Произошла ошибка ssl альфа банк

Там целый букет проблем с сертификатами.

1. Сертификат, который предъявляет сервер Альфа-банка, использует алгоритм цифровой подписи 1.2.643.7.1.1.3.2: ГОСТ Р 34.10-2012.

2. Сервер требует от клиента предъявить сертификат с ключом цифровой подписи тип 22 (ГОСТ Р 34.10-2001), который был выпущен либо удостоверяющим центром «Минкомсвязь России» , либо удостоверяющим центром «CRYPTO-PRO LLC»

Поддержу гостовских шифров и сертификатов исключили из Openssl где-то на границе перехода от 1.0.x к 1.1.0. Вам необходима кастомная реализация Openssl от отечественных производителей. Посмотрите здесь: https://github.com/gost-engine/engine и здесь: https://www.altlinux.org/OSS-GOST-Crypto

Если вам интересно, как я всё это узнал, то ответ прост: посмотрел в Wireshark-е.

В консоли запустил команду openssl s_client -connect apiwsgdev.alfabank.ru:443, а сканер пакетов предоставил расшифровку всех полей сообщения ServerHello

TLSv1 Record Layer: Handshake Protocol: Multiple Handshake Messages
    Content Type: Handshake (22)
    Version: TLS 1.0 (0x0301)
    Length: 4708
    Handshake Protocol: Server Hello
    Handshake Protocol: Certificate
        Handshake Type: Certificate (11)
        Length: 4178
        Certificates Length: 4175
        Certificates (4175 bytes)
            Certificate Length: 2213
            Certificate: … (id-at-commonName=АО "АЛЬФА-БАНК",id-at-organizationName=АО "АЛЬФА-БАНК",id-at-localityName=Москва,id-at-stateOrProvinceNa
                signedCertificate
                    version: v3 (2)
                    serialNumber: 0x01162fa60039ac9e964fb1d1f1ff76174a
                    signature (iso.2.643.7.1.1.3.2)
                        Algorithm Id: 1.2.643.7.1.1.3.2 (iso.2.643.7.1.1.3.2)
                    issuer: rdnSequence (0)
                        rdnSequence: 9 items (id-at-commonName=ООО "КРИПТО-ПРО",id-at-organizationName=ООО "КРИПТО-ПРО",id-at-streetAddress=ул. Ибрагимова, д. 31, офи�,id-at-localityName=г. Москва,id-at-stateOrProvin
                    validity
                    subject: rdnSequence (0)
                    subjectPublicKeyInfo
                    extensions: 13 items
                algorithmIdentifier (iso.2.643.7.1.1.3.2)
                    Algorithm Id: 1.2.643.7.1.1.3.2 (iso.2.643.7.1.1.3.2)
                Padding: 0
                encrypted: …
            Certificate Length: 1956
            Certificate: … (id-at-commonName=ООО "КРИПТО-ПРО",id-at-organizationName=ООО "КРИПТО-ПРО",id-at-streetAddress=ул. Ибрагимова, д.
                signedCertificate
                    version: v3 (2)
                    serialNumber: 0x1770387d000000000405
                    signature (iso.2.643.7.1.1.3.2)
                        Algorithm Id: 1.2.643.7.1.1.3.2 (iso.2.643.7.1.1.3.2)
                    issuer: rdnSequence (0)
                    validity
                    subject: rdnSequence (0)
                    subjectPublicKeyInfo
                    extensions: 11 items
                algorithmIdentifier (iso.2.643.7.1.1.3.2)
                    Algorithm Id: 1.2.643.7.1.1.3.2 (iso.2.643.7.1.1.3.2)
                Padding: 0
                encrypted: …
    Handshake Protocol: Certificate Request
        Handshake Type: Certificate Request (13)
        Length: 433
        Certificate types count: 1
        Certificate types (1 type)
            Certificate type: GOST R 34.10-2001 (22)
        Distinguished Names (429 bytes)
            Distinguished Name: (id-at-commonName=Минкомсвязь России,iso.2.643.3.131.1.1=007710474375,iso.2.643.100.1=1047702026701,id-at-organizationName=Минкомсвязь России,id-at-streetAddress=улица Тверск
            Distinguished Name: (id-at-commonName=CRYPTO-PRO Test Center 2,id-at-organizationName=CRYPTO-PRO LLC,id-at-localityName=Moscow,id-at-countryName=RU,pkcs-9-at-emailAddress=support@cryptopro.ru)
    Handshake Protocol: Server Hello Done

Зачастую после установки SSL-сертификатов многие пользователи сталкиваются с ошибками, которые препятствуют корректной работе защищенного протокола HTTPS.

Предлагаем разобраться со способами устранения подобных ошибок.

Что такое SSL?

SSL (Secure Socket Layer) — это интернет-протокол для создания зашифрованного соединения между пользователем и сервером, который гарантирует безопасную передачу данных.

Когда пользователь заходит на сайт, браузер запрашивает у сервера информацию о наличии сертификата. Если сертификат установлен, сервер отвечает положительно и отправляет копию SSL-сертификата браузеру. Затем браузер проверяет сертификат, название которого должно совпадать с именем сайта, срок действия сертификата и наличие корневого сертификата, выданного центром сертификации.

Причины возникновения ошибок SSL-соединения

Когда сертификат работает корректно, адресная строка браузера выглядит примерно так:

Но при наличии ошибок она выглядит несколько иначе:

Существует множество причин возникновения таких ошибок. К числу основных можно отнести:

• Некорректную дату и время на устройстве (компьютер, смартфон, планшет и т.д.);
• Ненадежный SSL-сертификат;
• Брандмауэр или антивирус, блокирующие сайт;
• Включенный экспериментальный интернет-протокол QUIC;
• Отсутствие обновлений операционной системы;
• Использование SSL-сертификата устаревшей версии 3.0;
• Появление ошибки «Invalid CSR» при генерации сертификата из панели управления облачного провайдера.

Давайте рассмотрим каждую из них подробнее.

Проблемы с датой и временем

Если на устройстве установлены некорректные дата и время, ошибка SSL-соединения неизбежна, ведь при проверке сертификата происходит проверка срока его действия. Современные браузеры умеют определять такую ошибку самостоятельно и выводят сообщение о неправильно установленной дате или времени.

Для исправления этой ошибки достаточно установить на устройстве актуальное время. После этого необходимо перезагрузить страницу или браузер.

Ненадежный SSL-сертификат

Иногда при переходе на сайт, защищенный протоколом HTTPS, появляется ошибка «SSL-сертификат сайта не заслуживает доверия».

Одной из причин появления такой ошибки, как и в предыдущем случае, может стать неправильное время. Однако есть и вторая причина — браузеру не удается проверить цепочку доверия сертификата, потому что не хватает корневого сертификата. Для избавления от такой ошибки необходимо скачать специальный пакет GeoTrust Primary Certification Authority, содержащий корневые сертификаты. После скачивания переходим к установке. Для этого:

• Нажимаем сочетание клавиш Win+R и вводим команду certmgr.msc, жмем «Ок». В Windows откроется центр сертификатов.
• Раскрываем список «Доверенные корневые центры сертификации» слева, выбираем папку «Сертификаты», кликаем по ней правой кнопкой мышки и выбираем «Все задачи — импорт».

• Запустится мастер импорта сертификатов. Жмем «Далее».

• Нажимаем кнопку «Обзор» и указываем загруженный ранее сертификат. Нажимаем «Далее»:

• В следующем диалоговом окне указываем, что сертификаты необходимо поместить в доверенные корневые центры сертификации, и нажимаем «Далее». Импорт должен успешно завершиться.

После вышеперечисленных действий можно перезагрузить устройство и проверить отображение сайта в браузере.

Брандмауэр или антивирус, блокирующие сайт

Некоторые сайты блокируются брандмауэром Windows. Для проверки можно отключить брандмауэр и попробовать зайти на нужный сайт. Если SSL-сертификат начал работать корректно, значит дело в брандмауэре. В браузере Internet Explorer вы можете внести некорректно работающий сайт в список надежных и проблема исчезнет. Однако таким образом вы снизите безопасность своего устройства, так как содержимое сайта может быть небезопасным, а контроль сайта теперь отключен.

Также SSL может блокировать антивирусная программа. Попробуйте отключить в антивирусе проверку протоколов SSL и HTTPS и зайти на сайт. При необходимости добавьте сайт в список исключений антивируса.

Включенный экспериментальный протокол QUIC

QUIC — это новый экспериментальный протокол, который нужен для быстрого подключения к интернету. Основная задача протокола QUIC состоит в поддержке нескольких соединений. Вы можете отключить этот протокол в конфигурации вашего браузера.

Показываем как отключить QUIC на примере браузера Google Chrome:

• Откройте браузер и введите команду chrome://flags/#enable-quic;
• В появившемся окне будет выделен параметр: Experimental QUIC protocol (Экспериментальный протокол QUIC). Под названием этого параметра вы увидите выпадающее меню, в котором нужно выбрать опцию: Disable.

• После этого просто перезапустите браузер.

Этот способ работает и в Windows и в Mac OS.

Отсутствие обновлений операционной системы

Проблемы с SSL-сертификатами могут возникать и из-за того, что на вашей операционной системе давно не устанавливались обновлений. Особенно это касается устаревших версий Windows (7, Vista, XP и более ранние). Установите последние обновления и проверьте работу SSL.

Использование SSL-сертификата версии 3.0

Некоторые сайты используют устаревший SSL-протокол версии 3.0, который не поддерживают браузеры. По крайней мере, по умолчанию. Чтобы браузер поддерживал устаревший SSL необходимо сделать следующее (на примере браузера Google Chrome):

• Откройте браузер и перейдите в раздел «Настройки».
• Прокрутите страницу настроек вниз и нажмите «Дополнительные».
• В разделе «Система» найдите параметр «Настройки прокси-сервера» и кликните на него.

• Откроется окно. Перейдите на вкладку «Дополнительно».
• В этой вкладке вы увидите чекбокс «SSL 3.0».

• Поставьте галочку в чекбоксе, нажмите кнопку «Ок» и перезагрузите браузер.

Ошибки «Invalid CSR» при генерации сертификата из панели управления облачного провайдера

В процессе активации сертификата можно столкнуться с ошибкой «Invalid CSR». Такая ошибка возникает по следующим причинам:

• Неправильное имя FQDN (полное имя домена) в качестве Common Name (в некоторых панелях управления это поле может также называться Host Name или Domain Name). В этом поле должно быть указано полное доменное имя вида domain.com или subdomain.domain.com (для субдоменов). Имя домена указывается без https://. В качестве данного значения нельзя использовать интранет-имена (text.local). В запросе для wildcard-сертификатов доменное имя необходимо указывать как *.domain.com.
• В CSR или пароле есть не латинские буквы и цифры. В CSR поддерживаются только латинские буквы и цифры – спецсимволы использовать запрещено. Это правило распространяется и на пароли для пары CSR/RSA: они не должны содержать спецсимволов.
• Неверно указан код страны. Код страны должен быть двухбуквенным ISO 3166-1 кодом (к примеру, RU, US и т.д.). Он указывается в виде двух заглавных букв.
• В управляющей строке не хватает символов. CSR-запрос должен начинаться с управляющей строки ——BEGIN CERTIFICATE REQUEST—— и заканчиваться управляющей строкой ——END CERTIFICATE REQUEST——. С каждой стороны этих строк должно быть по 5 дефисов.
• В конце или начале строки CSR есть пробелы. Пробелы на концах строк в CSR не допускаются.
• Длина ключа меньше 2048 бит. Длина ключа должна быть не менее 2048 бит.
• В CRS-коде для сертификата для одного доменного имени есть SAN-имя. В CSR-коде для сертификата, предназначенного защитить одно доменное имя, не должно быть SAN (Subject Alternative Names). SAN-имена указываются для мультидоменных (UCC) сертификатов.
• При перевыпуске или продлении сертификата изменилось поле Common Name. Это поле не должно меняться.

Там целый букет проблем с сертификатами.

1. Сертификат, который предъявляет сервер Альфа-банка, использует алгоритм цифровой подписи 1.2.643.7.1.1.3.2: ГОСТ Р 34.10-2012.

2. Сервер требует от клиента предъявить сертификат с ключом цифровой подписи тип 22 (ГОСТ Р 34.10-2001), который был выпущен либо удостоверяющим центром «Минкомсвязь России» , либо удостоверяющим центром «CRYPTO-PRO LLC»

Поддержу гостовских шифров и сертификатов исключили из Openssl где-то на границе перехода от 1.0.x к 1.1.0. Вам необходима кастомная реализация Openssl от отечественных производителей. Посмотрите здесь: https://github.com/gost-engine/engine и здесь: https://www.altlinux.org/OSS-GOST-Crypto

Если вам интересно, как я всё это узнал, то ответ прост: посмотрел в Wireshark-е.

В консоли запустил команду openssl s_client -connect apiwsgdev.alfabank.ru:443, а сканер пакетов предоставил расшифровку всех полей сообщения ServerHello

TLSv1 Record Layer: Handshake Protocol: Multiple Handshake Messages
    Content Type: Handshake (22)
    Version: TLS 1.0 (0x0301)
    Length: 4708
    Handshake Protocol: Server Hello
    Handshake Protocol: Certificate
        Handshake Type: Certificate (11)
        Length: 4178
        Certificates Length: 4175
        Certificates (4175 bytes)
            Certificate Length: 2213
            Certificate: … (id-at-commonName=АО "АЛЬФА-БАНК",id-at-organizationName=АО "АЛЬФА-БАНК",id-at-localityName=Москва,id-at-stateOrProvinceNa
                signedCertificate
                    version: v3 (2)
                    serialNumber: 0x01162fa60039ac9e964fb1d1f1ff76174a
                    signature (iso.2.643.7.1.1.3.2)
                        Algorithm Id: 1.2.643.7.1.1.3.2 (iso.2.643.7.1.1.3.2)
                    issuer: rdnSequence (0)
                        rdnSequence: 9 items (id-at-commonName=ООО "КРИПТО-ПРО",id-at-organizationName=ООО "КРИПТО-ПРО",id-at-streetAddress=ул. Ибрагимова, д. 31, офи�,id-at-localityName=г. Москва,id-at-stateOrProvin
                    validity
                    subject: rdnSequence (0)
                    subjectPublicKeyInfo
                    extensions: 13 items
                algorithmIdentifier (iso.2.643.7.1.1.3.2)
                    Algorithm Id: 1.2.643.7.1.1.3.2 (iso.2.643.7.1.1.3.2)
                Padding: 0
                encrypted: …
            Certificate Length: 1956
            Certificate: … (id-at-commonName=ООО "КРИПТО-ПРО",id-at-organizationName=ООО "КРИПТО-ПРО",id-at-streetAddress=ул. Ибрагимова, д.
                signedCertificate
                    version: v3 (2)
                    serialNumber: 0x1770387d000000000405
                    signature (iso.2.643.7.1.1.3.2)
                        Algorithm Id: 1.2.643.7.1.1.3.2 (iso.2.643.7.1.1.3.2)
                    issuer: rdnSequence (0)
                    validity
                    subject: rdnSequence (0)
                    subjectPublicKeyInfo
                    extensions: 11 items
                algorithmIdentifier (iso.2.643.7.1.1.3.2)
                    Algorithm Id: 1.2.643.7.1.1.3.2 (iso.2.643.7.1.1.3.2)
                Padding: 0
                encrypted: …
    Handshake Protocol: Certificate Request
        Handshake Type: Certificate Request (13)
        Length: 433
        Certificate types count: 1
        Certificate types (1 type)
            Certificate type: GOST R 34.10-2001 (22)
        Distinguished Names (429 bytes)
            Distinguished Name: (id-at-commonName=Минкомсвязь России,iso.2.643.3.131.1.1=007710474375,iso.2.643.100.1=1047702026701,id-at-organizationName=Минкомсвязь России,id-at-streetAddress=улица Тверск
            Distinguished Name: (id-at-commonName=CRYPTO-PRO Test Center 2,id-at-organizationName=CRYPTO-PRO LLC,id-at-localityName=Moscow,id-at-countryName=RU,pkcs-9-at-emailAddress=support@cryptopro.ru)
    Handshake Protocol: Server Hello Done

Там целый букет проблем с сертификатами.

1. Сертификат, который предъявляет сервер Альфа-банка, использует алгоритм цифровой подписи 1.2.643.7.1.1.3.2: ГОСТ Р 34.10-2012.

2. Сервер требует от клиента предъявить сертификат с ключом цифровой подписи тип 22 (ГОСТ Р 34.10-2001), который был выпущен либо удостоверяющим центром «Минкомсвязь России» , либо удостоверяющим центром «CRYPTO-PRO LLC»

Поддержу гостовских шифров и сертификатов исключили из Openssl где-то на границе перехода от 1.0.x к 1.1.0. Вам необходима кастомная реализация Openssl от отечественных производителей. Посмотрите здесь: https://github.com/gost-engine/engine и здесь: https://www.altlinux.org/OSS-GOST-Crypto

Если вам интересно, как я всё это узнал, то ответ прост: посмотрел в Wireshark-е.

В консоли запустил команду openssl s_client -connect apiwsgdev.alfabank.ru:443, а сканер пакетов предоставил расшифровку всех полей сообщения ServerHello

TLSv1 Record Layer: Handshake Protocol: Multiple Handshake Messages
    Content Type: Handshake (22)
    Version: TLS 1.0 (0x0301)
    Length: 4708
    Handshake Protocol: Server Hello
    Handshake Protocol: Certificate
        Handshake Type: Certificate (11)
        Length: 4178
        Certificates Length: 4175
        Certificates (4175 bytes)
            Certificate Length: 2213
            Certificate: … (id-at-commonName=АО "АЛЬФА-БАНК",id-at-organizationName=АО "АЛЬФА-БАНК",id-at-localityName=Москва,id-at-stateOrProvinceNa
                signedCertificate
                    version: v3 (2)
                    serialNumber: 0x01162fa60039ac9e964fb1d1f1ff76174a
                    signature (iso.2.643.7.1.1.3.2)
                        Algorithm Id: 1.2.643.7.1.1.3.2 (iso.2.643.7.1.1.3.2)
                    issuer: rdnSequence (0)
                        rdnSequence: 9 items (id-at-commonName=ООО "КРИПТО-ПРО",id-at-organizationName=ООО "КРИПТО-ПРО",id-at-streetAddress=ул. Ибрагимова, д. 31, офи�,id-at-localityName=г. Москва,id-at-stateOrProvin
                    validity
                    subject: rdnSequence (0)
                    subjectPublicKeyInfo
                    extensions: 13 items
                algorithmIdentifier (iso.2.643.7.1.1.3.2)
                    Algorithm Id: 1.2.643.7.1.1.3.2 (iso.2.643.7.1.1.3.2)
                Padding: 0
                encrypted: …
            Certificate Length: 1956
            Certificate: … (id-at-commonName=ООО "КРИПТО-ПРО",id-at-organizationName=ООО "КРИПТО-ПРО",id-at-streetAddress=ул. Ибрагимова, д.
                signedCertificate
                    version: v3 (2)
                    serialNumber: 0x1770387d000000000405
                    signature (iso.2.643.7.1.1.3.2)
                        Algorithm Id: 1.2.643.7.1.1.3.2 (iso.2.643.7.1.1.3.2)
                    issuer: rdnSequence (0)
                    validity
                    subject: rdnSequence (0)
                    subjectPublicKeyInfo
                    extensions: 11 items
                algorithmIdentifier (iso.2.643.7.1.1.3.2)
                    Algorithm Id: 1.2.643.7.1.1.3.2 (iso.2.643.7.1.1.3.2)
                Padding: 0
                encrypted: …
    Handshake Protocol: Certificate Request
        Handshake Type: Certificate Request (13)
        Length: 433
        Certificate types count: 1
        Certificate types (1 type)
            Certificate type: GOST R 34.10-2001 (22)
        Distinguished Names (429 bytes)
            Distinguished Name: (id-at-commonName=Минкомсвязь России,iso.2.643.3.131.1.1=007710474375,iso.2.643.100.1=1047702026701,id-at-organizationName=Минкомсвязь России,id-at-streetAddress=улица Тверск
            Distinguished Name: (id-at-commonName=CRYPTO-PRO Test Center 2,id-at-organizationName=CRYPTO-PRO LLC,id-at-localityName=Moscow,id-at-countryName=RU,pkcs-9-at-emailAddress=support@cryptopro.ru)
    Handshake Protocol: Server Hello Done

Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.

Зачастую после установки SSL-сертификатов многие пользователи сталкиваются с ошибками, которые препятствуют корректной работе защищенного протокола HTTPS.

Предлагаем разобраться со способами устранения подобных ошибок.

Что такое SSL?

SSL (Secure Socket Layer) — это интернет-протокол для создания зашифрованного соединения между пользователем и сервером, который гарантирует безопасную передачу данных.

Когда пользователь заходит на сайт, браузер запрашивает у сервера информацию о наличии сертификата. Если сертификат установлен, сервер отвечает положительно и отправляет копию SSL-сертификата браузеру. Затем браузер проверяет сертификат, название которого должно совпадать с именем сайта, срок действия сертификата и наличие корневого сертификата, выданного центром сертификации.

Причины возникновения ошибок SSL-соединения

Когда сертификат работает корректно, адресная строка браузера выглядит примерно так:

Но при наличии ошибок она выглядит несколько иначе:

Существует множество причин возникновения таких ошибок. К числу основных можно отнести:

• Некорректную дату и время на устройстве (компьютер, смартфон, планшет и т.д.);
• Ненадежный SSL-сертификат;
• Брандмауэр или антивирус, блокирующие сайт;
• Включенный экспериментальный интернет-протокол QUIC;
• Отсутствие обновлений операционной системы;
• Использование SSL-сертификата устаревшей версии 3.0;
• Появление ошибки «Invalid CSR» при генерации сертификата из панели управления облачного провайдера.

Давайте рассмотрим каждую из них подробнее.

Проблемы с датой и временем

Если на устройстве установлены некорректные дата и время, ошибка SSL-соединения неизбежна, ведь при проверке сертификата происходит проверка срока его действия. Современные браузеры умеют определять такую ошибку самостоятельно и выводят сообщение о неправильно установленной дате или времени.

Для исправления этой ошибки достаточно установить на устройстве актуальное время. После этого необходимо перезагрузить страницу или браузер.

Ненадежный SSL-сертификат

Иногда при переходе на сайт, защищенный протоколом HTTPS, появляется ошибка «SSL-сертификат сайта не заслуживает доверия».

Одной из причин появления такой ошибки, как и в предыдущем случае, может стать неправильное время. Однако есть и вторая причина — браузеру не удается проверить цепочку доверия сертификата, потому что не хватает корневого сертификата. Для избавления от такой ошибки необходимо скачать специальный пакет GeoTrust Primary Certification Authority, содержащий корневые сертификаты. После скачивания переходим к установке. Для этого:

• Нажимаем сочетание клавиш Win+R и вводим команду certmgr.msc, жмем «Ок». В Windows откроется центр сертификатов.
• Раскрываем список «Доверенные корневые центры сертификации» слева, выбираем папку «Сертификаты», кликаем по ней правой кнопкой мышки и выбираем «Все задачи — импорт».

• Запустится мастер импорта сертификатов. Жмем «Далее».

• Нажимаем кнопку «Обзор» и указываем загруженный ранее сертификат. Нажимаем «Далее»:

• В следующем диалоговом окне указываем, что сертификаты необходимо поместить в доверенные корневые центры сертификации, и нажимаем «Далее». Импорт должен успешно завершиться.

После вышеперечисленных действий можно перезагрузить устройство и проверить отображение сайта в браузере.

Брандмауэр или антивирус, блокирующие сайт

Некоторые сайты блокируются брандмауэром Windows. Для проверки можно отключить брандмауэр и попробовать зайти на нужный сайт. Если SSL-сертификат начал работать корректно, значит дело в брандмауэре. В браузере Internet Explorer вы можете внести некорректно работающий сайт в список надежных и проблема исчезнет. Однако таким образом вы снизите безопасность своего устройства, так как содержимое сайта может быть небезопасным, а контроль сайта теперь отключен.

Также SSL может блокировать антивирусная программа. Попробуйте отключить в антивирусе проверку протоколов SSL и HTTPS и зайти на сайт. При необходимости добавьте сайт в список исключений антивируса.

Включенный экспериментальный протокол QUIC

QUIC — это новый экспериментальный протокол, который нужен для быстрого подключения к интернету. Основная задача протокола QUIC состоит в поддержке нескольких соединений. Вы можете отключить этот протокол в конфигурации вашего браузера.

Показываем как отключить QUIC на примере браузера Google Chrome:

• Откройте браузер и введите команду chrome://flags/#enable-quic;
• В появившемся окне будет выделен параметр: Experimental QUIC protocol (Экспериментальный протокол QUIC). Под названием этого параметра вы увидите выпадающее меню, в котором нужно выбрать опцию: Disable.

• После этого просто перезапустите браузер.

Этот способ работает и в Windows и в Mac OS.

Отсутствие обновлений операционной системы

Проблемы с SSL-сертификатами могут возникать и из-за того, что на вашей операционной системе давно не устанавливались обновлений. Особенно это касается устаревших версий Windows (7, Vista, XP и более ранние). Установите последние обновления и проверьте работу SSL.

Использование SSL-сертификата версии 3.0

Некоторые сайты используют устаревший SSL-протокол версии 3.0, который не поддерживают браузеры. По крайней мере, по умолчанию. Чтобы браузер поддерживал устаревший SSL необходимо сделать следующее (на примере браузера Google Chrome):

• Откройте браузер и перейдите в раздел «Настройки».
• Прокрутите страницу настроек вниз и нажмите «Дополнительные».
• В разделе «Система» найдите параметр «Настройки прокси-сервера» и кликните на него.

• Откроется окно. Перейдите на вкладку «Дополнительно».
• В этой вкладке вы увидите чекбокс «SSL 3.0».

• Поставьте галочку в чекбоксе, нажмите кнопку «Ок» и перезагрузите браузер.

Ошибки «Invalid CSR» при генерации сертификата из панели управления облачного провайдера

В процессе активации сертификата можно столкнуться с ошибкой «Invalid CSR». Такая ошибка возникает по следующим причинам:

• Неправильное имя FQDN (полное имя домена) в качестве Common Name (в некоторых панелях управления это поле может также называться Host Name или Domain Name). В этом поле должно быть указано полное доменное имя вида domain.com или subdomain.domain.com (для субдоменов). Имя домена указывается без https://. В качестве данного значения нельзя использовать интранет-имена (text.local). В запросе для wildcard-сертификатов доменное имя необходимо указывать как *.domain.com.
• В CSR или пароле есть не латинские буквы и цифры. В CSR поддерживаются только латинские буквы и цифры – спецсимволы использовать запрещено. Это правило распространяется и на пароли для пары CSR/RSA: они не должны содержать спецсимволов.
• Неверно указан код страны. Код страны должен быть двухбуквенным ISO 3166-1 кодом (к примеру, RU, US и т.д.). Он указывается в виде двух заглавных букв.
• В управляющей строке не хватает символов. CSR-запрос должен начинаться с управляющей строки ——BEGIN CERTIFICATE REQUEST—— и заканчиваться управляющей строкой ——END CERTIFICATE REQUEST——. С каждой стороны этих строк должно быть по 5 дефисов.
• В конце или начале строки CSR есть пробелы. Пробелы на концах строк в CSR не допускаются.
• Длина ключа меньше 2048 бит. Длина ключа должна быть не менее 2048 бит.
• В CRS-коде для сертификата для одного доменного имени есть SAN-имя. В CSR-коде для сертификата, предназначенного защитить одно доменное имя, не должно быть SAN (Subject Alternative Names). SAN-имена указываются для мультидоменных (UCC) сертификатов.
• При перевыпуске или продлении сертификата изменилось поле Common Name. Это поле не должно меняться.

It’s never been easier to obtain a Secure Sockets Layer (SSL) certificate for your website and set it up. But you can still run into SSL connection errors even after installing your certificate correctly and forcing traffic through HTTPS. In many cases, these error messages can drive users away.

Understanding what causes SSL errors will help you prevent them from popping up on your website. You’ll also know what to do if you run into one, depending on the message you see and the browser or OS you’re using.

In this article, we’ll explore what SSL connection errors are and their leading causes. We’ll also discuss their most common types and how you can troubleshoot them.

Let’s get to it!

Check Out Our Video Guide to Fixing SSL Connection Errors

What Is an SSL Connection Error?

There are several types of SSL connection errors that you may encounter while browning the web. Some of these errors are due to server-side issues, whereas others are because of local configuration problems.

In broad terms, SSL connection errors will prevent you from browsing a website securely over Hypertext Transfer Protocol Secure (HTTPS). Your browser may allow you to proceed with the connection, but in most cases, it’ll tell you that you’re doing so at your own risk. Without a valid SSL certificate, malicious parties can intercept any data you exchange with the website you’re trying to view.

Some of the most common SSL connection errors that you may run into include:

• NET:ERR_CERT_AUTHORITY_INVALID
• NET::ERR_CERT_COMMON_NAME_INVALID
• NET::ERR_CERT_REVOKED
• SSL Handshake Failed
• ERR_SSL_OBSOLETE_VERSION
• ERR_SLL_PROTOCOL_ERROR

Each type of SSL connection error points towards a different cause. When you run into such a problem, your browser will display a specific message that gives you information about why you see it:

It’s important to note that error messages can vary from one browser to another. The one pictured above comes from Firefox, whereas the one below pops up when we open the same website using Chrome:

As mentioned before, not all SSL connection errors stem from problems with your server configuration. Your website can have a perfectly valid SSL certificate, but users might still run into errors when accessing it.

Throughout the following few sections, we’ll show you what to do if you’re trying to access a website and you run into SSL connection issues.

It’s never been easier to obtain an SSL certificate for your website and set it up… but errors can still occur. 😅 Learn how to fix them with this guide ⬇️Click to Tweet

How to Fix SSL Connection Errors (8 Methods)

If you’re not in charge of a website, there’s little that you can do when it comes to fixing server-side SSL connection errors. However, some issues can occur due to problems with your local device or browser configuration.

We’ll show you how to fix local issues that cause SSL connection errors using various browsers, mobile OSs, and social media platforms.

Let’s get fixing!

1. How to Fix the SSL Connection Error in Google Chrome

If you run into an SSL connection error in Google Chrome, there are several quick fixes that you can implement.

First off, make sure you’re running the latest version of Chrome. You can update Chrome from within the browser itself, or you can download and install the most recent version from Google Chrome’s website.

Next, check if your system’s time and date are synchronized. If your device’s time is not correct, you may run into SSL connection issues throughout the web because some SSL certificates rely on internal system clocks for validation. An incorrect time or date on your computer can lead to errors as your browser can’t verify these certificates.

On Windows, you can fix the time and date by opening the Settings menu and selecting the Time & Language option:

On the next screen, make sure that both the Set the time automatically and Set the time zone automatically options are enabled. Alternatively, you can select your time zone manually and enable the Set the date and time manually option:

If you’re using Chrome on macOS, open the System Preferences menu by clicking on the Apple icon in the top left corner of the screen. Select the Date & Time option and enable the Set date and time automatically setting:

Once you fix the date and time, try accessing the website that showed an SSL connection error in Chrome. If the problem persists, move on to clearing your Chrome cache and cookies. To do so, open the Settings menu and click on Clear browsing data.

A window will pop up, enabling you to select what data you want to clear. If you’re using the Basic settings, select Cookies and other site data and Cached images and files, then hit the Clear data button:

Another fix that you can try is to clear the SSL slate in your operating system. To do so in Windows, open the start menu and search for Internet Options. Click on the result that comes up, and an Internet Properties window will pop up. Jump to Content and click on Clear SSL slate:

Clearing the SSL slate will remove all of the certificates stored locally on your computer. The next time you reload the website giving you SSL connection errors, the browser will attempt to re-validate its certificate and, in doing so, might clear the error.

If you’re using macOS, clearing your SSL slate works a bit differently. Open your Utilities menu and go to Keychain Access. Select the System option under Keychains in the left-hand menu, and you’ll see an overview of all the SSL certificates that your system stores locally:

You can select certificates individually and delete them manually. If you spot a certificate for the website you’re trying to access, delete that one first, then check to see if the SSL connection error persists.

At this stage, if all else fails, temporarily disable your antivirus software and firewall. We suggest this as a last resort because, in most cases, your antivirus software won’t cause issues with SSL connections.

If you try every fix and nothing works, you can assume that the SSL connection problem lies with the server.

2. How to Fix the SSL Connection Error in Firefox

Fixing SSL connection errors in Firefox works much the same as with other browsers. You can follow the instructions in the last section to implement the following fixes:

1. Check your system’s date and time and adjust them.
2. Clear your local SSL slate.

If neither of those solutions works, then it’s time to clear your Firefox cookies and cache. To do so, go to the Options menu and jump to the Privacy & Security tab. Then click on the Clear Data button under Cookies and Site Data:

Try accessing the website with the SSL connection error once more. If your browser fails to establish a connection, check to see whether there’s a new version of Firefox that you can update.

3. How to Fix the SSL Connection Error in Safari

So far, we’ve covered multiple fixes for the SSL connection error that work across OSs. If you’re using Safari, start by following the same instructions given under the Google Chrome section:

1. Check your system’s date and time and adjust them.
2. Clear your local SSL slate in macOS.

If the SSL connection error persists, you can move forward and clear your Safari cookies and cache. If you’re using an iMac, Macbook, iPhone, or iPad, the exact instructions apply here:

1. Open the Safari Settings menu.
2. Click on Clear History.

With that out of the way, try to access the website that gave you an SSL connection error before. The error should be gone now unless you’re dealing with a server-side configuration issue.

4. How to Fix the SSL Connection Error on iPhones and iPads

The process for fixing the SSL connection error on an iPhone or an iPad is identical to doing so on macOS. First, you need to check if your device’s date and time are synchronized. To access your mobile device’s date and time settings:

1. Open the Settings app and select General > Date & Time.
2. Check if the Set Automatically option is enabled. If it isn’t, turn it on.
3. Manually check if your device is using the correct time zone.

After updating your date and time settings, you can move on to clearing your browser’s cookies and cache. To do so, open the Settings app and select Safari > Clear History and Website Data:

If you’ve installed a different browser on your iOS device, the process should still be similar.

Unfortunately, the most recent versions of iOS have removed the option to clear your SSL slate on your iPhone or iPad, so this is not a viable solution. If none of the fixes above work, you can assume the problem is server-side.

5. How to Fix the SSL Connection Error on Android

Fixing the SSL connection error on Android is relatively simple. First, go ahead and check your time and date settings to see if they’re accurate.

Open the Settings app and tap on General Management > Date and time. Then check if the Automatic date and time setting is enabled:

It’s important to note that, like iOS, Android doesn’t include an option for clearing your SSL slate or deleting individual certificates. What you can do to fix SSL connection errors is to clear your Chrome browsing data. To do so:

1. Open the Chrome browser and access its Settings menu.
2. Go to Privacy and security.
3. Tap on Clear browsing data.
4. Select your browser’s Cookies and site data and Cached images and files options, then tap on Clear data.

After clearing your Chrome website data, check if the SSL connection error persists. If it does, the chances are that it’s a server-side configuration issue.

6. How to Fix the SSL Connection Error on Facebook

If you run into an SSL connection error on Facebook, you can be sure that it’s not a server-side issue. That means you’re dealing with a local configuration problem. Here are the fixes that you should implement:

1. Adjust your local time and date settings.
2. Clear your browser’s cache and cookies.
3. Clear your OS’s SSL slate or delete any local certificates for Facebook.

You can find instructions about adjusting your date and time settings on Windows and macOS within the Google Chrome section of this article. We also have instructions on clearing your browser’s cookies and cache for Chrome, Firefox, and Safari.

7. How to Fix the SSL Connection Error on Gmail

You won’t run into SSL connection errors while trying to access Gmail using mobile apps. However, SSL errors might pop up if you’re using Chrome, Firefox, or Safari to access Gmail’s web service. In that case, you should:

1. Adjust your local time and date settings (check the Google Chrome section above for instructions).
2. Clear your browser’s cache and cookies.
3. Clear your OS’s SSL slate or delete any local certificates for Gmail.

If everything else fails, you can access Gmail using a mobile app while you try disabling your firewall temporarily or updating your browser to its latest version.

8. How to Fix the SSL Connection Error on YouTube

SSL connection errors on YouTube are likely due to local configuration errors within your OS or browser. If you run into an SSL error in YouTube:

1. Adjust your local time and date settings (check the Google Chrome section above for instructions).
2. Clear your browser’s cache and cookies.
3. Clear your OS’s SSL slate or delete any local certificates from YouTube.

We provided instructions on clearing your browser’s cache and cookies for Chrome, Firefox, and Safari earlier in this post. Likewise, you can find step-by-step guides on how to clear your SSL slate by checking the Chrome and Safari instructions in the previous sections.

Don’t let SSL errors bring you down 🙅‍♂️ Learn how to quickly troubleshoot them right here ✅Click to Tweet

Summary

SSL connection errors can come in a lot of shapes and sizes. If you’re dealing with a server-side error, there’s often little that you can do except wait for the site’s owner to fix it or proceed with an unsafe connection.

That said, you can attempt several local configuration fixes that may solve this issue, including:

1. Adjusting your time and date settings.
2. Clearing your browser’s cookies and cache.
3. Clearing your OS’s SSL slate.

If you’re still facing SSL connection errors with your website, please leave a comment below. Kinsta clients can also reach out to our support team to get any SSL errors fixed.