NET::ERR_CERT_AUTHORITY_INVALID: Cómo Solucionarlo (Chrome, Edge, Firefox)
¿Qué es NET::ERR_CERT_AUTHORITY_INVALID?
NET::ERR_CERT_AUTHORITY_INVALID es un error de seguridad del navegador que aparece cuando Chrome, Edge u otro navegador basado en Chromium no confía en la autoridad certificadora (CA) que firmó el certificado SSL del sitio web. El navegador bloquea la conexión y muestra la advertencia "Tu conexión no es privada" para protegerte de sitios web potencialmente fraudulentos.
A diferencia del ERR_SSL_PROTOCOL_ERROR, que indica que el handshake TLS falló en sí mismo, ERR_CERT_AUTHORITY_INVALID significa que el handshake se completó pero la validación del certificado no pasó. El navegador recibió el certificado, lo inspeccionó y determinó que no es confiable.
El código de error interno de Chromium es net::ERR_CERT_AUTHORITY_INVALID (código de error -202). Pertenece a la familia de errores de certificado, que incluye errores relacionados como ERR_CERT_DATE_INVALID y ERR_SSL_VERSION_OR_CIPHER_MISMATCH.
Cómo se ve ERR_CERT_AUTHORITY_INVALID en cada navegador
Cada navegador muestra un mensaje de error diferente para el mismo problema subyacente. Saber qué buscar te ayuda a diagnosticar si estás ante un problema de autoridad certificadora o un error SSL diferente.
| Navegador | Título de la página de error | Código de error |
|---|---|---|
| Chrome | Tu conexión no es privada | NET::ERR_CERT_AUTHORITY_INVALID |
| Edge | Tu conexión no es privada | NET::ERR_CERT_AUTHORITY_INVALID |
| Firefox | Advertencia: riesgo potencial de seguridad | SEC_ERROR_UNKNOWN_ISSUER o MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT |
| Safari | Esta conexión no es privada | No muestra código de error específico |
| Opera | Tu conexión no es privada | NET::ERR_CERT_AUTHORITY_INVALID |
| Brave | Tu conexión no es privada | NET::ERR_CERT_AUTHORITY_INVALID |
Cómo funciona la confianza en certificados SSL (cadena de confianza)
Para entender por qué ocurre este error, necesitas saber cómo los navegadores verifican los certificados SSL. Cada certificado forma parte de una cadena de confianza que se remonta hasta una autoridad certificadora raíz (CA raíz).
Cuando tu navegador se conecta a un sitio web a través de HTTPS, el servidor envía su certificado SSL junto con los certificados intermedios. El navegador entonces recorre la cadena: verifica que el certificado hoja (el del sitio web) fue firmado por una CA intermedia, y que esa CA intermedia fue firmada por una CA raíz que el navegador ya tiene como confiable. Los navegadores y sistemas operativos modernos incluyen aproximadamente 150 certificados raíz preinstalados de organizaciones como DigiCert, Let's Encrypt (ISRG Root), Sectigo y GlobalSign.
Si cualquier eslabón de esta cadena se rompe — la CA raíz no está presente, el certificado intermedio no se envió o la CA firmante no es reconocida — el navegador lanza ERR_CERT_AUTHORITY_INVALID. Para una explicación más detallada, consulta nuestra guía sobre qué es una cadena de certificados SSL.
CA raíz — autofirmada, preinstalada en el almacén de confianza de tu sistema operativo/navegador (~150 raíces confiables)
CA intermedia — firmada por la CA raíz, debe ser enviada por el servidor durante el handshake TLS
Certificado hoja — el certificado de tu sitio web, firmado por la CA intermedia
Validación — el navegador recorre la cadena desde el certificado hoja hasta la raíz; cada firma debe verificarse correctamente
¿Qué causa NET::ERR_CERT_AUTHORITY_INVALID?
Este error tiene causas tanto del lado del servidor (problema del sitio web) como del lado del cliente (problema de tu dispositivo). Si el error aparece en un solo sitio web, el problema es casi seguro del servidor. Si aparece en varios o todos los sitios HTTPS, el problema está en tu dispositivo.
| Causa | Lado | Frecuencia | Verificación rápida |
|---|---|---|---|
| Certificado autofirmado | Servidor | Muy común | Revisa el emisor del certificado en el candado del navegador |
| Certificado intermedio faltante | Servidor | Común | Usa el SSL Checker de DNS Robot para verificar la cadena |
| Certificado SSL expirado | Servidor | Común | Revisa las fechas del certificado en el navegador o en el SSL Checker |
| Certificado emitido para otro dominio | Servidor | Ocasional | Compara el CN/SAN del certificado con el dominio de la URL |
| Fecha y hora del sistema incorrectas | Cliente | Común | Verifica el reloj de tu dispositivo |
| Sistema operativo o navegador desactualizado | Cliente | Común | Faltan nuevas CA raíz como ISRG Root X1 |
| Intercepción SSL del antivirus | Cliente | Moderada | El antivirus reemplaza el certificado con su propia CA |
| Proxy o firewall corporativo | Cliente | Moderada | Un proxy MITM inyecta un certificado no confiable |
| Certificado en caché obsoleto | Cliente | Ocasional | Certificado antiguo en la caché SSL del navegador |
| Interferencia de extensiones del navegador | Cliente | Rara | Extensiones de VPN o seguridad que modifican el tráfico |
Soluciones para visitantes (lado del cliente)
Si estás viendo NET::ERR_CERT_AUTHORITY_INVALID al navegar un sitio web que no controlas, prueba estas soluciones en orden. Empieza por las verificaciones más rápidas — el problema suele ser más sencillo de lo que parece.
Solución 1: Verifica la fecha y hora del sistema
Un reloj del sistema incorrecto es una de las causas más ignoradas de los errores de certificado. Los certificados SSL tienen una ventana de validez (fechas "No antes de" y "No después de"). Si tu dispositivo cree que estamos en 2020 cuando en realidad es 2026, un certificado emitido en 2025 aparecerá como "aún no válido" y el navegador lo rechazará.
Esta solución toma 10 segundos y resuelve el problema con más frecuencia de lo que la gente espera, especialmente después de un fallo de la batería del BIOS, una restauración de snapshot de máquina virtual o una desincronización del reloj en sistemas con arranque dual.
# Windows — verificar y sincronizar la hora del sistema
w32tm /query /status
w32tm /resync
# macOS — habilitar sincronización automática
sudo sntp -sS time.apple.com
# Linux — sincronizar con NTP
sudo timedatectl set-ntp true
timedatectl statusSolución 2: Prueba en modo incógnito o navegación privada
Abrir el sitio web en una ventana de incógnito descarta de una vez problemas con la caché del navegador, las cookies y las extensiones. Si el sitio carga correctamente en incógnito, el problema es un certificado en caché o una extensión que está interfiriendo, no el sitio web en sí.
Para abrir el modo incógnito: pulsa Ctrl+Shift+N en Chrome o Edge, o Ctrl+Shift+P en Firefox.
Solución 3: Limpia la caché y las cookies del navegador
Los navegadores almacenan en caché la información de los certificados SSL para acelerar las conexiones posteriores. Si un sitio web renovó o reemplazó recientemente su certificado, tu navegador podría mantener el certificado antiguo (inválido) en caché, causando el error ERR_CERT_AUTHORITY_INVALID aunque el servidor ya tenga un certificado válido.
# Chrome: Limpiar caché con atajo de teclado
# Windows/Linux: Ctrl+Shift+Delete
# macOS: Cmd+Shift+Delete
# Selecciona "Imágenes y archivos en caché" y "Cookies" → Borrar datos
# Firefox: Limpiar caché
# Ctrl+Shift+Delete → selecciona "Caché" y "Cookies" → Limpiar ahoraSolución 4: Limpia el estado SSL (Windows)
Windows mantiene una caché de certificados SSL independiente a nivel del sistema operativo, separada de la caché del navegador. Limpiar esta caché obliga a Windows a descargar y validar los certificados desde cero.
# Método 1: Mediante Opciones de Internet
# Abre Opciones de Internet (inetcpl.cpl) → pestaña Contenido → botón "Borrar estado SSL"
# Método 2: Por línea de comandos
# Abre el Símbolo del sistema como Administrador:
certutil -URLcache * deleteSolución 5: Desactiva las extensiones del navegador
Las extensiones de seguridad, VPN, bloqueadores de anuncios y herramientas de privacidad pueden interferir con las conexiones SSL. Algunas extensiones actúan como un proxy local, interceptando el tráfico HTTPS y reemplazando los certificados, lo que provoca ERR_CERT_AUTHORITY_INVALID.
Desactiva temporalmente todas las extensiones para hacer la prueba: ve a chrome://extensions/ y desactiva cada una, luego recarga el sitio web. Si el error desaparece, reactiva las extensiones una por una para identificar cuál es la responsable.
Solución 6: Actualiza tu sistema operativo y navegador
Los certificados CA raíz se distribuyen a través de actualizaciones del sistema operativo y del navegador. Si tu sistema operativo está desactualizado, es posible que tu almacén de confianza no incluya las CA raíz más recientes. Por ejemplo, el certificado ISRG Root X1 (usado por Let's Encrypt) solo se agregó a versiones antiguas de Android y Windows mediante actualizaciones. Los dispositivos con Android 7.0 o anterior pueden no tener este certificado raíz.
Chrome y Edge dependen del almacén de confianza del sistema operativo en Windows y macOS, mientras que Firefox trae el suyo propio. Mantener tanto el sistema operativo como el navegador actualizados garantiza que tengas los certificados raíz de confianza más recientes.
Solución 7: Desactiva el escaneo SSL/HTTPS del antivirus
Los antivirus como Kaspersky, Avast, ESET y Bitdefender suelen incluir una función de "escaneo HTTPS" o "intercepción SSL". Esta función actúa como intermediario (man-in-the-middle): descifra tu tráfico HTTPS con su propio certificado, lo analiza y lo vuelve a cifrar. Si el certificado CA del antivirus no está instalado en el almacén de confianza de tu navegador, todos los sitios HTTPS mostrarán ERR_CERT_AUTHORITY_INVALID.
Para verificar: desactiva temporalmente la función de escaneo HTTPS en la configuración de tu antivirus (no todo el antivirus, solo el componente de escaneo SSL/web). Si el error desaparece, puedes dejar el escaneo desactivado o reinstalar el certificado raíz del antivirus en tu navegador.
Solución 8: Vacía la caché DNS
En casos poco frecuentes, una caché DNS obsoleta puede dirigir tu navegador a la dirección IP equivocada — una que sirve un certificado SSL diferente (e inválido). Vaciar la caché DNS asegura que tu dispositivo resuelva el dominio al servidor correcto. Para una guía completa, consulta cómo vaciar la caché DNS.
# Windows
ipconfig /flushdns
# macOS
sudo dscacheutil -flushcache && sudo killall -HUP mDNSResponder
# Linux
sudo systemd-resolve --flush-caches
# Caché DNS interna de Chrome
# Navega a: chrome://net-internals/#dns → "Clear host cache"Solución 9: Prueba con otra red
Las redes corporativas, el Wi-Fi de escuelas y algunos puntos de acceso públicos utilizan proxies transparentes que interceptan las conexiones HTTPS. Estos proxies reemplazan el certificado SSL del sitio web con uno propio, lo que provoca ERR_CERT_AUTHORITY_INVALID. Cambiar a datos móviles o a otra red Wi-Fi confirma si la red es el problema.
Si el error solo aparece en tu red de trabajo o de la escuela, contacta al administrador de red — puede que necesite instalar el certificado raíz del proxy en tu dispositivo o excluir el dominio del escaneo SSL.
Soluciones para propietarios de sitios web (lado del servidor)
Si los visitantes reportan ERR_CERT_AUTHORITY_INVALID en tu sitio web, el problema está en la configuración de tu certificado SSL. Aquí tienes las soluciones del lado del servidor, ordenadas de más a menos frecuentes.
Solución 1: Instala un certificado de una CA de confianza
Los certificados autofirmados son la causa número 1 de ERR_CERT_AUTHORITY_INVALID para propietarios de sitios web. Si generaste tu propio certificado con OpenSSL o una herramienta similar, los navegadores nunca confiarán en él — la autoridad firmante (tú) no está en el almacén de confianza de ningún navegador.
La solución es instalar un certificado de una autoridad certificadora públicamente reconocida. Let's Encrypt ofrece certificados gratuitos y automatizados en los que confían todos los navegadores principales. Para sitios comerciales, certificados de pago de DigiCert, Sectigo o GlobalSign ofrecen validación extendida (EV) y periodos de validez más largos.
# Instalar certificado de Let's Encrypt con Certbot (Nginx)
sudo certbot --nginx -d example.com -d www.example.com
# Instalar certificado de Let's Encrypt con Certbot (Apache)
sudo certbot --apache -d example.com -d www.example.com
# Verificar el certificado instalado
sudo certbot certificatesSolución 2: Instala la cadena completa de certificados
Un certificado intermedio faltante es la segunda causa más común del lado del servidor. Tu certificado SSL puede ser perfectamente válido, pero si el servidor no envía el certificado de la CA intermedia junto con él, el navegador no puede verificar la cadena de confianza y lanza ERR_CERT_AUTHORITY_INVALID.
Usa el SSL Checker de DNS Robot para verificar tu cadena de certificados. Una cadena saludable muestra tres certificados: CA raíz > CA intermedia > Tu certificado. Si falta el intermedio, necesitas configurar tu servidor para enviar la cadena completa.
# Verificar tu cadena de certificados con OpenSSL
openssl s_client -connect example.com:443 -showcerts 2>/dev/null | grep -E 's:|i:'
# Resultado esperado (3 certificados en la cadena):
# s:CN = example.com (tu certificado)
# i:CN = R11 (intermedio - Let's Encrypt)
# s:CN = R11
# i:CN = ISRG Root X1 (CA raíz)
# Nginx — configurar la cadena completa
# ssl_certificate debe apuntar al archivo fullchain, no solo al cert:
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
# Apache — configurar la cadena completa
SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pemSolución 3: Renueva un certificado expirado
Los certificados expirados son rechazados inmediatamente por todos los navegadores. Chrome específicamente muestra ERR_CERT_AUTHORITY_INVALID (en lugar de ERR_CERT_DATE_INVALID) en algunos casos cuando la CA intermedia del certificado expirado también ha rotado. Verifica la fecha de expiración de tu certificado con el SSL Checker o desde la línea de comandos.
# Verificar la fecha de expiración del certificado
openssl s_client -connect example.com:443 2>/dev/null | openssl x509 -noout -dates
# Resultado:
# notBefore=Jan 1 00:00:00 2026 GMT
# notAfter=Apr 1 00:00:00 2026 GMT
# Forzar renovación con Certbot
sudo certbot renew --force-renewal
# Reiniciar el servidor web después de la renovación
sudo systemctl reload nginx # Nginx
sudo systemctl reload apache2 # ApacheSolución 4: Asegúrate de que el certificado coincida con tu dominio
Un certificado SSL se emite para nombres de dominio específicos que aparecen en los campos Common Name (CN) y Subject Alternative Name (SAN). Si tu sitio web se accede por www.example.com pero el certificado solo cubre example.com, o si accedes a un subdominio que no está incluido en el SAN, Chrome puede mostrar ERR_CERT_AUTHORITY_INVALID.
Los certificados wildcard (*.example.com) cubren todos los subdominios pero no el dominio raíz, a menos que esté listado explícitamente como SAN. Siempre incluye tanto example.com como *.example.com al generar un certificado wildcard.
Solución 5: Revisa la configuración TLS del servidor
Una configuración TLS incorrecta puede causar problemas de confianza en el certificado incluso con un certificado válido. Asegúrate de que tu servidor soporte TLS 1.2 y TLS 1.3 — los protocolos antiguos como TLS 1.0 y 1.1 fueron desactivados por todos los navegadores principales desde 2020. También verifica que el servidor envíe los certificados en el orden correcto (primero el hoja, luego los intermedios).
# Configuración TLS recomendada para Nginx
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;
ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';
# Probar tu configuración TLS
openssl s_client -connect example.com:443 -tls1_2
openssl s_client -connect example.com:443 -tls1_3ERR_CERT_AUTHORITY_INVALID en localhost (desarrolladores)
Los desarrolladores encuentran este error con frecuencia al ejecutar servidores HTTPS locales para desarrollo. Dado que los certificados de localhost siempre son autofirmados, Chrome los bloquea por defecto. Existen varias formas de manejarlo.
mkcert — la solución más fácil. Instala
mkcert, ejecutamkcert -installpara agregar una CA local a tu almacén de confianza, y luego genera certificados:mkcert localhost 127.0.0.1 ::1. Se reconocen automáticamente en Chrome, Firefox y EdgeTruco de Chrome — escribe
thisisunsafeen la página de error (no hay campo de texto — simplemente escribe con el teclado). Esto omite la advertencia solo para la sesión actualFlag de Chrome — navega a
chrome://flags/#allow-insecure-localhosty actívalo. Esto suprime los errores de certificado solo paralocalhostVite/Next.js/Webpack — la mayoría de los servidores de desarrollo soportan flags
--httpsque generan certificados autofirmados. Combínalo con mkcert para una configuración local de confianza
# Instalar mkcert (macOS)
brew install mkcert
mkcert -install
# Generar certificado para localhost
mkcert localhost 127.0.0.1 ::1
# Crea: localhost+2.pem y localhost+2-key.pem
# Usar con Node.js
const https = require('https');
const fs = require('fs');
https.createServer({
cert: fs.readFileSync('localhost+2.pem'),
key: fs.readFileSync('localhost+2-key.pem')
}, app).listen(3000);Errores de certificado SSL relacionados
NET::ERR_CERT_AUTHORITY_INVALID es solo uno de varios errores de certificado SSL que puedes encontrar. Cada error apunta a un problema diferente en el proceso de validación del certificado.
| Código de error | Significado | Guía de DNS Robot |
|---|---|---|
| ERR_CERT_AUTHORITY_INVALID | Certificado no firmado por una CA de confianza | Este artículo |
| ERR_SSL_PROTOCOL_ERROR | El handshake TLS falló antes de verificar el certificado | [Guía de solución](/blog/err-ssl-protocol-error-fix) |
| ERR_SSL_VERSION_OR_CIPHER_MISMATCH | No hay versión TLS o suite de cifrado compartida | [Guía de solución](/blog/err-ssl-version-or-cipher-mismatch) |
| ERR_CERT_DATE_INVALID | Certificado expirado o aún no válido | Verifica las fechas del certificado |
| ERR_CERT_COMMON_NAME_INVALID | El dominio del certificado no coincide con la URL | Verifica los campos SAN/CN |
| NET::ERR_CERT_REVOKED | El certificado fue revocado por la CA emisora | Vuelve a emitir el certificado |
Verifica tu cadena de certificados SSL ahora
Usa el SSL Checker gratuito de DNS Robot para verificar tu cadena de certificados, fechas de expiración y configuración TLS. Detecta al instante certificados intermedios faltantes, certificados expirados y discrepancias de dominio.
Try SSL CheckerFrequently Asked Questions
Significa que tu navegador no confía en la autoridad certificadora que firmó el certificado SSL del sitio web. El certificado puede ser autofirmado, emitido por una CA desconocida o le puede faltar la cadena de certificados intermedios.