногда проблема может быть связана с устаревшими данными в кэше. Чтобы очистить кэш и куки в Firefox:

  1. Перейдите в меню Настройки.
  2. Выберите Конфиденциальность и безопасность.
  3. В разделе Куки и данные сайтов нажмите Очистить данные.

Проверка сертификата сайта

Если ошибка сохраняется, проверьте сертификат сайта. Для этого выполните следующие шаги:

  1. Нажмите на значок замка в адресной строке.
  2. Выберите Сертификат и просмотрите подробности.

Обратите внимание на выдавшую CA и срок действия сертификата. Убедитесь, что сертификат не истек и был выдан доверенным центром сертификации.

Установка корневого сертификата CA

Если вы работаете с внутренними или самоподписанными сертификатами, вам может потребоваться вручную установить корневой сертификат. Для этого:

  1. Скачайте корневой сертификат с сайта CA.
  2. Откройте Firefox и перейдите в Настройки > Конфиденциальность и безопасность.
  3. В разделе Сертификаты нажмите Просмотреть сертификаты.
  4. Перейдите на вкладку Авторитеты и нажмите Импортировать.
  5. Выберите загруженный сертификат и установите флажок Доверять этому сертификату для идентификации веб-сайтов.

Проверка сетевых настроек

Иногда ошибка может быть связана с настройками прокси-сервера или VPN. Убедитесь, что они отключены или настроены правильно. Для этого:

  1. Перейдите в Настройки > Сеть.
  2. Проверьте настройки прокси и VPN.

Заключение

Следуя этим шагам, вы сможете устранить ошибку SEC_ERROR_CA_CERT_INVALID в Firefox. Если ошибка сохраняется, возможно, стоит обратиться к администратору вашего сайта или в службу поддержки вашего интернет-провайдера.

СертификатСрок, издатель, домены (SAN)
ЦепочкаПроверка промежуточных и корневых CA
TLS-протоколВерсия TLS и набор шифров
УязвимостиHeartbleed, POODLE, слабые шифры

Почему нам доверяют

TLS 1.3
поддержка
Полная
цепочка CA
<2с
результат
30/14/7
дней до истечения

Как это работает

1

Введите домен

2

Проверка цепочки TLS

3

Дата истечения и уязвимости

Что проверяет SSL-тест?

SSL/TLS — протокол шифрования, который защищает данные между браузером и сервером. Наш инструмент анализирует сертификат, цепочку доверия, версию TLS и известныеуязвимости.

Детали сертификата

Издатель, срок действия, алгоритм подписи, покрываемые домены (SAN) и тип валидации (DV/OV/EV).

Цепочка доверия

Проверка полной цепочки: от конечного сертификата через промежуточные до корневого CA.

Анализ TLS

Версия протокола (TLS 1.2/1.3), набор шифров, поддержка Perfect Forward Secrecy (PFS).

Оповещения об истечении

Создайте монитор — получайте уведомления в Telegram и email за 30/14/7 дней до истечения.

DV vs OV vs EV сертификаты

DV (Domain Validation)
  • Подтверждение только владения доменом
  • Выдаётся за минуты автоматически
  • Бесплатно через Let's Encrypt
  • Подходит для большинства сайтов
  • Самый распространённый тип
OV / EV
  • Проверка организации (OV) или расширенная проверка (EV)
  • Выдаётся за 1-5 рабочих дней
  • Стоимость от $50 до $500/год
  • Для финансов, e-commerce, госсайтов
  • Повышает доверие пользователей

Кому это нужно

DevOps

мониторинг SSL-сертификатов

Безопасность

аудит TLS-конфигурации

SEO

HTTPS как фактор ранжирования

E-commerce

доверие покупателей

Частые ошибки

Истёкший сертификатБраузеры блокируют сайт с истёкшим SSL. Настройте автопродление или мониторинг.
Неполная цепочка сертификатовБез промежуточного CA некоторые браузеры и боты не смогут верифицировать сертификат.
Mixed content на HTTPS-сайтеHTTP-ресурсы на HTTPS-странице — замок в браузере пропадает, снижается доверие.
Использование TLS 1.0/1.1Устаревшие версии TLS содержат известные уязвимости. Используйте TLS 1.2+ или 1.3.
Несовпадение домена в сертификатеСертификат должен покрывать все домены сайта, включая www и поддомены.

Лучшие практики

Настройте автопродлениеLet's Encrypt + certbot с cron — сертификат обновляется автоматически каждые 60-90 дней.
Включите HSTSЗаголовок Strict-Transport-Security заставляет браузер всегда использовать HTTPS.
Используйте TLS 1.3TLS 1.3 быстрее (1-RTT handshake) и безопаснее — убраны устаревшие шифры.
Мониторьте срок действияСоздайте монитор на Enterno.io — получайте уведомления задолго до истечения.
Проверяйте цепочку после обновленияПосле обновления сертификата убедитесь, что промежуточные сертификаты установлены.

Получите больше с бесплатным аккаунтом

Мониторинг SSL-сертификатов, история проверок и уведомления за 30 дней до истечения.

Зарегистрироваться (FREE)

Больше по теме

Источники

Часто задаваемые вопросы

ISRG Root X1 2026?

Действует. 2021→2035. Cross-signed old DST Root (устарело 2024), но X1 self-trust в 99% современных стеков.

nginx fullchain vs cert+chain?

Fullchain включает intermediate. nginx не подгружает intermediate automatically; отправит клиенту только cert → Firefox завалит validation.

NSS trust store vs OS?

Firefox использует NSS (отдельно от OS), ≈420 roots. Chrome использует OS trust (Windows/macOS) или Chrome Root Store.

Private CA setup?

OpenSSL ca.cnf + valid extensions. Import .crt в about:preferences#privacy → View Certificates → Import.

Запустить инструмент, который описан в этой статье

Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.