Проверка SSL сертификата

Срок действия Вашего ssl-сертификата подходит к концу - не является ошибкой. До наступления даты окончания текущего сертификата необходимо получить ssl-сертификат с новым сроком действия, а после его выпуска важно не забыть про установку на Ваш хостинг и серверы.

Срок действия Вашего ssl-сертификата уже истек и все посетители при попытке зайти на сайт или сервер видят сообщение "Подключение не защищено" с кодом ошибки "net::ERR_CERT_DATE_INVALID". Важно как можно скорее установить новый ssl-сертификат.

Результат проверки просроченного ssl-сертификата: expired.badssl.com

Такая ошибка с кодом "net::ERR_CERT_COMMON_NAME_INVALID" означает, что SSL-сертификат не предназначен для защиты сайта\сервера, на который установлен. Для исправления необходимо выпустить сертификат для имени домена, по которому происходит подключение к сайту\серверу или добавить домен в список SAN (дополнительных, альтернативных имен) текущего сертификата, если сертификат мультидоменный.

Пример проверки домена с не предназначенным для него ssl-сертификатом: wrong.host.badssl.com

Самоподписанный SSL-сертификат вызывает ошибку безопасности в браузере. Такой сертфикат можно использовать для тестов, проверки https и для локальных ресурсов, но не в качестве публичного, поскольку поисковые системы помечают сайт как небезопасный. Решение - установка ssl-сертификата, выданного доверенным удостоверяющим центром. Код ошибки - "ERR_CERT_AUTHORITY_INVALID", "MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT".

Пример проверки самоподписанного ssl-сертификата: self-signed.badssl.com

Отсутствие или неполная цепочка доверия SSL-сертификата — проблема, которая приводит к ошибкам безопасности («недоверенное соединение») в некоторых браузерах и почти всегда в мобильных приложениях, api и т.д., хотя сам сертификат выпущен доверенным центром. Это происходит, когда на сервере не установлены промежуточные сертификаты, и приложение клиента не может построить цепочку до корневого. Исправляется переустановкой с указанием недостающего промежуточного и корневого сертификатов.

Пример ошибки с отсутствием цепопочкм: incomplete-chain.badssl.com

Сервис проверки не доверяет промежуточному или корневому сертификату, если он просрочен или отозван. Для исправления необходимо переустановить сертификат домена с использванием цепочки сертификатов УЦ, полученных от Вашего поставщика SSL.

Пример такого недоверия: untrusted-root.badssl.com

Наиболее частая причина такой ошибки - в установке:
- нарушена последовательность установленной цепочки сертификатов удостоверяющего центра;
- использована не подходящая для Сертификата домена цепочка сертификатов УЦ.

Правильная последовательность цепи в большинстве случаев: Сертификат домена -> Промежуточный (выпускающий) сертификат -> Корневой сертификат, при этом Сертификат домена подписан Промежуточным, а Промежуточный подписн Корневым. Иногда Промежутчных сертификатов в цепи может быть несколько, а Корневой может быть не указан вовсе (т.к. доверенные корни известны всем актуальным браузерам и системам). Для исправления необходимо переустановить сертификаты, используя верную цепочку в правильной последовательности.

Ошибка ERR SSL_VERSION_OR_CIPHER_MISMATCH возникает из-за неудачного "рукопожатия" при несовместимости настроек сервера\хостинга с клиентским приложением (браузер, почтовый клиент и т.п.). Для решения проблемы владельцу сервера\хостинга необходимо установить действительный SSL-сертификат от доверенного центра (CA) и правильно его настроить: обеспечить полную цепочку доверия (включив промежуточные сертификаты); активировать поддержку SNI, если хостинг виртуальный; обновить конфигурацию сервера, отключить устаревшие протоколы в конфигурации сервера (SSLv3, TLS 1.0/1.1) и слабые шифры, оставив только актуальные протоколы TLS 1.2/1.3 с современными наборами шифров.