Справочник SSL-ошибок Chrome / Firefox / Safari

"Trust anchor for certification path not found"

Коротко: Android бросает эту ошибку (java.security.cert.CertPathValidatorException), когда сертификат сервера подписан CA, которого нет в Android system truststore. 3 причины: (1) …

Читать →

SSL_ERROR_BAD_CERT_DOMAIN: Firefox-аналог CN_INVALID

Коротко: SSL_ERROR_BAD_CERT_DOMAIN — ошибка Firefox, аналог Chrome-ошибки ERR_CERT_COMMON_NAME_INVALID. SSL-сертификат не покрывает текущий домен. Решение то же: перевыпустить серт…

Читать →

curl (77) problem with the SSL CA cert

Коротко: curl exits with 77 (CURLE_SSL_CACERT_BADFILE), когда указанный CA-bundle файл не найден или не читаем. 3 причины: (1) отсутствует /etc/ssl/certs/ca-certificates.crt — не у…

Читать →

ERR_ADDRESS_UNREACHABLE: как диагностировать

Коротко: ERR_ADDRESS_UNREACHABLE — Chrome не смог установить TCP-соединение с IP-адресом. Это уровень ниже TLS. Причины: DNS вернул wrong IP, routing issue (server down/без интерне…

Читать →

ERR_BLOCKED_BY_RESPONSE: причины и решение

Коротко: ERR_BLOCKED_BY_RESPONSE — Chrome блокирует ресурс из-за не-совпадения Cross-Origin-* заголовков. Обычно это COEP (Cross-Origin-Embedder-Policy), COOP (Cross-Origin-Opener-…

Читать →

Ошибка NET::ERR_CERT_AUTHORITY_INVALID: причины и решение

Коротко: NET::ERR_CERT_AUTHORITY_INVALID — браузер Chrome/Edge не доверяет SSL-сертификату сайта: цепочка сертификации не ведёт к доверенному корневому центру. Причина в 90% случае…

Читать →

ERR_CERT_COMMON_NAME_INVALID: CN не соответствует домену

Коротко: ERR_CERT_COMMON_NAME_INVALID (NET::ERR_CERT_COMMON_NAME_INVALID) — домен не указан в SAN-поле SSL-сертификата. Пример: сертификат выпущен для example.com, но вы открываете…

Читать →

ERR_CERT_DATE_INVALID: истёкший SSL и как его обновить

Коротко: ERR_CERT_DATE_INVALID — SSL-сертификат сайта истёк или ещё не вступил в силу. В 95% случаев причина — не продлили Let's Encrypt-сертификат или забыли auto-renew. Испр…

Читать →

NET::ERR_CERT_INVALID: детализация

Коротко: NET::ERR_CERT_INVALID — Chrome 's generic category для всех cert validation failures (более specific errors: AUTHORITY_INVALID, DATE_INVALID, COMMON_NAME_INVALID). Если ви…

Читать →

CAA violation: сертификат не авторизован

Коротко: CAA (Certificate Authority Authorization) violation — DNS CAA-запись домена не разрешает указанному CA выпускать cert. Let's Encrypt, DigiCert и другие CAs проверяют CAA п…

Читать →

NET::ERR_CERT_REVOKED: что случилось

Коротко: NET::ERR_CERT_REVOKED — CA (Let's Encrypt, DigiCert) отозвал ваш SSL-сертификат. Это серьёзно: клиенты полностью не могут подключиться. Причины: compromised private key, m…

Читать →

ERR_CERT_SYMANTEC_LEGACY: устаревший сертификат

Коротко: NET::ERR_CERT_SYMANTEC_LEGACY — Chrome 70+ (октябрь 2018) автоматически не доверяет сертификатам Symantec, VeriSign, Thawte, GeoTrust и RapidSSL выпущенным до 1 декабря 20…

Читать →

NET::ERR_CERT_VALIDITY_TOO_LONG: исправление

Коротко: NET::ERR_CERT_VALIDITY_TOO_LONG появляется когда SSL-сертификат выпущен на срок > 398 дней. С сентября 2020 Apple, Google и Mozilla не принимают сертификаты с бóльшим срок…

Читать →

ERR_CERT_WEAK_SIGNATURE_ALGORITHM: устаревший SHA-1 или MD5

Коротко: ERR_CERT_WEAK_SIGNATURE_ALGORITHM — SSL-сертификат подписан устаревшим алгоритмом (SHA-1, MD5, MD2). Chrome блокирует такие сертификаты с 2017 года. Решение: перевыпустить…

Читать →

ERR_CONNECTION_RESET: причины и решение

Коротко: ERR_CONNECTION_RESET — Chrome получил TCP RST во время установки или активной TLS-сессии. Причины: firewall (локальный или провайдерский) рвёт пакет, antivirus с TLS-inspe…

Читать →

ERR_DNS_MALFORMED_RESPONSE

Коротко: ERR_DNS_MALFORMED_RESPONSE — Chrome DNS resolver получил response, который не соответствует DNS wire format. Причины: upstream resolver bug (rare), DNSSEC validation failu…

Читать →

ERR_ECH_REQUIRED

Коротко: ERR_ECH_REQUIRED — редкая ошибка (Chrome 123+): server сигнализирует, что требует ECH (Encrypted Client Hello, RFC 9460) для connection, но client либо не поддерживает либ…

Читать →

ERR_EMPTY_RESPONSE: сервер ничего не отправил

Коротко: ERR_EMPTY_RESPONSE — сервер установил TCP-соединение, но закрыл его без отправки HTTP-ответа. Типично для PHP-FPM/Apache crash, nginx timeout до upstream, OOM kill. Причин…

Читать →

ERR_HPACK_DECODING_FAILED

Коротко: ERR_HPACK_DECODING_FAILED — HTTP/2 client не смог декомпрессировать HPACK-encoded headers. HPACK — Huffman-based header compression для HTTP/2 (RFC 7541). Ошибка: server s…

Читать →

ERR_HTTP_RESPONSE_CODE_FAILURE: что означает

Коротко: NET::ERR_HTTP_RESPONSE_CODE_FAILURE — Chrome ожидал HTTP 2xx/3xx при загрузке под-ресурса (stylesheet, script, image), но получил 4xx/5xx. Часто появляется на preload link…

Читать →

ERR_HTTP2_INADEQUATE_TRANSPORT_SECURITY

Коротко: ERR_HTTP2_INADEQUATE_TRANSPORT_SECURITY — Chrome отклонил HTTP/2 соединение потому, что TLS setup не соответствует RFC 7540 требованиям: минимум TLS 1.2, AEAD cipher (GCM,…

Читать →

ERR_HTTP2_PROTOCOL_ERROR: причины и фиксы

Коротко: ERR_HTTP2_PROTOCOL_ERROR — Chrome/Firefox получил RST_STREAM frame от HTTP/2 сервера. Причины: превышен max_header_list_size (обычно 8KB), нарушена flow control, баг в HTT…

Читать →

ERR_ICANN_NAME_COLLISION

Коротко: ERR_ICANN_NAME_COLLISION — ICANN-level warning. Ваша internal сеть использует domain (.corp, .home, .lan), который стал public TLD после ICANN gTLD expansion (2013+). Тепе…

Читать →

ERR_INCOMPLETE_CHUNKED_ENCODING

Коротко: ERR_INCOMPLETE_CHUNKED_ENCODING — HTTP/1.1 Transfer-Encoding: chunked response не завершён (missing final "0\r\n\r\n" chunk). Причины: backend crash mid-stream, nginx prox…

Читать →

ERR_QUIC_HANDSHAKE_FAILED

Коротко: ERR_QUIC_HANDSHAKE_FAILED — initial cryptographic handshake в QUIC failed. QUIC использует TLS 1.3 (mandatory), так что все TLS 1.3 handshake errors могут проявиться. Обыч…

Читать →

ERR_QUIC_PROTOCOL_ERROR

Коротко: ERR_QUIC_PROTOCOL_ERROR — Chrome обнаружил violation QUIC protocol в TLS/транспорт-слое. Причины: CDN Alt-Svc header points к broken QUIC endpoint, middlebox (enterprise f…

Читать →

ERR_QUIC_TIMEOUT

Коротко: ERR_QUIC_TIMEOUT — QUIC session не завершил handshake или idle timeout превышен. Причины: significant packet loss (>5% UDP drop), slow network (

Читать →

ERR_SSL_BAD_HANDSHAKE_HASH_VALUE

Коротко: ERR_SSL_BAD_HANDSHAKE_HASH_VALUE — клиент обнаружил несоответствие hash в TLS handshake. Может быть MITM-атакой или порчей пакетов на пути. Чаще: legacy cipher suite с SHA…

Читать →

ERR_SSL_BAD_RECORD_MAC_ALERT: причины и решение

Коротко: ERR_SSL_BAD_RECORD_MAC_ALERT — клиент или сервер получил TLS-запись с неверным MAC (Message Authentication Code). Это означает искажение данных между двумя точками: пробле…

Читать →

ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED: решение

Коротко: ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED появляется в mTLS (mutual TLS) когда сервер запрашивает клиентский сертификат, но клиент не смог подписать challenge. Причины: смарт-к…

Читать →

ERR_SSL_DECOMPRESSION_FAILURE_ALERT: что это

Коротко: ERR_SSL_DECOMPRESSION_FAILURE_ALERT — TLS alert 30. Исторически появлялся когда client и server не согласовали compression. В 2026 почти не встречается: TLS compression от…

Читать →

ERR_SSL_KEY_USAGE_INCOMPATIBLE: исправление

Коротко: ERR_SSL_KEY_USAGE_INCOMPATIBLE — сертификат не содержит TLS Web Server Authentication (OID 1.3.6.1.5.5.7.3.1) в extKeyUsage. Chrome считает такой cert не предназначенным д…

Читать →

ERR_SSL_OBSOLETE_VERSION: как починить

Коротко: ERR_SSL_OBSOLETE_VERSION — Chrome 84+ (июль 2020) блокирует HTTPS-соединения к серверам, поддерживающим только TLS 1.0 или TLS 1.1. Причины: старая версия nginx/Apache, le…

Читать →

ERR_SSL_OCSP_INVALID_RESPONSE

Коротко: ERR_SSL_OCSP_INVALID_RESPONSE — Chrome получил OCSP response, но он corrupted, expired (> 7 days), или signed неверным responder cert. Fix: отключить ssl_stapling_verify (…

Читать →

ERR_SSL_PINNED_KEY_NOT_IN_CERT_CHAIN: решение

Коротко: NET::ERR_SSL_PINNED_KEY_NOT_IN_CERT_CHAIN — браузер ожидал конкретный публичный ключ (HPKP/Certificate Transparency static pin) в цепочке сертификатов, но его нет. Причина…

Читать →

ERR_SSL_PROTOCOL_ERROR: несовместимость TLS — причины и решение

Коротко: ERR_SSL_PROTOCOL_ERROR — браузер и сервер не могут договориться о версии TLS или шифре. Частые причины: сервер использует только TLS 1.0/1.1 (deprecated в Chrome 90+), нес…

Читать →

ERR_SSL_RENEGOTIATION_NOT_SUPPORTED

Коротко: ERR_SSL_RENEGOTIATION_NOT_SUPPORTED — server запросил renegotiation (пересоздание keys), а client (или протокол) не поддерживает. TLS 1.3 полностью убрал renegotiation (se…

Читать →

ERR_SSL_SERVER_CERT_BAD_FORMAT

Коротко: ERR_SSL_SERVER_CERT_BAD_FORMAT — browser не смог parse server certificate. ASN.1/DER encoding error, truncated cert, base64 issue, или non-standard extensions. Fix: openss…

Читать →

ERR_SSL_UNRECOGNIZED_NAME_ALERT

Коротко: ERR_SSL_UNRECOGNIZED_NAME_ALERT — TLS alert 112: server не имеет cert для запрошенного SNI hostname. Причины: misconfigured nginx (missing server_name), Cloudflare Workers…

Читать →

ERR_SSL_UNRECOGNIZED_NAME_ALERT: что означает

Коротко: ERR_SSL_UNRECOGNIZED_NAME_ALERT — сервер вернул TLS alert 112 (unrecognized_name) потому что запрошенный домен через SNI не настроен. Причины: домен не в server_name nginx…

Читать →

Ошибка ERR_SSL_VERSION_OR_CIPHER_MISMATCH: что делать

Коротко: ERR_SSL_VERSION_OR_CIPHER_MISMATCH — браузер не смог договориться о версии TLS или шифре с сервером. Причины: сервер использует устаревший TLS 1.0/1.1 (Chrome 84+ отключил…

Читать →

ERR_SSL_WEAK_SERVER_EPHEMERAL_DH_KEY

Коротко: ERR_SSL_WEAK_SERVER_EPHEMERAL_DH_KEY — Chrome обнаружил, что server использует Diffie-Hellman ephemeral key меньше 1024 бит (Logjam attack, 2015). Precomputation позволяет…

Читать →

ERR_TLS_CERT_VALIDATION_TIMED_OUT

Коротко: ERR_TLS_CERT_VALIDATION_TIMED_OUT — Chrome не смог проверить revocation status cert через OCSP/CRL в разумное время. Обычно происходит когда CA OCSP responder down или slo…

Читать →

ERR_TOO_MANY_REDIRECTS: как исправить цикл

Коротко: ERR_TOO_MANY_REDIRECTS (Chrome) / "Too many redirects" (Firefox) — браузер прекратил следовать редиректам после 10+ hops. Причины: server block A отправляет на HTTPS, serv…

Читать →

SEC_ERROR_OCSP_OLD_RESPONSE

Коротко: Firefox/NSS бросает, когда сервер вернул OCSP Stapling response с nextUpdate в прошлом (устаревший). Обычная причина — OCSP cache на сервере истёк, а nginx/apache продолжа…

Читать →

HSTS Error: браузер заблокировал доступ по HSTS-политике

Коротко: HSTS Error — сайт в HSTS-preload списке, но сейчас имеет сломанный SSL. Chrome не позволяет обойти предупреждение (security feature). Решение для владельца: исправить SSL-…

Читать →

PKIX path building failed (Java)

Коротко: Java SSLException "PKIX path building failed: unable to find valid certification path to requested target" — Java не может построить цепочку доверия. JVM truststore ($JAVA…

Читать →

Mixed Content: HTTPS-сайт загружает HTTP-ресурсы

Коротко: Mixed Content — HTTPS-страница загружает ресурсы (JS, CSS, картинки, iframe) по HTTP. Chrome блокирует active mixed content полностью, passive — показывает warning. Исправ…

Читать →

MOZILLA_PKIX_ERROR_MITM_DETECTED в Firefox

Коротко: MOZILLA_PKIX_ERROR_MITM_DETECTED — Firefox увидел подозрительный сертификат на домене с pinned keys (google.com, facebook.com и др.). Это не baseline SSL warning — Firefox…

Читать →

MOZILLA_PKIX_ERROR_REQUIRED_TLS_FEATURE_MISSING

Коротко: MOZILLA_PKIX_ERROR_REQUIRED_TLS_FEATURE_MISSING — cert содержит tlsfeature extension (RFC 7633) с OCSP Must-Staple flag, но server не stapl-ит OCSP response в TLS handshak…

Читать →

MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT

Коротко: Сертификат подписан сам собой, а не цепочкой доверенного CA. Firefox не может проверить подлинность и блокирует загрузку страницы. Для production: получить настоящий серти…

Читать →

ERR_CERTIFICATE_TRANSPARENCY_REQUIRED: решение

Коротко: NET::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED — Chrome с октября 2017 требует, чтобы каждый public SSL-сертификат был записан в Certificate Transparency (CT) логи. Cert без S…

Читать →

NET::ERR_INVALID_HTTP_RESPONSE

Коротко: NET::ERR_INVALID_HTTP_RESPONSE — Chrome получил ответ от server, который не парсится как valid HTTP. Причины: Content-Length не matches body size, invalid headers (pseudo-…

Читать →

NSURLErrorServerCertificateUntrusted: iOS fix

Коротко: NSURLErrorServerCertificateUntrusted (код -1202) — Foundation Network layer iOS/macOS отверг сервер SSL cert. Причина: self-signed, expired, untrusted CA, пустой SAN, или …

Читать →

Python ssl.SSLCertVerificationError

Коротко: Python requests/urllib3 падает с ssl.SSLCertVerificationError: [SSL: CERTIFICATE_VERIFY_FAILED] unable to get local issuer certificate. Python берёт CA-bundle из пакета ce…

Читать →

SSL_ERROR_RX_RECORD_TOO_LONG: отвечает не TLS

Коротко: SSL_ERROR_RX_RECORD_TOO_LONG — Firefox ждёт TLS, но получил HTTP или другой текст. В 90% случаев причина: сервер слушает на 443 порту как HTTP (не HTTPS). Проверьте nginx/…

Читать →

Schannel 0x80072f7d

Коротко: HRESULT 0x80072F7D = WININET_E_SECURITY_CHANNEL_ERROR — Windows Schannel (TLS stack) не смог установить соединение. 4 causes: (1) server требует TLS 1.2/1.3, Windows 7 def…

Читать →

SEC_ERROR_CA_CERT_INVALID

Коротко: SEC_ERROR_CA_CERT_INVALID — Firefox считает intermediate/root CA cert invalid. Причины: expired CA cert, malformed DER encoding, deprecated CA (Symantec 2018), root отозва…

Читать →

SEC_ERROR_EXPIRED_ISSUER_CERTIFICATE

Коротко: Эта ошибка значит, что промежуточный (intermediate) сертификат удостоверяющего центра в цепочке вашего сайта истёк, хотя ваш собственный сертификат ещё валиден. Браузер не…

Читать →

SEC_ERROR_INADEQUATE_KEY_USAGE

Коротко: SEC_ERROR_INADEQUATE_KEY_USAGE — Firefox: cert содержит Key Usage extension (keyUsage), но required bits отсутствуют для server auth. Нужны: digitalSignature + keyEncipher…

Читать →

SEC_ERROR_UNKNOWN_CRITICAL_EXTENSION

Коротко: SEC_ERROR_UNKNOWN_CRITICAL_EXTENSION — cert содержит X.509 extension, помеченный critical=TRUE, но Firefox не распознаёт этот OID. По стандарту RFC 5280 клиент ОБЯЗАН reje…

Читать →

SEC_ERROR_UNKNOWN_ISSUER в Firefox: как исправить

Коротко: SEC_ERROR_UNKNOWN_ISSUER — Firefox не доверяет издателю SSL-сертификата сайта. Firefox использует собственный trust store Mozilla (≠ системный), поэтому сертификаты от рег…

Читать →

SSL_ERROR_NO_CIPHER_OVERLAP

Коротко: Firefox не нашёл общего cipher suite с вашим сервером во время TLS handshake. В 2026 эта ошибка обычно значит: сервер поддерживает только TLS 1.0/1.1 (Firefox их отключил …

Читать →

SSL_ERROR_NO_CYPHER_OVERLAP в Firefox

Коротко: SSL_ERROR_NO_CYPHER_OVERLAP — Firefox (аналогично ERR_SSL_VERSION_OR_CIPHER_MISMATCH в Chrome) не смог согласовать TLS cipher suite с сервером. Обе стороны имеют списки до…

Читать →

SSL_ERROR_NO_RENEGOTIATION

Коротко: SSL_ERROR_NO_RENEGOTIATION — Firefox попытался renegotiate TLS session (например, для client cert auth на specific path), но server отверг. Renegotiation deprecated по sec…

Читать →

SSL_ERROR_PROTOCOL_VERSION_ALERT: причины

Коротко: SSL_ERROR_PROTOCOL_VERSION_ALERT — TLS alert 70 (protocol_version). Сервер не поддерживает запрошенную TLS версию. Обычно происходит когда browser пробует TLS 1.3, а serve…

Читать →

SSL_ERROR_RX_UNKNOWN_RECORD_TYPE

Коротко: SSL_ERROR_RX_UNKNOWN_RECORD_TYPE — Firefox received TLS record с unknown content type (not 20, 21, 22, 23, 24). Часто: MITM proxy inserting garbage, HTTP error page served…

Читать →

SSL Handshake Failed: сбой установления TLS-соединения

Коротко: SSL Handshake Failed — TLS-рукопожатие между клиентом и сервером не завершилось. Причины: устаревший SNI, несовпадение TLS-версий, client certificate required, time-skew &…

Читать →