Почему браузер показывает ошибку SSL и как это исправить

Разбираем основные причины ошибок SSL-сертификата в браузере: истёкший срок, неверная цепочка, несовпадение домена — и способы их устранения.

Ошибка SSL — что это значит?

Когда браузер обнаруживает проблему с SSL-сертификатом сайта, он блокирует доступ и показывает предупреждение: «Ваше соединение не защищено», «NET::ERR_CERT_INVALID» или похожее. Это защита пользователей от поддельных сайтов и небезопасных соединений.

Ошибка может быть на стороне сервера (неправильно настроен сертификат) или на стороне клиента (неверные дата/время, устаревший браузер).

Истёкший сертификат (ERR_CERT_DATE_INVALID)

Причина: срок действия сертификата закончился. Let's Encrypt выдаёт сертификаты на 90 дней, коммерческие — на 1–2 года.

Решение для владельца сайта:

Для Let's Encrypt: настройте автообновление через certbot (certbot renew --dry-run для проверки).
Для платного сертификата: обновите у регистратора и переустановите на сервере.

Решение для пользователя: если только у вас эта ошибка — проверьте системное время и дату на компьютере.

Несовпадение домена (ERR_CERT_COMMON_NAME_INVALID)

Причина: сертификат выдан для другого домена. Например, сертификат для example.com, а вы зашли на www.example.com, или использован сертификат соседнего сайта на shared-хостинге.

Решение:

Установите сертификат, покрывающий оба варианта (example.com и www.example.com — это Subject Alternative Names).
Используйте Wildcard-сертификат (*.example.com) для всех поддоменов.
Проверьте настройки виртуального хоста в nginx/Apache — возможно, неверный SSL-сертификат назначен для этого домена.

Неполная цепочка доверия (ERR_CERT_AUTHORITY_INVALID)

Причина: на сервере не установлены промежуточные сертификаты (Intermediate CA). Браузер не может построить цепочку доверия от вашего сертификата до Root CA.

Решение: при установке сертификата добавьте файл с промежуточными сертификатами (обычно называется ca-bundle.crt или chain.pem). В nginx:

ssl_certificate /etc/ssl/example.com.crt;  # ваш сертификат + chain
ssl_certificate_key /etc/ssl/example.com.key;

Файл example.com.crt должен содержать сначала ваш сертификат, затем промежуточные — склеенные в один файл.

Самоподписанный сертификат

Причина: сертификат подписан самим сервером, а не доверенным CA. Браузеры доверяют только центрам сертификации из встроенного списка.

Решение: замените самоподписанный сертификат на Let's Encrypt (бесплатно) или платный сертификат. Самоподписанные допустимы только во внутренней сети организации.

Ошибка на стороне пользователя

Иногда ошибка SSL только у вас:

Неверные дата и время — операционная система с неправильными часами не может проверить срок сертификата.
Устаревший браузер/ОС — старые системы не знают новых CA (например, Let's Encrypt Root X2).
Корпоративный прокси/антивирус — некоторые системы безопасности перехватывают SSL-трафик и подменяют сертификат.
Заражение вирусом — редко, но вредоносное ПО может подменять сертификаты.

Как проверить SSL-сертификат?

Инструмент SSL Check на kit.uz покажет дату истечения, издателя, список доменов в сертификате и цепочку доверия. Проверьте сайт заранее — особенно если используете Let's Encrypt, чтобы убедиться, что автообновление работает.