SEC_ERROR_EXPIRED_ISSUER_CERTIFICATE

• Отличается от SEC_ERROR_EXPIRED_CERTIFICATE: там истёк ВАШ сертификат, тут — CA в цепочке
• Часто возникает после миграции сервера без копирования fullchain.pem (только cert.pem)
• Проверить цепочку: openssl s_client -connect host:443 -servername host -showcerts
• Каждый блок в выводе — отдельный сертификат; для каждого openssl x509 -noout -dates показывает notBefore/notAfter
• Let's Encrypt: правильный файл — fullchain.pem (cert + intermediate), а не cert.pem

# Проверить цепочку и даты
echo | openssl s_client -connect example.com:443 -servername example.com -showcerts 2>/dev/null | \
  awk '/BEGIN CERT/,/END CERT/' | csplit -z -f cert- - '/BEGIN CERT/' '{*}' >/dev/null

for f in cert-*; do
  echo "--- $f ---"
  openssl x509 -noout -subject -dates -issuer < "$f"
done

# Если у intermediate notAfter < сегодня — нужно обновить bundle.
# Для nginx: ssl_certificate /path/to/fullchain.pem  (НЕ cert.pem)
# Для Apache:
#   SSLCertificateFile     /path/to/cert.pem
#   SSLCertificateChainFile /path/to/chain.pem  (или fullchain в едином файле)

• ERR_CERT_AUTHORITY_INVALID (Chrome)
• TLS handshake

Ошибка SEC_ERROR_EXPIRED_ISSUER_CERTIFICATE возникает в браузере Firefox, когда сертификат удостоверяющего центра (CA), который выдает SSL-сертификат для сайта, истек. Чтобы исправить эту ошибку, необходимо обновить сертификат на сервере или установить новый сертификат от действующего CA. Убедитесь, что сертификаты в цепочке доверия актуальны и не истекли.

Первым шагом в исправлении ошибки SEC_ERROR_EXPIRED_ISSUER_CERTIFICATE является проверка актуальности SSL-сертификата. Для этого можно использовать команду openssl в терминале. Выполните следующую команду:

openssl s_client -connect ваш_домен:443 -showcerts

Эта команда позволит вам увидеть информацию о сертификате, включая дату истечения срока действия. Если сертификат действительно истек, необходимо обновить его.

Для обновления сертификата выполните следующие шаги:

1. Выберите удостоверяющий центр (CA), который будет выдавать сертификат.
2. Сгенерируйте запрос на сертификат (CSR) с помощью команды:

openssl req -new -newkey rsa:2048 -nodes -keyout ваш_домен.key -out ваш_домен.csr

1. Отправьте CSR в выбранный CA и получите новый сертификат.
2. Установите новый сертификат на сервере, заменив старый. Для Apache это может выглядеть так:

SSLCertificateFile /путь/к/вашему_сертификату.crt
SSLCertificateKeyFile /путь/к/вашему_домену.key
SSLCertificateChainFile /путь/к/цепочке_сертификатов.crt

После установки нового сертификата перезапустите веб-сервер, чтобы изменения вступили в силу.

После обновления сертификата важно проверить, что цепочка сертификатов корректная. Неверная или неполная цепочка может также вызвать ошибку SEC_ERROR_EXPIRED_ISSUER_CERTIFICATE. Чтобы проверить цепочку, снова используйте команду openssl:

openssl s_client -connect ваш_домен:443 -showcerts

Обратите внимание на вывод команды. Вы должны увидеть все сертификаты в цепочке от вашего SSL-сертификата до корневого сертификата CA. Если какой-либо сертификат в цепочке истек, вам необходимо обновить и его.

Также можно использовать онлайн-сервисы, такие как SSL Labs, для анализа вашего SSL-сертификата и цепочки доверия. Эти инструменты предоставляют подробную информацию о проблемах с сертификатом и помогут вам в их устранении.

Если после всех проверок ошибка все еще возникает, попробуйте очистить кэш браузера и сбросить настройки безопасности:

1. Откройте настройки Firefox.
2. Перейдите в раздел "Конфиденциальность и безопасность".
3. Нажмите "Очистить данные" в разделе "Кэшированный веб-контент".

Это может помочь устранить проблемы, связанные с устаревшими данными о сертификатах.