SEC_ERROR_INADEQUATE_KEY_USAGE
SEC_ERROR_INADEQUATE_KEY_USAGE — Firefox: cert содержит Key Usage extension (keyUsage), но required bits отсутствуют для server auth. Нужны: digitalSignature + keyEncipherment (RSA) или digitalSignature (ECDSA). Или Extended Key Usage (EKU) не содержит serverAuth. Fix: перевыпустить через CA с правильными extensions.
Ниже: причины, исправление, FAQ.
Причины ошибки
- Cert issued без digitalSignature/keyEncipherment
- Extended Key Usage не содержит
TLS Web Server Authentication - CA compromise forced narrow key usage restriction
- Reused client cert для server (wrong EKU)
- Code-signing cert put to HTTPS (wrong EKU)
Пошаговое исправление
- Перевыпустите через Let's Encrypt — EKU + Key Usage правильные по default
- Проверьте:
openssl x509 -in cert.pem -text | grep -A2 "Key Usage" - Required bits: Digital Signature + Key Encipherment для RSA
- Required EKU: TLS Web Server Authentication
- Enterno SSL Checker — покажет недостающие KU
Смежные SSL-ошибки
Почему нам доверяют
Как это работает
Введите домен
Проверка цепочки TLS
Дата истечения и уязвимости
Что проверяет SSL-тест?
SSL/TLS — протокол шифрования, который защищает данные между браузером и сервером. Наш инструмент анализирует сертификат, цепочку доверия, версию TLS и известныеуязвимости.
Детали сертификата
Издатель, срок действия, алгоритм подписи, покрываемые домены (SAN) и тип валидации (DV/OV/EV).
Цепочка доверия
Проверка полной цепочки: от конечного сертификата через промежуточные до корневого CA.
Анализ TLS
Версия протокола (TLS 1.2/1.3), набор шифров, поддержка Perfect Forward Secrecy (PFS).
Оповещения об истечении
Создайте монитор — получайте уведомления в Telegram и email за 30/14/7 дней до истечения.
DV vs OV vs EV сертификаты
- Подтверждение только владения доменом
- Выдаётся за минуты автоматически
- Бесплатно через Let's Encrypt
- Подходит для большинства сайтов
- Самый распространённый тип
- Проверка организации (OV) или расширенная проверка (EV)
- Выдаётся за 1-5 рабочих дней
- Стоимость от $50 до $500/год
- Для финансов, e-commerce, госсайтов
- Повышает доверие пользователей
Кому это нужно
DevOps
мониторинг SSL-сертификатов
Безопасность
аудит TLS-конфигурации
SEO
HTTPS как фактор ранжирования
E-commerce
доверие покупателей
Частые ошибки
www и поддомены.Лучшие практики
Strict-Transport-Security заставляет браузер всегда использовать HTTPS.Получите больше с бесплатным аккаунтом
Мониторинг SSL-сертификатов, история проверок и уведомления за 30 дней до истечения.
Зарегистрироваться (FREE)Больше по теме
Часто задаваемые вопросы
Разница Key Usage vs EKU?
Key Usage — primary уровень: что cert может криптографически делать (sign, encrypt). EKU — constraining уровень: для каких applications allowed (server auth, client auth, email, code signing).
Minimum set для HTTPS?
RSA: KU=digitalSignature,keyEncipherment + EKU=serverAuth. ECDSA: KU=digitalSignature + EKU=serverAuth.
Private CA нужно адаптировать?
Да. В OpenSSL config: <code>keyUsage=digitalSignature,keyEncipherment</code> + <code>extendedKeyUsage=serverAuth</code>.
Firefox strict, Chrome нет?
Firefox исторически строже с KU validation. Chrome тоже проверяет, но warnings иногда глуше.