Почему возникают ошибки SSL-соединения? | Serverspace
Часто, устанавливая SSL-сертификат, можно встретиться с множеством проблем, мешающим нормально функционировать протоколу HTTPS.
В нашем блоге мы разберем самые частые проблемы с SSL, способы их решения.
Так что же из себя представляет SSL? SSL, он же Secure Socket Layer — это интернет-протокол, который создает закрытое соединение на пути пользователь/сервер.
Если вы подключаетесь к ресурсу, тот он отправляет запрос серверной информации о сертификате. Он же отвечает положительно, если сертификат присутствует. Затем браузер получает этот же сертификат. После этого, проверяется название, период действия сертификата, корневой сертификат.
Причины ошибок SSL соединения
Если работа сертификата – выполняется правильно, то браузерная строчка будет иметь специальный значок:
Если же ошибки присутствуют, то будет выглядеть это будет по-другому:
Основными причинами данных проблем могут быть:
- Дата и время на вашем девайсе установлены неправильно;
- SSL сертификат является ненадежным;
- Брандмауэр или антивирус, не позволяющие получить доступ к ресурсу;
- Использование QUIC;
- Старая версия ОС;
- Старые, устаревшие сертификаты ;
- Появление проблемы «Invalid CSR» при генерации сертификата из панели управления облачного провайдера.
Теперь, о каждой в отдельности.
Проблема связанная с некорректными датой и временем
Период действия сертификата не сможет считаться, если на вашем девайсе стоит время и дата не соответствующие действительности.
Если причина проблемы именно в этом, то браузер выведет вам сообщение о некорректной дате и времени, как представлено на скриншоте ниже:
Чтобы избавиться от данного предупреждения, следует скорректировать время на вашем девайсе. После перезагрузки странички, проблема должна пропасть.
Проблема “Unsecured SSL-sertificate”
Случается так, что, когда вы переходите на веб-ресурс защищенный протоколом HTTPS, может появиться предупреждение о том, что «SSL-сертификат сайта не заслуживает доверия».
Установленное некорректное время, которое мы разобрали выше- одна из причин данной проблемы. Другая же причина может заключаться в том, что вы не обладаете корневым сертификатом. Чтобы исправить это, вы должны установить специальный пакет GeoTrust Primary Certification Authority, в котором и будет наш недостающий корневой сертификат.
Чтобы сделать это – после скачки вам надлежит:
- Сочетанием Win+R вывести командную строку и ввести в нее данную команду certmgr.msc. Далее нажимаем «Ок». У вас откроется окно с центром сертификатов.
- Далее, вам следует открыть пул «Доверенные корневые центры сертификации» слева. После, выберите папку «Сертификаты», кликаем по ней ПКМ, затем кликаем по «Все задачи — импорт».
- После этого у вас запустится визард импорта сертификатов. Кликаем по кнопке «Далее».
- Затем выбираем меню «Обзор» и указываем загруженный нами корневой сертификат. Кликаем по «Далее»:
- После открытия следующего окна, следует указать пункт “Поместить все сертификаты в следубщее хранилище”/ Затем нажимаем «Далее». Вы успешно импортировали ваш сертификат.
Затем перезагрузитесь и проверьте – нет ли у вас больше данной проблемы.
Брандмауэр или антивирус, блокируют ваш веб-ресурс
Иногда брандмауэр может блокировать ресуры. Чтобы проверить блокирует ли ваш брандмауэр определенный из них, вы должны отключить его и перезайти на сайт еще раз.
Если же вы смогли подключиться, то вам нужно внести его в список надежных веб-ресурсов, и тогда он будет работать даже при включенном брандмауэре.
Также ваш сертификат может быть блокирован вашим антивирусным средством. Если это так, то отключите в нем проверку протоколов SSL и HTTPS, после чего попытайтесь зайти на веб-ресурс.
Если это необходимо, то добавьте исключение для антивируса в виде необходимого нам ресурса.
Включен протокол QUIC
QUIC — протокол, который еще находиться на экспериментальной стадии. Он обеспечивает быстрое подключение к интернету. Его основной функцией является поддержка нескольких соединений. Данный протокол вы можете выключить в браузерной конфигурации.
Сейчас мы вам покажем, как отключить данный протокол в Google Chrome:
- Открыв поисковую машину, введите команду chrome://flags/#enable-quic;
- В появившемся окне будет выделено: Experimental QUIC protocol. Справа от данного параметра у вас будет меню, в котором надлежит будет поменять опцию на: Disable.
- Далее сделайте ребут, и проблема должна будет пропасть.
Данный способ работает как на Mac OS от Apple, так и в ОС от Microsoft.
Старая версия вашей ОС
SSL может выдавать ошибку по причине того, что у вас старая версия или необновленная ОС. Чаще всего она появляется на старых версиях Windows.
Для того чтобы избавиться от данной проблемы, все что вам нужно сделать – установить обновление на вашу ОС. После этого проверьте стал ли корректно работать SSL-сертификат.
Использование SSL-сертификата версии 3.0
Иногда данная проблема может появиться из-за использования веб-ресурсами устаревшего SSL-протокола версии 3.0. Для того чтобы браузер стал поддерживал устаревший протокол, вам нужно выполнить данные пункты:
- Вы должны откройть браузер и в нем открыть«Настройки».
- Проскрольте вниз по страничке и выберите пункт «Дополнительные».
- В нем найдите раздел «Система» и выберите параметр «Настройки прокси-сервера» и с помощью ПКМ откройте его.
Откроется окно параметров, где вы можете настроить свой прокси.
- Затем переключите нужный вам параметр. Затем кликните по «Ok» и далее выполните перезагрузку браузера.
Ошибки «Invalid CSR» при генерации сертификата из панели управления облачного провайдера
Пока вы будете активировать сертификат, есть шанс получить данную проблему: «Invalid CSR». Причинами данной проблемы могут быть:
- Некорректное имя FQDN, как Common Name. В этом поле нужно указать полное доменное имя по типу: domain.com или subdomain.domain.com (для субдоменов). Имя домена должно указываеться без https://. Вы не можете использовать интранет-имена (text.local). Для запроса wildcard-сертификатов доменное имя надлежит указывать как *.domain.com.
- Если в вашем CSR или пароле использованы какие либо буквы или цифры, кроме латиницы, специальные символы также не могут быть использованы в нем. Также это распространяется и на пароли для пары CSR/RSA.
- Если у вас некорректно указан код страны. Код страны должен быть двухбуквенным. Например: UK, IO, BY и т.п.
- Если в управлящей строке некорректное количество символов. CSR-запрос должен начинаться с управляющей строки —–BEGIN CERTIFICATE REQUEST—– и заканчиваться управляющей строкой —–END CERTIFICATE REQUEST—–. С каждой стороны у этих строк должно быть по 5 дефисов.
- Если в начале или в конце строки CSR некорректно стоят пробелы. В конце строки CSR нельзя использовать пробел.
- При некорректном количестве символом в ключе. Его вес должен быть больше 256 байт.
- Если В CRS-коде для сертификата для одного доменного имени использовано некорректное имя. Например SAN-имя. В CSR-коде для сертификата, предназначенного защитить одно доменное имя, не должно быть SAN (Subject Alternative Names). SAN-имена указываются для мультидоменных (UCC) сертификатов.
- Если вы пересоздали или увеличили срок сертификата, и поле Common Name притерпело изменения. Данное поле должно оставаться постояннымЭто поле не должно меняться.
Как исправить ошибки SSL-сертификата Google Chrome за несколько простых шагов
Нет ничего более неприятного, чем ошибка сертификата SSL, как для владельцев веб-сайтов, так и для пользователей. Если вы уверены, что выполнили все необходимые шаги по установке SSL-сертификата только для того, чтобы Chrome сообщил вам, что что-то не так с безопасностью вашего сайта, у вас может возникнуть соблазн поднять руки и полностью сдаться.Пользователей раздражает попытка получить доступ к сайту только для того, чтобы получить сообщение «Ваше соединение не защищено» вместе с предупреждением «Небезопасно» в адресной строке. Здесь следует подчеркнуть, что это сообщение предназначено исключительно для вашей защиты и в большинстве случаев является законным. Тем не менее, иногда на стороне пользователя может возникнуть проблема, которая может вызвать это предупреждение. К счастью, решить эти проблемы не так уж сложно. Иногда на самом деле это довольно просто. В этой статье блога вы узнаете, почему в Google Chrome может отображаться сообщение об ошибке сертификата SSL, а также о том, как их исправить, независимо от того, являетесь ли вы владельцем веб-сайта или пользователем.
Существует ряд причин, по которым SSL-сертификат вашего веб-сайта может считаться недействительным в Google Chrome. Некоторые причины:
- Ошибки в процессе установки сертификата, нехватает промежуточного сертификата, например;
- Срок действия вашего SSL-сертификата истек;
- Ваш SSL-сертификат действителен только для основного домена, а не для поддоменов;
- У вас установлен самозаверенный SSL-сертификат, или вы не приобрели его в доверенном Центре сертификации;
Для тех, кто пытается получить доступ к явно небезопасному веб-сайту, есть несколько вещей, которые вы можете сделать в своем браузере и операционной системе, чтобы решить проблему:
- Проверьте время и дату: нет, только не на ваших наручных часах или календаре, а на операционной системе вашего устройства. Это может показаться незначительным соображением, но если время вашего устройства полностью расходится со сроком действия сертификата SSL, он будет считаться устревшим. Если это проблема, сообщение может также сказать «NET :: ERR_CERT_DATE_INVALID».
- Очистить кеш для этого веб-сайта: файлы cookie веб-сайта могут вызывать появление сообщения об ошибке, если, например, в вашем браузере, есть кэшированный старый сертификат SSL для этого веб-сайта. Вы также можете встретить «ERR_TOO_MANY_REDIRECTS» как часть вашего сообщения об ошибке.
Очистить файлы cookie в Chrome очень просто, нажмите Ctrl + Shift + Del или:
- Откройте Chrome и щелкните меню (три вертикальные точки в правом верхнем углу браузера).
- В раскрывающемся меню щелкните Параметры. В конце страницы нажмите «Дополнительно».
- В поле «Конфиденциальность и безопасность» выберите «Очистить данные просмотра».
- Здесь вы можете удалить все данные о просмотре или только файлы cookie, относящиеся к сайту, который вы пытаетесь посетить.
- Обновите Chrome и вашу операционную систему. Иногда ошибка сертификата SSL может быть просто связана с использованием устаревшей версии Chrome. Чтобы убедиться, что у вас последняя версия, щелкните меню. Если у вас старая версия браузера, вы увидите кнопку «Обновить Google Chrome». Пока вы работаете, убедитесь, что на вашем устройстве установлена самая последняя версия операционной системы, так как это также может способствовать появлению сообщений об ошибках (например, когда не установлены, обновлены корневые сертификаты центров сертификации).
- Отключить расширения Chrome: иногда настройки определенных расширений браузера могут мешать доступу к веб-странице. Чтобы узнать, работает ли это, когда вы отключите свои расширения, снова зайдите в настройки. Щелкните Расширения в меню слева. Отключите ваши расширения и перезапустите браузер.
- Проверьте брандмауэр / антивирусное программное обеспечение: иногда настройки антивирусного программного обеспечения могут рассматривать определенный трафик HTTPS, как подозрительный. Чтобы узнать, не мешает ли это вашему доступу к определенным сайтам, вы можете либо полностью отключить брандмауэр или антивирус, либо (если он имеет этот параметр) отключить сканирование SSL. Этот вариант следует использовать только в том случае, если вы уверены, что веб-сайт, к которому вы пытаетесь получить доступ, действительно безопасен.
Если вы попробовали все эти исправления и ничего не помогло, скорее всего, это реальная проблема с сертификатом SSL самого веб-сайта, как описано в предыдущем разделе. В этом случае вы также можете получить одно из следующих сообщений:
Эта страница недоступна -
-
NET :: ERR_CERT_COMMON_NAME_INVALID;
-
NET :: ERR_CERT_REVOKED;
-
NET :: ERR_CERT_AUTHORITY_INVALID;
-
ERR_SSL_WEAK_EPHEMERAL_DH_KEY;
-
ERR_SSL_VERSION_OR_CIPHER_MISMATCH.
Если вы все еще хотите получить доступ к сайту, у вас есть два варианта:
- Свяжитесь с веб-мастером или владельцем веб-сайта и сообщите им, что с их сертификатом SSL возникла проблема.
- (Мы категорически не рекомендуем этот.) Продолжайте переходить на сайт с небезопасным соединением на свой страх и риск.
Сообщения об ошибках сертификата SSL Chrome могут быть проблемой, но очень часто можно быстро найти решение, особенно со стороны пользователя. Если вы недавно приобрели и установили SSL-сертификат для своего веб-сайта у нас, который вызывает сообщения об ошибках в Chrome и не можете понять причину, обратитесь в нашу службу технической поддержки.
Что означают ошибки сертификата SSL: причины и способы их устранения
Что вы думаете о веб-сайте, который отображает ошибки сертификата SSL/TLS при посещении? Большинство людей отказываются от него в разочаровании. Определенная доля доверия и уважения к сервису теряется. После того, как вы вложили много усилий и времени в то, чтобы заставить пользователей посетить ваш сайт, и пользователь обнаружил, что сайт не работает или показывает предупреждение, это приведет к тому, что пользователи будут недовольны.
Более того, если простои или предупреждения связаны с проблемами безопасности, это также нанесет ущерб вашему имиджу бренда.
Работая над улучшением функции мониторинга SSL-сертификатов в Sematext Synthetics, нашем решении для синтетического мониторинга, мы многое узнали о том, как браузеры и другие клиенты обрабатывают SSL-сертификаты, и об ошибках, вызванных недействительными сертификатами. Итак, в этом посте я поделюсь списком наиболее распространенных ошибок SSL-сертификата, которые могут привести к блокировке вашего веб-сайта браузером, и советами о том, как их предотвратить или исправить . Я также покажу, как использовать Sematext Synthetics для мониторинга SSL-сертификатов вашего веб-сайта.
Что такое сертификат SSL/TLS?
SSL означает Secure Sockets Layer, стандартный протокол безопасности, который обеспечивает зашифрованную связь между клиентом (веб-браузером) и сервером (веб-сервером). Безопасность транспортного уровня (TLS) является преемником протокола SSL.
SSL-сертификаты — это файлы данных, размещенные на сервере, которые делают возможным шифрование SSL. Они содержат открытый ключ и идентификатор сервера. Сертификаты SSL — это цифровые сертификаты, выданные законным сторонним центром сертификации, подтверждающие личность владельца сертификата.
Всякий раз, когда вы посещаете веб-сайт, URL-адрес которого начинается с HTTPS, это означает, что на сервере включен SSL. Прежде чем веб-браузер извлечет данные с сервера, он извлечет сертификаты SSL для проверки подлинности сервера.
Зачем вам нужен SSL-сертификат?
SSL помогает защитить конфиденциальную информацию, такую как имена пользователей, пароли, кредитные карты и т. д., путем шифрования данных между клиентом и сервером. Вам нужен SSL по трем причинам: конфиденциальность, целостность и идентификация .
SSL-сертификат помогает браузеру идентифицировать веб-сайт. Используя SSL-сертификаты, браузер может гарантировать, что он подключен именно к тому веб-сайту, на который намеревался перейти пользователь. Сертификаты SSL гарантируют, что вы являетесь законным и проверенным владельцем веб-сайта.
Излишне говорить, что вы всегда должны быть в курсе любых сообщений об ошибках SSL, которые вы или посетители вашего сайта могут получить об ошибках, связанных с сертификатом вашего веб-сайта.
Что такое ошибка сертификата SSL?
Когда браузер подключается к вашему защищенному веб-сайту, веб-сервер возвращает список SSL-сертификатов для подтверждения своей личности. Браузер выполняет различные проверки этих SSL-сертификатов. Только когда все проверки пройдены, браузер продолжит показывать сайт пользователю.
Ошибка сертификата SSL возникает, когда браузер не может проверить сертификаты SSL, возвращенные сервером. Когда возникает ошибка, браузер блокирует веб-сайт и предупреждает пользователя о том, что веб-сайту нельзя доверять, как показано ниже. Эти предупреждения негативно повлияют на доверие пользователя к вашему сайту.
Точные проверки и сообщения об ошибках, отображаемые пользователю, могут различаться в зависимости от браузера.
Типы ошибок SSL-сертификата: причины и способы их устранения
Ошибки SSL-сертификата могут быть вызваны различными причинами. Вот наиболее распространенных типов ошибок SSL и как их предотвратить или исправить :
1. Сертификат с истекшим сроком действия
Это наиболее распространенная причина ошибок сертификата SSL. Эта ошибка означает, что срок действия SSL-сертификата истек. Каждый сертификат имеет срок действия. Клиент будет отклонять сертификаты, срок действия которых истек. Срок действия обычно составляет около одного года. Поэтому легко забыть обновить сертификаты до истечения срока их действия.
Браузер выполняет эту проверку всех сертификатов в вашей цепочке (конечных, промежуточных и корневых) на предмет истечения срока действия. Вы должны убедиться, что и листовые, и промежуточные сертификаты не просрочены.
Это также может произойти, если время браузера установлено неправильно.
Исправление : Обновите SSL-сертификаты вашего веб-сервера новыми действительными сертификатами.
Совет . Чтобы предотвратить ошибки из-за просроченных сертификатов, следите за датой истечения срока действия SSL-сертификата и обновляйте сертификаты до истечения срока их действия. Используйте диспетчер сертификатов, например AWS Certificate Manager или Let’s Encrypt, для автоматического обновления сертификатов до истечения срока их действия.
2. Неактивный сертификат
Ошибка неактивного сертификата возникает, когда браузер получает сертификат SSL, срок действия которого еще не начался. В настоящее время принято использовать диспетчер сертификатов для управления сертификатами для вашего сервера. Менеджер автоматически развернет новые сертификаты, срок действия которых начинается во время развертывания. Если время клиентского компьютера отстает на 5 минут из-за неправильной настройки или по другим причинам, клиент отклонит сертификат. Это наиболее распространено в случае клиентов API, когда часы клиентского компьютера не синхронизированы.
Исправление : Замените сертификат SSL новым сертификатом с допустимым временем начала. Убедитесь, что часы клиентской машины синхронизированы с сервером.
Совет . Чтобы избежать развертывания сертификатов, которые еще не активны, проверьте время начала действия перед развертыванием сертификата на сервере. Кроме того, при использовании диспетчера сертификатов для управления вашим сертификатом убедитесь, что вы получаете уведомление об изменении сертификата вместе с подробной информацией о новом сертификате.
3. Срок действия сертификата превышает 398 дней
Ранее в этом году, чтобы обеспечить безопасную веб-среду для пользователя, CA/B Forum решил ограничить срок действия всех вновь выпущенных сертификатов до 398 дней. С 1 сентября 2020 года все основные браузеры (Google Chrome, Mozilla Firefox и Apple Safari) будут отклонять сертификаты, выпущенные после этой даты, со сроком действия более 398 дней.
Исправление : заменить сертификат новым сертификатом, срок действия которого меньше 398 дней.
Совет : Из-за уменьшения срока действия сертификатов вам придется чаще заменять сертификаты. Для управления сертификатами рекомендуется использовать диспетчер сертификатов. Мониторинг срока действия вашего сертификата поможет, предупредив вас до того, как это произойдет.
4. Отсутствует имя хоста
Эта ошибка означает, что имя хоста веб-сайта отсутствует в сертификате. Чтобы предотвратить атаки «человек посередине», браузер проверяет, обращается ли он к правильному серверу. Браузер сверяет имя хоста веб-сайта со списком имен хостов, присутствующих в листовом сертификате. Если совпадений нет, клиент решит, что он обращается не к тому серверу, отклонит сертификат и заблокирует соединение. Сведения об имени хоста представлены в полях commonName и subjectAltName (SAN) конечного сертификата.
Исправление : При повторном использовании сертификата на нескольких веб-сайтах или поддоменах убедитесь, что сертификаты охватывают доменные имена всех веб-сайтов.
Совет : Используйте сертификат с подстановочными знаками, чтобы охватить все ваши поддомены, или сертификат SAN, чтобы охватить несколько имен хостов.
5. Неверная/неполная цепочка сертификатов
Ошибка неверной или неполной цепочки сертификатов возникает, когда браузер не может установить действительную цепочку доверия между сертификатами вашего браузера и списком доверенных корневых сертификатов.
Каждый браузер поддерживает набор доверенных корневых сертификатов. Когда браузер получает сертификаты с сервера, он начинает цепочку сертификатов вашего веб-сайта, пока не достигнет любого из доверенных корневых сертификатов. Он попытается установить цепочку доверия SSL — упорядоченный список сертификатов, которые позволяют браузеру удостоверить, что сервер веб-сайта и центр сертификации заслуживают доверия. Если браузер не может установить цепочку для ваших сертификатов, например, из-за отсутствия промежуточных сертификатов, он отклонит сертификаты.
Исправление : Разверните и настройте веб-сервер для возврата конечного сертификата и всех промежуточных сертификатов.
Совет . Чтобы предотвратить ошибку цепочки сертификатов из-за отсутствия промежуточных сертификатов, всегда развертывайте конечный и все промежуточные сертификаты на своем сервере.
6. Отозванный сертификат
Эта ошибка возникает, когда любой из конечных или промежуточных сертификатов вашего веб-сайта отозван и присутствует в списке отозванных сертификатов.
Центр сертификации отзывает скомпрометированные сертификаты до истечения срока их действия. Центр сертификации ведет список отозванных сертификатов в списке отзыва сертификатов (CRL). При загрузке веб-сайта браузер проверяет, присутствует ли какой-либо из сертификатов в цепочке в CRL. Если какой-либо из сертификатов в вашей цепочке присутствует в CRL, браузер отклонит ваши сертификаты. Каждый браузер имеет свой механизм проверки статуса отзыва сертификатов.
Чтобы проверить статус отзыва сертификатов, необходимо либо периодически запрашивать список отзыва сертификатов, либо использовать сетевой протокол статуса сертификата (OCSP) для проверки статуса сертификата. Эти механизмы трудно реализовать.
Исправление : заменить отозванный сертификат новым сертификатом. Кроме того, выясните причину отзыва сертификата.
Совет : Вы можете использовать инструменты мониторинга SSL-сертификатов, такие как монитор Sematext Synthetics Browser, который использует настоящий браузер Google Chrome для мониторинга вашего веб-сайта. Браузер проверяет статус отзыва сертификатов вашего веб-сайта и предупреждает вас, когда сертификат присутствует в CRL браузера.
7. Ненадежный центр сертификации
Эта ошибка означает, что браузер не может найти корневой сертификат в локальном хранилище доверенных сертификатов. При установлении цепочки доверия SSL, если браузер не может найти какие-либо локально доверенные корневые сертификаты, он не будет доверять сертификату сервера. Использование самозаверяющих сертификатов также вызовет эту проблему, поскольку браузер не может им доверять.
Исправление : Если вы хотите использовать самозаверяющий сертификат для своего веб-сайта, вручную добавьте сертификат в хранилище доверенных сертификатов браузера.
Совет : Чтобы избежать этого, всегда покупайте сертификаты в надежном центре сертификации. Например, в Sematext мы раньше получали их от Digicert, а потом перешли на AWS Certificate Manager. У нас Digicert работал безупречно, но мы перешли на AWS Certificate Manager. Учитывая, что мы уже используем AWS, это упростило наше управление за счет исключения одного дополнительного поставщика, к тому же это было совершенно бесплатно.
8. Алгоритм небезопасной подписи
Предупреждение о небезопасном SSL появляется, когда любой из SSL-сертификатов, возвращаемых вашим веб-сервером, использует старый устаревший алгоритм хеширования SHA-1.
Надежность хэш-функции, используемой для подписи сертификата, играет важную роль в надежности сертификата. Некоторые из старых сертификатов основаны на хеш-функции SHA-1, которая теперь считается небезопасной. Современные браузеры блокируют веб-сайты с конечными и промежуточными сертификатами, имеющими хэш-подпись SHA-1.
Исправление : сертификаты SHA-1 больше не выдаются центрами сертификации. Если у вас есть серверы, работающие с сертификатами SHA-1, рекомендуется получить новый сертификат.
9. Отсутствующая/неверная информация о прозрачности сертификата
Прозрачность сертификата — это механизм, позволяющий обнаруживать SSL-сертификаты, которые были ошибочно выданы центром сертификации или злонамеренно приобретены у безупречного в других отношениях центра сертификации. Это также позволяет идентифицировать центры сертификации, которые стали мошенниками и злонамеренно выдают сертификаты. Центр сертификации обновляет журнал прозрачности сертификатов всякий раз, когда выдает сертификат.
Когда клиент подключается, сервер отвечает сертификатами и временной меткой подписанного сертификата (SCT) для сертификата. SCT — это запись сертификата в журнале прозрачности сертификатов. Если SCT отсутствует или неверен, браузер отклонит сертификат.
Совет . Чтобы предотвратить проблемы с прозрачностью сертификата, убедитесь, что вы покупаете сертификат в надежном центре сертификации.
Мониторинг SSL-сертификатов
Лучшее, что вы можете сделать, чтобы избежать проблем с SSL-сертификатами, — это отслеживать их.
Мы узнали обо всех этих ошибках SSL-сертификатов при добавлении функции мониторинга SSL-сертификатов в Sematext Synthetics, наше решение для синтетического мониторинга, которое измеряет функциональность, доступность и производительность ваших API и веб-сайтов. Если вы хотите сравнить его с другими аналогичными сервисами, доступными на рынке, ознакомьтесь с нашим сравнением инструментов мониторинга SSL.
Вы можете отслеживать SSL-сертификаты своих веб-сайтов с помощью монитора Sematext Synthetics Browser. Монитор браузера выполняет следующие проверки SSL-сертификатов для всех сертификатов в цепочке — конечных, промежуточных и корневых сертификатов.
- Проверка сертификата — проверьте действительность SSL-сертификатов ваших веб-сайтов. Монитор использует настоящий браузер Google Chrome для загрузки ваших веб-сайтов, как ваш пользователь. Это уловит все ошибки, упомянутые выше, и предупредит вас сразу же, прежде чем ваш конечный пользователь увидит их.
- Срок действия сертификата — Ежедневно проверяйте срок действия сертификатов и оповещайте вас за 28, 14, 7 и 3 дня до истечения срока действия.
- Изменение сертификата — Проверять изменение сертификата каждые 10 минут и предупреждать вас об обнаружении любых изменений с подробным отчетом об изменениях.
Synthetics также предоставляет отчет о сертификатах SSL с подробной информацией обо всех сертификатах в цепочке, как показано ниже.
Sematext Synthetics оповещает вас по нескольким каналам, таким как PageDuty, Telegram, Slack, электронная почта и т. д. Или вы можете посмотреть наше короткое видео о синтетическом мониторинге с сематекстом ниже.
Если вы заинтересованы в повышении общей производительности вашего веб-сайта и обеспечении максимального удобства для ваших пользователей, мы рекомендуем вам не ограничиваться мониторингом своих SSL-сертификатов и выбрать инструмент с множеством функций. Вот несколько сообщений в блогах, которые мы написали, чтобы помочь вам:
- Лучшие инструменты для мониторинга производительности веб-сайта
- Лучшие инструменты для тестирования скорости веб-сайта
- Лучшие инструменты для мониторинга времени работы веб-сайта
- Лучшие синтетические инструменты мониторинга
Начать бесплатную пробную версию
Простое объяснение ошибок SSL-сертификата и способы их исправления
Сегодня в Интернете насчитывается более 170 миллионов веб-сайтов с SSL-сертификатом, и ожидается, что это число будет расти поскольку все больше поисковых систем и потребителей отдают предпочтение этим сайтам.
SSL-сертификат делает ваш сайт более надежным. Ошибка SSL делает обратное. И если клиенты больше не доверяют вам, вы можете ожидать, что они обратятся к конкуренту, которому они действительно могут доверять.
В этом посте мы обсудим, что означает эта ошибка и что может быть ее причиной. Затем мы рассмотрим различные шаги, которые вы можете предпринять, чтобы устранить ошибку и снова запустить свой сайт. Или вы можете выбрать CMS с SSL-сертификатом, как это делает Free CMS Hub.
Что такое ошибка сертификата SSL?
Ошибка сертификата SSL возникает, когда веб-браузер не может проверить сертификат SSL, установленный на сайте. Вместо того, чтобы подключать пользователей к вашему веб-сайту, браузер будет отображать сообщение об ошибке, предупреждая пользователей о том, что сайт может быть небезопасным.
SSL-сертификат — это стандартная технология безопасности для шифрования информации между браузером посетителя и вашим веб-сайтом. Поскольку это помогает обеспечить безопасность конфиденциальной информации, такой как пароли и платежная информация, посетители чувствуют себя в большей безопасности на сайтах, зашифрованных с помощью SSL. Вы можете идентифицировать зашифрованные сайты по HTTPS в их URL-адресах и значку замка в адресной строке.
Сайты, которые не зашифрованы, могут столкнуться со снижением трафика или показателей конверсии. Мало того, что эти сайты помечены как «небезопасные» в Google Chrome, их также избегают 85% онлайн-покупателей.
К счастью, многие размещенные платформы, такие как CMS Hub и Squarespace, включают в свои планы SSL-сертификат, поэтому вам не нужно беспокоиться об его установке или обновлении.
Если вы выберете самостоятельную платформу, такую как WordPress.org, большинство хостинг-провайдеров также включит в свои планы SSL. HostGator, например, включает SSL-сертификат в свои планы самого низкого уровня. Если ваше решение не включает SSL, вы можете приобрести его у поставщика сертификатов SSL.
Допустим, вы выбрали план, который включает сертификацию SSL, или установили сертификат на свой сайт. Затем вы открываете Google Chrome и пытаетесь посетить страницу своего сайта, и вместо загрузки страницы вы получаете сообщение «ERR_SSL_PROTOCOL_ERROR». Что дает?
Источник изображения
Это ошибка SSL.
Это сообщение будет выглядеть по-разному в зависимости от двух факторов. Во-первых, это браузер, который вы используете. На предыдущем снимке экрана показано сообщение об ошибке в Google Chrome. На скриншоте ниже показано сообщение, которое вы увидите в Internet Explorer.
Источник изображения
Вторым фактором является тип возникающей ошибки сертификата SSL. Давайте посмотрим на эти различные типы ниже.
Типы ошибок SSL-сертификата
Существует несколько различных типов ошибок SSL-сертификата, которые могут возникнуть на вашем сайте. Давайте рассмотрим самые распространенные из них.
1. SSL-сертификат не доверен. Ошибка
Эта ошибка означает, что SSL-сертификат подписан или утвержден компанией, которой браузер не доверяет. Это означает, что либо компания, известная как центр сертификации (ЦС), не входит во встроенный в браузер список доверенных поставщиков сертификатов, либо сертификат был выпущен самим сервером. Сертификаты, выдаваемые сервером, часто называют самозаверяющими сертификатами.
Источник изображения
2. Ошибка несоответствия имени
Эта ошибка указывает на то, что доменное имя в сертификате SSL не соответствует URL-адресу, введенному в браузере. Это сообщение может быть вызвано чем-то простым, например «www». Допустим, сертификат зарегистрирован для www.yoursite.com, и вы вводите https://yoursite.com. Затем вы получите ошибку имени сертификата SSL.
Источник изображения
3. Ошибка смешанного содержимого
Эта ошибка указывает на то, что безопасная страница (та, которая загружается с помощью HTTPS в адресной строке) содержит элемент, загружаемый с небезопасной страницы (та, которая загружается с помощью HTTP в адресной строке). адресную строку). Даже если на странице есть только один незащищенный файл — часто это изображение, iframe, Flash-анимация или фрагмент JavaScript — ваш браузер отобразит сообщение об ошибке вместо загрузки страницы.
Источник изображения
4. Ошибка с истекшим сроком действия SSL-сертификата
Эта ошибка возникает, когда срок действия SSL-сертификата сайта истекает. Согласно отраслевым стандартам срок действия SSL-сертификатов не может превышать 398 дней. Это означает, что каждый веб-сайт должен обновлять или заменять свой SSL-сертификат не реже одного раза в два года.
В противном случае, когда вы попытаетесь загрузить свой сайт, вы увидите ошибку, которая выглядит примерно так:
Источник изображения
5. SSL Certificate Revoked Error
Эта ошибка указывает на то, что центр сертификации отменил или отозвал SSL-сертификат веб-сайта. Это может быть связано с тем, что веб-сайт получил сертификат с ложными учетными данными (случайно или намеренно), ключ был скомпрометирован или был выпущен неверный ключ. Эти проблемы приводят к следующему сообщению об ошибке:
Источник изображения
6. Общая ошибка протокола SSL
Эту ошибку особенно сложно устранить, поскольку существует несколько возможных причин, в том числе: 9. 0003
- SSL-сертификат неправильного формата, который браузер не может проанализировать.
- сертификат, который неправильно установлен на сервере.
- ошибочная, непроверенная цифровая подпись или ее отсутствие.
- использование устаревшего алгоритма шифрования.
- брандмауэр или другое программное обеспечение безопасности, препятствующее защите SSL.
- проблема в цепочке доверия сертификата, серии сертификатов, составляющих SSL-шифрование вашего сайта.
В этих случаях вы увидите общее сообщение SSL, подобное этому:
Как исправить ошибку SSL-сертификата
- Диагностируйте проблему с помощью онлайн-инструмента.
- Установите промежуточный сертификат на свой веб-сервер.
- Создайте новый запрос на подпись сертификата.
- Обновление до выделенного IP-адреса.
- Получите подстановочный SSL-сертификат.
- Измените все URL-адреса на HTTPS.
- Обновите сертификат SSL.
1. Диагностируйте проблему с помощью онлайн-инструмента.
Для начала используйте онлайн-инструмент для определения проблемы, вызывающей ошибку SSL-сертификата на вашем сайте. Вы можете использовать такой инструмент, как SSL Checker, SSL Certificate Checker или SSL Server Test, который проверит, установлен ли SSL-сертификат и срок его действия не истек, что доменное имя правильно указано в сертификате и т. д. Чтобы использовать инструмент, просто скопируйте и вставьте адрес своего сайта в строку поиска.
2. Установите промежуточный сертификат на свой веб-сервер.
Если проблема в том, что ваш ЦС не является доверенным, вам может потребоваться установить хотя бы один промежуточный сертификат на веб-сервере. Промежуточные сертификаты помогают браузерам установить, что сертификат веб-сайта был выдан действительным корневым центром сертификации.
Некоторые провайдеры веб-хостинга, такие как GoDaddy, предлагают информацию об установке промежуточных сертификатов. Итак, во-первых, дважды проверьте, предлагает ли ваш веб-хостинг возможность или инструмент для получения промежуточного сертификата.
Если нет, вам нужно перепроверить сервер вашего веб-сайта и найти инструкции для вашего сервера. Допустим, вы установили сертификат SSL от популярного провайдера Namecheap на свой Microsoft Windows Server. Затем вы можете следовать этому пошаговому руководству, чтобы установить промежуточный сертификат.
Если вы не используете Windows Server, инструкции для вашего сервера можно найти здесь.
3. Создайте новый запрос на подпись сертификата (CSR).
Если вы по-прежнему получаете сообщение об ошибке «Ненадежный сертификат», возможно, вы неправильно установили сертификат. В этом случае вы можете сгенерировать новый CSR на своем сервере и повторно выпустить его у своего поставщика сертификатов. Шаги будут различаться в зависимости от вашего сервера. Вы можете проверить этот концентратор ссылок для создания CSR на разных серверах.
4. Обновите до выделенного IP-адреса.
Если вы получаете сообщение об ошибке несоответствия имени, проблема может заключаться в вашем IP-адресе.
Когда вы вводите свое доменное имя в браузере, он сначала подключается к IP-адресу вашего сайта, а затем переходит на ваш сайт. Обычно веб-сайт имеет собственный IP-адрес. Но если вы используете тип веб-хостинга, отличный от выделенного хостинга, ваш сайт может иметь общий IP-адрес с несколькими сайтами. Если на одном из этих веб-сайтов не установлен сертификат SSL, браузер может не знать, какой сайт он должен посетить, и отображать сообщение об ошибке несоответствия имени. Чтобы решить эту проблему, вы можете перейти на выделенный IP-адрес для вашего сайта.
5. Получите подстановочный SSL-сертификат.
Если вы по-прежнему получаете сообщение об ошибке несоответствия имени, возможно, вам потребуется получить групповой SSL-сертификат. Этот тип сертификата позволит вам защитить несколько имен субдоменов, а также ваш корневой домен. Например, вы можете получить один многодоменный SSL-сертификат для всех следующих имен:
- mysite.com
- mail.mysite.com
- autodiscover.mysite.com
- blog.mysite.com
6. Измените все URL-адреса на HTTPS.
Если вы получаете сообщение об ошибке смешанного содержимого на одной из своих веб-страниц, скопируйте и вставьте URL-адрес на сайт WhyNoPadLock.com, чтобы определить небезопасные элементы. После того, как вы идентифицировали элементы, отредактируйте исходный код страницы и измените URL-адреса небезопасных элементов на HTTPS. Кроме того, вы можете взглянуть на результаты и решить, нужна ли вам дополнительная поддержка от вашего провайдера веб-хостинга.
7. Обновите сертификат SSL.
Если срок действия вашего SSL-сертификата истек, вам необходимо немедленно обновить его. Детали процесса продления меняются в зависимости от используемого вами веб-хостинга или ЦС, но шаги остаются прежними. Вам нужно будет сгенерировать CSR, активировать сертификат и установить его.