NET::ERR_CERT_AUTHORITY_INVALID: Como Corrigir (Chrome, Edge, Firefox)
O Que É NET::ERR_CERT_AUTHORITY_INVALID?
NET::ERR_CERT_AUTHORITY_INVALID é um erro de segurança do navegador que aparece quando o Chrome, Edge ou outro navegador baseado em Chromium não confia na autoridade certificadora (CA) que assinou o certificado SSL do site. O navegador bloqueia a conexão e exibe o aviso "Sua conexão não é particular" para protegê-lo de sites potencialmente fraudulentos.
Diferente do ERR_SSL_PROTOCOL_ERROR, que significa que o handshake TLS falhou, o ERR_CERT_AUTHORITY_INVALID significa que o handshake foi concluído, mas a etapa de validação do certificado falhou. O navegador recebeu o certificado, inspecionou-o e decidiu que não é confiável.
O código de erro interno do Chromium é net::ERR_CERT_AUTHORITY_INVALID (código de erro -202). Ele pertence à família de erros de certificado, que inclui erros relacionados como ERR_CERT_DATE_INVALID e ERR_SSL_VERSION_OR_CIPHER_MISMATCH.
Como o ERR_CERT_AUTHORITY_INVALID Aparece em Cada Navegador
Diferentes navegadores exibem diferentes mensagens de erro para o mesmo problema. Saber o que procurar ajuda a diagnosticar se você está lidando com um problema de autoridade certificadora ou um erro SSL diferente.
| Navegador | Título da Página de Erro | Código do Erro |
|---|---|---|
| Chrome | Sua conexão não é particular | NET::ERR_CERT_AUTHORITY_INVALID |
| Edge | Sua conexão não é particular | NET::ERR_CERT_AUTHORITY_INVALID |
| Firefox | Aviso: Risco Potencial de Segurança | SEC_ERROR_UNKNOWN_ISSUER ou MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT |
| Safari | Esta Conexão Não É Privada | Nenhum código de erro específico exibido |
| Opera | Sua conexão não é particular | NET::ERR_CERT_AUTHORITY_INVALID |
| Brave | Sua conexão não é particular | NET::ERR_CERT_AUTHORITY_INVALID |
Como Funciona a Confiança do Certificado SSL (Cadeia de Confiança)
Para entender por que este erro acontece, você precisa saber como os navegadores verificam certificados SSL. Todo certificado faz parte de uma cadeia de confiança que leva de volta a uma autoridade certificadora raiz (CA).
Quando seu navegador se conecta a um site via HTTPS, o servidor envia seu certificado SSL junto com quaisquer certificados intermediários. O navegador então percorre a cadeia: verifica se o certificado folha (o cert do site) foi assinado por uma CA intermediária, e que a CA intermediária foi assinada por uma CA raiz que o navegador já confia. Navegadores e sistemas operacionais modernos vêm com aproximadamente 150 certificados de CA raiz pré-instalados de organizações como DigiCert, Let's Encrypt (ISRG Root), Sectigo e GlobalSign.
Se qualquer elo dessa cadeia estiver quebrado — a CA raiz está ausente, um certificado intermediário não está incluído, ou a CA emissora não é reconhecida — o navegador mostra ERR_CERT_AUTHORITY_INVALID. Para uma explicação mais detalhada, consulte nosso guia sobre o que é uma cadeia de certificados SSL.
CA Raiz — autoassinada, pré-instalada no armazenamento de confiança do SO/navegador (~150 raízes confiáveis)
CA Intermediária — assinada pela CA raiz, deve ser enviada pelo servidor durante o handshake TLS
Certificado folha — o certificado do seu site, assinado pela CA intermediária
Validação — o navegador percorre a cadeia do folha até a raiz; cada assinatura deve ser verificada
O Que Causa NET::ERR_CERT_AUTHORITY_INVALID?
Este erro tem causas tanto do lado do servidor (problema do site) quanto do lado do cliente (problema do seu dispositivo). Se o erro aparece em apenas um site, a questão é quase certamente do lado do servidor. Se aparece em vários ou todos os sites HTTPS, o problema está do seu lado.
| Causa | Lado | Frequência | Verificação Rápida |
|---|---|---|---|
| Certificado autoassinado | Servidor | Muito comum | Verifique o emissor do certificado no cadeado do navegador |
| Certificado intermediário ausente | Servidor | Comum | Use o SSL Checker do DNS Robot para verificar a cadeia |
| Certificado SSL expirado | Servidor | Comum | Verifique as datas do cert no navegador ou SSL Checker |
| Certificado emitido para domínio errado | Servidor | Ocasional | Compare o CN/SAN do cert com o domínio da URL |
| Data/hora do sistema incorreta | Cliente | Comum | Verifique o relógio do dispositivo |
| SO ou navegador desatualizado | Cliente | Comum | Faltam novas CAs raiz como ISRG Root X1 |
| Interceptação SSL do antivírus | Cliente | Moderado | Antivírus substitui cert pela própria CA |
| Proxy/firewall corporativo | Cliente | Moderado | Proxy MITM injeta certificado não confiável |
| Certificado em cache desatualizado | Cliente | Ocasional | Cert antigo no cache SSL do navegador |
| Interferência de extensão | Cliente | Raro | Extensões VPN ou segurança modificam tráfego |
Correções para Visitantes (Lado do Cliente)
Se você está vendo NET::ERR_CERT_AUTHORITY_INVALID ao navegar em um site que você não controla, tente estas correções na ordem. Comece pelas verificações mais rápidas primeiro — o problema geralmente é mais simples do que você imagina.
Correção 1: Verifique a Data e Hora do Sistema
Um relógio do sistema incorreto é uma das causas mais negligenciadas de erros de certificado. Os certificados SSL têm uma janela de validade (datas Não Antes e Não Depois). Se seu dispositivo pensa que é 2020 quando na verdade é 2026, um certificado emitido em 2025 parece "ainda não válido" e o navegador o rejeita.
Esta correção leva 10 segundos e resolve o problema com mais frequência do que as pessoas esperam — especialmente após uma falha na bateria da BIOS, restauração de snapshot de máquina virtual ou desvio de tempo em dual-boot.
# Windows — verificar e sincronizar hora do sistema
w32tm /query /status
w32tm /resync
# macOS — ativar sincronização automática de hora
sudo sntp -sS time.apple.com
# Linux — sincronizar com NTP
sudo timedatectl set-ntp true
timedatectl statusCorreção 2: Tente o Modo Anônimo/Privado
Abrir o site em uma janela anônima descarta cache do navegador, cookies e interferência de extensões de uma vez. Se o site carrega normalmente no modo anônimo, o problema é um estado de certificado em cache ou uma extensão com mau comportamento — não o site em si.
Para abrir o modo anônimo: pressione Ctrl+Shift+N no Chrome ou Edge, ou Ctrl+Shift+P no Firefox.
Correção 3: Limpe o Cache e Cookies do Navegador
Os navegadores armazenam em cache informações de certificados SSL para acelerar conexões subsequentes. Se um site renovou ou substituiu recentemente seu certificado, seu navegador pode ainda manter o certificado antigo (inválido) em cache, causando o erro ERR_CERT_AUTHORITY_INVALID mesmo que o servidor agora tenha um certificado válido.
# Chrome: Limpar cache pelo atalho de teclado
# Windows/Linux: Ctrl+Shift+Delete
# macOS: Cmd+Shift+Delete
# Selecione "Imagens e arquivos em cache" e "Cookies" → Limpar dados
# Firefox: Limpar cache
# Ctrl+Shift+Delete → selecione "Cache" e "Cookies" → Limpar AgoraCorreção 4: Limpe o Estado SSL (Windows)
O Windows mantém um cache de certificados SSL separado no nível do sistema operacional, independente dos caches do navegador. Limpar este cache força o Windows a buscar novamente e revalidar os certificados do zero.
# Método 1: Via Opções da Internet
# Abra Opções da Internet (inetcpl.cpl) → aba Conteúdo → botão "Limpar Estado SSL"
# Método 2: Via linha de comando
# Abra o Prompt de Comando como Administrador:
certutil -URLcache * deleteCorreção 5: Desative as Extensões do Navegador
Extensões de segurança, extensões VPN, bloqueadores de anúncios e ferramentas de privacidade podem interferir nas conexões SSL. Algumas extensões atuam como um proxy local, interceptando tráfego HTTPS e substituindo certificados — o que aciona o ERR_CERT_AUTHORITY_INVALID.
Desative temporariamente todas as extensões para testar: vá para chrome://extensions/ e desative cada uma, depois recarregue o site. Se o erro desaparecer, reative as extensões uma por uma para encontrar a culpada.
Correção 6: Atualize Seu SO e Navegador
Os certificados de CA raiz são distribuídos através de atualizações do SO e do navegador. Se seu sistema operacional está desatualizado, seu armazenamento de confiança pode não incluir CAs raiz mais recentes. Por exemplo, o certificado ISRG Root X1 (usado pelo Let's Encrypt) só foi adicionado a versões mais antigas do Android e Windows através de atualizações. Dispositivos com Android 7.0 ou anterior podem não ter esta raiz.
Chrome e Edge dependem do armazenamento de confiança do SO no Windows e macOS, enquanto o Firefox tem o seu próprio. Manter tanto o SO quanto o navegador atualizados garante que você tenha os certificados raiz confiáveis mais recentes.
Correção 7: Desative a Verificação SSL/HTTPS do Antivírus
Softwares antivírus como Kaspersky, Avast, ESET e Bitdefender frequentemente incluem um recurso de "verificação HTTPS" ou "interceptação SSL". Este recurso funciona como um intermediário: descriptografa seu tráfego HTTPS com seu próprio certificado, verifica-o e recriptografa. Se o certificado CA do antivírus não está instalado no armazenamento de confiança do seu navegador, todo site HTTPS mostra ERR_CERT_AUTHORITY_INVALID.
Para testar: desative temporariamente o recurso de verificação HTTPS nas configurações do seu antivírus (não o antivírus inteiro — apenas o componente de verificação SSL/web). Se o erro desaparecer, você pode manter a verificação desativada ou reinstalar o certificado raiz do antivírus no seu navegador.
Correção 8: Limpe o Cache DNS
Em casos raros, um cache DNS desatualizado pode direcionar seu navegador para o endereço IP errado — um que serve um certificado SSL diferente (inválido). Limpar o DNS garante que seu dispositivo resolva o domínio para o servidor correto. Para um guia completo, veja como limpar o cache DNS.
# Windows
ipconfig /flushdns
# macOS
sudo dscacheutil -flushcache && sudo killall -HUP mDNSResponder
# Linux
sudo systemd-resolve --flush-caches
# Cache DNS interno do Chrome
# Navegue para: chrome://net-internals/#dns → "Clear host cache"Correção 9: Tente uma Rede Diferente
Redes corporativas, Wi-Fi escolar e alguns hotspots públicos usam proxies transparentes que interceptam conexões HTTPS. Esses proxies substituem o certificado SSL do site pelo seu próprio, causando ERR_CERT_AUTHORITY_INVALID. Mudar para dados móveis ou uma rede Wi-Fi diferente confirma se a rede é o problema.
Se o erro só aparece na sua rede do trabalho ou escola, entre em contato com o administrador de rede — eles podem precisar instalar o certificado raiz do proxy no seu dispositivo ou colocar o domínio na lista de permissões da inspeção SSL.
Correções para Proprietários de Sites (Lado do Servidor)
Se visitantes estão relatando ERR_CERT_AUTHORITY_INVALID no seu site, o problema está na configuração do seu certificado SSL. Aqui estão as correções do lado do servidor, ordenadas da mais para a menos comum.
Correção 1: Instale um Certificado de uma CA Confiável
Certificados autoassinados são a causa #1 do ERR_CERT_AUTHORITY_INVALID para proprietários de sites. Se você gerou seu próprio certificado usando OpenSSL ou ferramenta similar, os navegadores nunca confiarão nele — a autoridade emissora (você) não está no armazenamento de confiança de nenhum navegador.
A correção é instalar um certificado de uma autoridade certificadora publicamente confiável. O Let's Encrypt fornece certificados gratuitos e automatizados confiáveis por todos os navegadores principais. Para sites comerciais, certificados pagos da DigiCert, Sectigo ou GlobalSign oferecem validação estendida (EV) e períodos de validade mais longos.
# Instalar certificado Let's Encrypt com Certbot (Nginx)
sudo certbot --nginx -d example.com -d www.example.com
# Instalar certificado Let's Encrypt com Certbot (Apache)
sudo certbot --apache -d example.com -d www.example.com
# Verificar o certificado instalado
sudo certbot certificatesCorreção 2: Instale a Cadeia Completa de Certificados
Um certificado intermediário ausente é a segunda causa mais comum do lado do servidor. Seu certificado SSL pode ser perfeitamente válido, mas se o servidor não enviar o certificado da CA intermediária junto com ele, o navegador não pode verificar a cadeia de confiança e mostra ERR_CERT_AUTHORITY_INVALID.
Use o SSL Checker do DNS Robot para verificar sua cadeia de certificados. Uma cadeia saudável mostra três certificados: CA Raiz > CA Intermediária > Seu Certificado. Se o intermediário está faltando, você precisa configurar seu servidor para enviar a cadeia completa.
# Verificar sua cadeia de certificados com OpenSSL
openssl s_client -connect example.com:443 -showcerts 2>/dev/null | grep -E 's:|i:'
# Nginx — configurar cadeia completa
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
# Apache — configurar cadeia completa
SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pemCorreção 3: Renove um Certificado Expirado
Certificados expirados são rejeitados imediatamente por todos os navegadores. O Chrome especificamente mostra ERR_CERT_AUTHORITY_INVALID (não ERR_CERT_DATE_INVALID) em alguns casos quando a CA intermediária do certificado expirado também foi rotacionada. Verifique a data de expiração do seu certificado com o SSL Checker ou pela linha de comando.
# Verificar data de expiração do certificado
openssl s_client -connect example.com:443 2>/dev/null | openssl x509 -noout -dates
# Forçar renovação com Certbot
sudo certbot renew --force-renewal
# Reiniciar servidor web após renovação
sudo systemctl reload nginx # Nginx
sudo systemctl reload apache2 # ApacheCorreção 4: Verifique se o Certificado Corresponde ao Domínio
Um certificado SSL é emitido para nomes de domínio específicos listados nos campos Common Name (CN) e Subject Alternative Name (SAN). Se seu site é acessado via www.example.com mas o certificado só cobre example.com, ou se você acessa um subdomínio não incluído no SAN, o Chrome pode mostrar ERR_CERT_AUTHORITY_INVALID.
Certificados wildcard (*.example.com) cobrem todos os subdomínios, mas não o domínio raiz a menos que ele esteja explicitamente listado como SAN. Sempre inclua tanto example.com quanto *.example.com ao gerar um certificado wildcard.
Correção 5: Verifique a Configuração TLS do Servidor
Configurações TLS mal configuradas podem causar problemas de confiança do certificado mesmo com um certificado válido. Certifique-se de que seu servidor suporta TLS 1.2 e TLS 1.3 — protocolos mais antigos como TLS 1.0 e 1.1 foram descontinuados por todos os principais navegadores desde 2020. Verifique também se seu servidor envia os certificados na ordem correta (folha primeiro, depois intermediários).
# Configuração TLS recomendada para Nginx
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;
ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';
# Testar sua configuração TLS
openssl s_client -connect example.com:443 -tls1_2
openssl s_client -connect example.com:443 -tls1_3ERR_CERT_AUTHORITY_INVALID no Localhost (Desenvolvedores)
Desenvolvedores frequentemente encontram este erro ao executar servidores HTTPS locais para desenvolvimento. Como os certificados localhost são sempre autoassinados, o Chrome os bloqueia por padrão. Existem várias maneiras de lidar com isso.
mkcert — a solução mais fácil. Instale o
mkcert, executemkcert -installpara adicionar uma CA local ao seu armazenamento de confiança, depois gere certs:mkcert localhost 127.0.0.1 ::1. Confiável automaticamente no Chrome, Firefox e EdgeBypass do Chrome — digite
thisisunsafena página de erro (sem campo de entrada — apenas digite no teclado). Isso ignora o aviso apenas para a sessão atualFlag do Chrome — navegue para
chrome://flags/#allow-insecure-localhoste ative. Isso suprime erros de certificado apenas paralocalhostVite/Next.js/Webpack — a maioria dos servidores dev suporta flags
--httpsque geram certs autoassinados. Combine com mkcert para um setup local confiável
# Instalar mkcert (macOS)
brew install mkcert
mkcert -install
# Gerar certificado localhost
mkcert localhost 127.0.0.1 ::1
# Cria: localhost+2.pem e localhost+2-key.pem
# Usar com Node.js
const https = require('https');
const fs = require('fs');
https.createServer({
cert: fs.readFileSync('localhost+2.pem'),
key: fs.readFileSync('localhost+2-key.pem')
}, app).listen(3000);Erros de Certificado SSL Relacionados
NET::ERR_CERT_AUTHORITY_INVALID é apenas um dos vários erros de certificado SSL que você pode encontrar. Cada erro aponta para um problema diferente no processo de validação do certificado.
| Código do Erro | O Que Significa | Guia DNS Robot |
|---|---|---|
| ERR_CERT_AUTHORITY_INVALID | Certificado não assinado por CA confiável | Este artigo |
| ERR_SSL_PROTOCOL_ERROR | Handshake TLS falhou antes da verificação do certificado | [Guia de correção](/blog/err-ssl-protocol-error-fix) |
| ERR_SSL_VERSION_OR_CIPHER_MISMATCH | Sem versão TLS ou suite de cifras compartilhada | [Guia de correção](/blog/err-ssl-version-or-cipher-mismatch) |
| ERR_CERT_DATE_INVALID | Certificado expirado ou ainda não válido | Verifique as datas do certificado |
| ERR_CERT_COMMON_NAME_INVALID | Domínio do certificado não corresponde à URL | Verifique os campos SAN/CN |
| NET::ERR_CERT_REVOKED | Certificado revogado pela CA emissora | Reemita o certificado |
Verifique sua cadeia de certificados SSL agora
Use o SSL Checker gratuito do DNS Robot para verificar sua cadeia de certificados, datas de expiração e configuração TLS. Detecte instantaneamente intermediários ausentes, certificados expirados e incompatibilidades de domínio.
Try SSL CheckerFrequently Asked Questions
Significa que seu navegador não confia na autoridade certificadora que assinou o certificado SSL do site. O certificado pode ser autoassinado, emitido por uma CA desconhecida ou com a cadeia de certificados intermediários ausente.