Содержание
- 1 Проблемы с датой и временем
- 2 Ненадежный SSL-сертификат
- 3 Брандмауэр или антивирус, блокирующие сайт
- 4 Включенный экспериментальный протокол QUIC
- 5 Отсутствие обновлений операционной системы
- 6 Использование SSL-сертификата версии 3.0
- 7 Ошибки «Invalid CSR» при генерации сертификата из панели управления облачного провайдера
- 8 Что внутри
- 9 Причины возникновения
- 10 Примеры ошибок
- 11 Что означает появления ошибки net::ERR_CERT_AUTHORITY_INVALID?
- 12 Сбой net::ERR_CERT_AUTHORITY_INVALID: как исправить простейшим методом?
- 13 Настройки даты и времени
- 14 Отключение защитных средств системы
- 15 Проверка настроек прокси
- 16 Настройка шифрования
- 17 Советы напоследок
Но при наличии ошибок она выглядит несколько иначе:
Существует множество причин возникновения таких ошибок. К числу основных можно отнести:
- Некорректную дату и время на устройстве (компьютер, смартфон, планшет и т.д.);
- Ненадежный SSL-сертификат;
- Брандмауэр или антивирус, блокирующие сайт;
- Включенный экспериментальный интернет-протокол QUIC;
- Отсутствие обновлений операционной системы;
- Использование SSL-сертификата устаревшей версии 3.0;
- Появление ошибки «Invalid CSR» при генерации сертификата из панели управления облачного провайдера.
Давайте рассмотрим каждую из них подробнее.
Проблемы с датой и временем
Если на устройстве установлены некорректные дата и время, ошибка SSL-соединения неизбежна, ведь при проверке сертификата происходит проверка срока его действия. Современные браузеры умеют определять такую ошибку самостоятельно и выводят сообщение о неправильно установленной дате или времени.
Для исправления этой ошибки достаточно установить на устройстве актуальное время. После этого необходимо перезагрузить страницу или браузер.
Ненадежный SSL-сертификат
Иногда при переходе на сайт, защищенный протоколом HTTPS, появляется ошибка «SSL-сертификат сайта не заслуживает доверия».
Одной из причин появления такой ошибки, как и в предыдущем случае, может стать неправильное время. Однако есть и вторая причина — браузеру не удается проверить цепочку доверия сертификата, потому что не хватает корневого сертификата. Для избавления от такой ошибки необходимо скачать специальный пакет GeoTrust Primary Certification Authority, содержащий корневые сертификаты. После скачивания переходим к установке. Для этого:
- Нажимаем сочетание клавиш Win+R и вводим команду certmgr.msc, жмем «Ок». В Windows откроется центр сертификатов.
- Раскрываем список «Доверенные корневые центры сертификации» слева, выбираем папку «Сертификаты», кликаем по ней правой кнопкой мышки и выбираем «Все задачи — импорт».
- Запустится мастер импорта сертификатов. Жмем «Далее».
- Нажимаем кнопку «Обзор» и указываем загруженный ранее сертификат. Нажимаем «Далее»:
- В следующем диалоговом окне указываем, что сертификаты необходимо поместить в доверенные корневые центры сертификации, и нажимаем «Далее». Импорт должен успешно завершиться.
После вышеперечисленных действий можно перезагрузить устройство и проверить отображение сайта в браузере.
Брандмауэр или антивирус, блокирующие сайт
Некоторые сайты блокируются брандмауэром Windows. Для проверки можно отключить брандмауэр и попробовать зайти на нужный сайт. Если SSL-сертификат начал работать корректно, значит дело в брандмауэре. В браузере Internet Explorer вы можете внести некорректно работающий сайт в список надежных и проблема исчезнет. Однако таким образом вы снизите безопасность своего устройства, так как содержимое сайта может быть небезопасным, а контроль сайта теперь отключен.
Также SSL может блокировать антивирусная программа. Попробуйте отключить в антивирусе проверку протоколов SSL и HTTPS и зайти на сайт. При необходимости добавьте сайт в список исключений антивируса.
Включенный экспериментальный протокол QUIC
QUIC — это новый экспериментальный протокол, который нужен для быстрого подключения к интернету. Основная задача протокола QUIC состоит в поддержке нескольких соединений. Вы можете отключить этот протокол в конфигурации вашего браузера.
Показываем как отключить QUIC на примере браузера Google Chrome:
- Откройте браузер и введите команду chrome://flags/#enable-quic;
- В появившемся окне будет выделен параметр: Experimental QUIC protocol (Экспериментальный протокол QUIC). Под названием этого параметра вы увидите выпадающее меню, в котором нужно выбрать опцию: Disable.
- После этого просто перезапустите браузер.
Этот способ работает и в Windows и в Mac OS.
Отсутствие обновлений операционной системы
Проблемы с SSL-сертификатами могут возникать и из-за того, что на вашей операционной системе давно не устанавливались обновлений. Особенно это касается устаревших версий Windows (7, Vista, XP и более ранние). Установите последние обновления и проверьте работу SSL.
Использование SSL-сертификата версии 3.0
Некоторые сайты используют устаревший SSL-протокол версии 3.0, который не поддерживают браузеры. По крайней мере, по умолчанию. Чтобы браузер поддерживал устаревший SSL необходимо сделать следующее (на примере браузера Google Chrome):
- Откройте браузер и перейдите в раздел «Настройки».
- Прокрутите страницу настроек вниз и нажмите «Дополнительные».
- В разделе «Система» найдите параметр «Настройки прокси-сервера» и кликните на него.
- Откроется окно. Перейдите на вкладку «Дополнительно».
- В этой вкладке вы увидите чекбокс «SSL 3.0».
- Поставьте галочку в чекбоксе, нажмите кнопку «Ок» и перезагрузите браузер.
Ошибки «Invalid CSR» при генерации сертификата из панели управления облачного провайдера
В процессе активации сертификата можно столкнуться с ошибкой «Invalid CSR». Такая ошибка возникает по следующим причинам:
- Неправильное имя FQDN (полное имя домена) в качестве Common Name (в некоторых панелях управления это поле может также называться Host Name или Domain Name). В этом поле должно быть указано полное доменное имя вида domain.com или subdomain.domain.com (для субдоменов). Имя домена указывается без https://. В качестве данного значения нельзя использовать интранет-имена (text.local). В запросе для wildcard-сертификатов доменное имя необходимо указывать как *.domain.com.
- В CSR или пароле есть не латинские буквы и цифры. В CSR поддерживаются только латинские буквы и цифры – спецсимволы использовать запрещено. Это правило распространяется и на пароли для пары CSR/RSA: они не должны содержать спецсимволов.
- Неверно указан код страны. Код страны должен быть двухбуквенным ISO 3166-1 кодом (к примеру, RU, US и т.д.). Он указывается в виде двух заглавных букв.
- В управляющей строке не хватает символов. CSR-запрос должен начинаться с управляющей строки ——BEGIN CERTIFICATE REQUEST—— и заканчиваться управляющей строкой ——END CERTIFICATE REQUEST——. С каждой стороны этих строк должно быть по 5 дефисов.
- В конце или начале строки CSR есть пробелы. Пробелы на концах строк в CSR не допускаются.
- Длина ключа меньше 2048 бит. Длина ключа должна быть не менее 2048 бит.
- В CRS-коде для сертификата для одного доменного имени есть SAN-имя. В CSR-коде для сертификата, предназначенного защитить одно доменное имя, не должно быть SAN (Subject Alternative Names). SAN-имена указываются для мультидоменных (UCC) сертификатов.
- При перевыпуске или продлении сертификата изменилось поле Common Name. Это поле не должно меняться.
Бывает, вы переходите на сайт, а браузер вместо него показывает ошибку. Сюда, мол, не пущу, подключение не защищено.
Причины возникновения ошибки бывают разными, но смысл всегда один — браузер не смог подключиться к сайту по HTTPS. Это значит, что вводить на этом сайте личные данные небезопасно. Вот браузер и показывает предупреждение.
Что внутри
Причины возникновения
Все ошибки подключения SSL можно разделить на две группы:
- Ошибки на стороне браузера. Посетитель может исправить их сам.
- Ошибки на стороне сайта. Их может исправить только владелец сайта.
Чтобы определить, какой тип ошибки в вашем случае, проверьте сайт при помощи сервиса decoder.link.
Если при проверке появилась надпись “It’s all good. We have not detected any issues”, проблема на стороне браузера. Если вместо надписи есть какая-то ошибка, проблема на стороне сайта.
С ошибками на стороне сайта всё понятно: если вы не владелец сайта, тут ничего не сделать. Возможно, истёк срок годности сертификата или его неправильно установили. А может что-то не так с настройками сервера. Остаётся только ждать, когда владелец сайта заметит и устранит ошибку.
Разберёмся с ошибками подключения SSL на стороне браузера. Обычно их можно быстро исправить и всё-таки попасть на сайт. Вот основные причины, из-за которых они возникают.
Кэш
Если вы заходили на сайт раньше и всё было нормально, попробуйте очистить кэш браузера. Возможно, он хранит какие-то устаревшие данные, которые мешают сайту загрузиться.
Как вариант можно зайти на сайт с другого браузера или устройства. Если заходит, значит скорее всего проблема именно в кэше.
Неправильные настройки даты и времени
Браузеру может показаться, что установленный на сайте сертификат недействителен, если время у вас на компьютере и на сервере, где лежит сайт, отличается. Убедитесь, что у вас стоит правильные время и дата.
Настройки антивируса или файервола
Бывает, антивирус не даёт зайти на сайт, потому что по ошибке добавил его в черный список или закрыл 443 порт, через который и происходит SSL подключение. Попробуйте отключить антивирус и зайти на сайт снова.
Устаревшая версия браузера
На сайте может быть технология, которая не поддерживается в вашей версии браузера. Например, новый алгоритм шифрования, протокол передачи данных или что-то в таком роде. После обновления проблема должна пройти.
Протокол QUIC
QUIC — это новая технология передачи данных в интернете. Она используется только в Google Chrome и браузерах, сделанных на движке Chromium: Opera, Microsoft Edge, Brave.
Поскольку технология новая, более старые версии серверов её не поддерживают. Из-за этого могут возникать ошибки.
Как вариант можете попробовать отключить QUIC и зайти на сайт ещё раз. Чтобы сделать это в Google Chrome, перейдите по адресу chrome://flags и введите в поиске QUIC. Затем выберите в выпадающем списке опцию Disabled.
Конфликт между протоколами TLS
Протокол TLS — это набор правил, по которым браузер устанавливает безопасное соединение с сервером, где лежит сайт. Что-то вроде инструкции для компьютеров, которая помогает им договориться о шифровании.
На момент написания статьи есть семь версий этого протокола. Половину из них уже признали небезопасными, но на некоторых сайтах устаревшие протоколы всё ещё используют.
Иногда бывает так, что браузер использует последнюю версию TLS, а сервер — нет. В итоге появляется ошибка подключения SSL, потому что стороны не могут договориться о шифровании.
Сайт может начать открываться, если вы разрешите своему браузеру использовать устаревшие протоколы, но это небезопасно. Личные данные, которые вы введете на сайте после этого могут украсть. Делайте это только в крайнем случае, а потом лучше верните всё, как было.
В Internet Explorer/Microsoft Edge нажмите для этого сочетание клавиш Windows+R и введите inetcpl.cpl.
В открывшемся окне перейдите на вкладку «Дополнительно» (Advanced) и включите все протоколы SSL и TLS. Затем, нажмите «ОК». Не забудьте перезагрузить компьютер.
В старых версиях Google Chrome по умолчанию поддерживаются все версии протокола, кроме новейшего TLS 1.3. Чтобы его включить, введите в адресной строке chrome://flags/#tls13-variant. Затем в первой же строке установите значение “Default”.
В Mozilla Firefox введите в адресной строке about:config. Затем найдите параметр security.tls.version.min и установите значение «1» вместо «2».
Затем найдите параметр security.tls.version.max и установите значение «4» вместо «3».
Примеры ошибок
1. Ошибка «Подключение не защищено»
В англоязычной версии браузера: Your connection is not private.
Код ошибки: ERR_CERT_COMMON_NAME_INVALID.
Что означает: доменное имя сайта не совпадает с именем в SSL-сертификате.
Что делать: почистить кэш или зайти на сайт с другого браузера.
Код ошибки: ERR_CERT_AUTHORITY_INVALID.
Что означает: SSL-сертификат выпустил неверный/неизвестный центр сертификации.
Что делать: почистить кэш или зайти на сайт с другого браузера.
Код ошибки: ERR_CERT_REVOKED.
Что означает: центр сертификации отозвал сертификат. Обычно это бывает, когда сертификат забыли продлить после истечения срока действия. На сайте он по-прежнему стоит, но уже не действует.
Что делать: почистить кэш или зайти на сайт с другого браузера.
Код ошибки: ERR_SSL_PINNED_KEY_NOT_IN_CERT_CHAIN.
Что означает: на сайте используется устаревшая технология HPKP (HTTP Public Key Pinning).
Что делать: почистить кэш или открыть сайт в другом браузере. Если не помогло, проблема на стороне веб-сайта.
2. Ошибка «Часы спешат» / «Часы отстают»
В англоязычной версии браузера: Your clock is behind / Your clock is ahead.
Код ошибки: ERR_CERT_DATE_INVALID.
Что означает: неправильная дата выпуска или истечения сертификата. Обычно такая ошибка возникает из-за того, что время на компьютере и сервере отличаются.
Решение: проверьте время и дату на устройстве. Если дата и время правильные, попробуйте очистить кэш.
3. Ошибка «Подключение к сайту защищено не полностью» / «Части этой страницы не защищены»
В англоязычной версии браузера: Your connection to this site is not fully secure / Parts of this page are not secure.
Что означает: после установки SSL-сертификата на сайте ещё остались элементы, которые загружаются по HTTP. Например, изображения. Если их загружали до установки сертификата, в ссылках останется HTTP.
Что делать: владельцу сайта придётся обновить ссылки вручную.
Просматривать сайт со смешанным контентом безопасно, но личные данные на нём лучше не оставлять.
4. Ошибка «Этот сайт не может обеспечить безопасное соединение»
В англоязычной версии браузера: This site can’t provide a secure connection.
Код ошибки: ERR_SSL_VERSION_OR_CIPHER_MISMATCH.
Что означает: произошла ошибка при выборе протокола TLS. Обычно появляется, если сайт работает на сервере с устаревшим ПО или версия браузера слишком старая. В первом случае это ошибка на стороне сайта, во втором — на стороне посетителя.
Что делать: обновить браузер или использовать другой. Если не помогло, сайт использует более старые протоколы, которые можно включить только вручную. В этом случае есть риск, что личные данные, которые вы введете на сайте, попадут в руки мошенников.
Код ошибки: ERR_BAD_SSL_CLIENT_AUTH_CERT.
Что означает: браузер и сервер в последний момент не смогли установить безопасное соединение. Часто случается из-за антивируса. В его настройках что-то по ошибке не дает браузеру и серверу договориться, в итоге происходит сбой аутентификации.
Что делать: отключите антивирус или отключите в его настройках фильтрацию протоколов SSL/TLS.
5. Ошибка «На сервере используется слабый эфемерный открытый ключ Диффи-Хелмана»
В англоязычной версии браузера: Server has a weak ephemeral Diffie-Hellman public key.
Код ошибки: ERR_SSL_WEAK_EPHEMERAL_DH_KEY.
Что означает: на сайте стоит слабый SSL-сертификат.
Что делать: лучше закройте сайт, если увидели такое предупреждение. Ваши данные здесь не в безопасности.
Достаточно часто браузеры вроде Google Chrome или Yandex при попытке входа на какой-то сайт выдают пользователю сообщение об ошибке net::ERR_CERT_AUTHORITY_INVALID. Большинство рядовых юзеров не знают, что делать в такой ситуации, ведь сообщение появляется снова и снова. Но тут всех нужно обнадежить: такая ошибка, в основном, характерна только для одного-двух ресурсов, а не всех сайтов в интернете (хотя встретить можно и такое). Далее предлагается рассмотреть причины возникновения такого сбоя и основные методики исправления сложившейся ситуации. Все решения предельно просты, и использовать их сможет любой человек, даже отдаленно не имеющий понятия о сетевых настройках и организации доступа к интернету. Впрочем, начнем с самого простого – выяснения причин такого явления, а только потом будет принимать решение по выбору оптимального метода устранения сбоя.
Что означает появления ошибки net::ERR_CERT_AUTHORITY_INVALID?
Появление такого сообщения в браузере обычно свидетельствует о том, что сработала либо его собственная система защиты, либо инструменты Windows, либо антивирусное программное обеспечение, которое зачастую имеет свойство выдавать ложные тревоги (возьмите тот же Avast, по поводу работы которого нареканий и нелестных отзывов в интернете просто не перечесть).
Но что же означает само уведомление? Если перевести содержание, так сказать, на нормальный язык, получим ошибку недействительного сертификата для ресурса, который собираетесь посетить. В браузерах с русифицированным интерфейсом ошибка обычно выглядит в виде сообщения «Ваше соединение/подключение не защищено».
Если говорить об ошибке net::ERR_CERT_AUTHORITY_INVALID, сертификат при доступе не подтверждается, а средства защиты намеренно блокируют сайт, изолируя сертификат самого пользователя от непроверенных издателей. Иногда смысл в этом есть, особенно, когда дело идет о конфиденциальности, но ведь, если пользователь до этого посещал сайт без проблем, а ошибка появилась намного позже, это уже явное нарушение работы обозревателя.
Сбой net::ERR_CERT_AUTHORITY_INVALID: как исправить простейшим методом?
Для начала многие специалисты рекомендуют закрыть браузер и произвести полный рестарт операционной системы. Считается, что такие сбои могут быть кратковременными и к основной проблеме отношения особо не имеют.
С другой стороны, появление сообщения об ошибке net::ERR_CERT_AUTHORITY_INVALID касается именно невозможности установки защищенного соединения HTTPS (это сокращение будет прописано в начале адресной строки). Попробуйте вместо этого прописать адрес, начинающийся с HTTP. Возможно, доступ будет получен.
Настройки даты и времени
Как ни странно, появление сбоя с описанием вроде net::ERR_CERT_AUTHORITY_INVALID может быть связано и с некорректно установленными параметрами времени и даты. Что самое интересное, изменение этих опций в Windows может результата не дать.
Посему, изначально следует выполнить перезагрузку и войти в первичную систему BIOS или UEFI. Обычно на главной вкладке с общими параметрами и настройкам имеется пункт установки даты и времени (что-то вроде Standard CMOS Setup). Измените параметры в этом разделе, сохраните изменения, а после перезагрузки попытайтесь проверить доступ к ранее запрашиваемому ресурсу.
Отключение защитных средств системы
Но, допустим, в браузере снова появляется сообщение об ошибке net::ERR_CERT_AUTHORITY_INVALID. Что делать в такой ситуации?
Многие специалисты сходятся во мнении, что далеко не последнюю роль тут играют установленные антивирусы и встроенный файрвол Windows (он же брандмауэр). Для начала просто используйте временное отключение защиты в антивирусе и проверьте состояние доступа.
Если это не поможет, вызовите настройки брандмауэра либо из стандартной «Панели управления», либо через меню «Выполнить» командой firewall.cpl, и полностью его отключите. Конечно, система выдаст предупреждение насчет того, что, мол, делать этого не рекомендуется, но не обращайте внимания.
Проверка настроек прокси
Наконец, одной из проблем появления сбоя могут стать некорректные настройки протокола IPv4. Для их проверки зайдите в свойства сетевого адаптера через раздел сетевых подключений, перейдите к опциям протокола IP четвертой версии и отключите использование прокси для локальных подключений, если такая опция активирована.
Отдельно стоит сказать, что, если ваш провайдер не поддерживает обслуживание протокола IPv6, его в параметрах адаптера следует деактивировать, сняв галочку с соответствующего пункта.
Если и это после сохранения установленных параметров и полной перезагрузки системы не поможет, снова используйте настройку IP четвертой версии, но в качестве адресов серверов DNS пропишите бесплатную конфигурацию Google вместо автоматического получения адресов.
Настройка шифрования
Самый последний вариант устранения проблемы без использования кардинальных методов вроде сброса настроек или даже переустановки системы состоит в том, чтобы в «Центре управления сетями» изменить параметры общего доступа.
В данном случае речь идет о том, чтобы установить 128-битное шифрование и активировать пункт доступ к сети с парольной защитой (первые три позиции, находящиеся чуть выше, следует полностью отключить).
Советы напоследок
В данном случае остается сказать, что все рассмотренные решения, так или иначе, проблемы появления описываемой ошибки устраняют. Вот только применять несколько методов одновременно не стоит, ведь до сих пор точно не выяснено, с чем связан основной сбой.
Если хотите упростить себе задачу, сначала можно отключить все расширения браузера, но это работает только в случае с Google Chrome. Как вариант, можно использовать полный сброс параметров обозревателя. Но, если в самой операционной системе изначально установлены некорректные параметры TCP/IP в плане задействования прокси, желаемого эффекта это может и не дать.
Используемые источники:
- https://serverspace.by/about/blog/pochemu-voznikayut-oshibki-ssl-soedineniya-i-kak-ix-ispravit/
- https://hostiq.ua/wiki/ssl-connection-error/
- https://fb.ru/article/368938/oshibka-net-err-cert-authority-invalid-chto-eto-takoe-i-kak-ee-ispravit