NET::ERR_CERT_AUTHORITY_INVALID: как исправить ошибку в Chrome, Edge и Firefox
Что означает ошибка NET::ERR_CERT_AUTHORITY_INVALID?
NET::ERR_CERT_AUTHORITY_INVALID — это ошибка безопасности браузера, которая появляется, когда Chrome, Edge или другой браузер на базе Chromium не доверяет центру сертификации (CA), выпустившему SSL-сертификат сайта. Браузер блокирует соединение и показывает предупреждение «Ваше подключение не является приватным», чтобы защитить вас от потенциально мошеннических сайтов.
В отличие от ERR_SSL_PROTOCOL_ERROR, при которой TLS-рукопожатие не проходит вообще, ERR_CERT_AUTHORITY_INVALID означает, что рукопожатие завершилось, но сертификат не прошёл проверку. Браузер получил сертификат, проанализировал его и решил, что доверять ему нельзя.
Внутренний код ошибки Chromium — net::ERR_CERT_AUTHORITY_INVALID (код -202). Она относится к семейству ошибок сертификатов, куда также входят ERR_CERT_DATE_INVALID и ERR_SSL_VERSION_OR_CIPHER_MISMATCH.
Как выглядит ERR_CERT_AUTHORITY_INVALID в разных браузерах
Разные браузеры отображают разные сообщения об ошибке при одной и той же проблеме. Зная, что именно искать, вы сможете быстро определить — это ошибка центра сертификации или другая SSL-проблема.
| Браузер | Заголовок страницы ошибки | Код ошибки |
|---|---|---|
| Chrome | Ваше подключение не является приватным | NET::ERR_CERT_AUTHORITY_INVALID |
| Edge | Ваше подключение не является закрытым | NET::ERR_CERT_AUTHORITY_INVALID |
| Firefox | Предупреждение: впереди возможная угроза безопасности | SEC_ERROR_UNKNOWN_ISSUER или MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT |
| Safari | Это подключение не является частным | Код ошибки не отображается |
| Opera | Ваше подключение не является приватным | NET::ERR_CERT_AUTHORITY_INVALID |
| Brave | Ваше подключение не является приватным | NET::ERR_CERT_AUTHORITY_INVALID |
Как работает доверие к SSL-сертификатам (цепочка доверия)
Чтобы понять, почему возникает эта ошибка, нужно разобраться, как браузеры проверяют SSL-сертификаты. Каждый сертификат — это звено цепочки доверия, которая ведёт к корневому центру сертификации (Root CA).
Когда браузер подключается к сайту по HTTPS, сервер отправляет свой SSL-сертификат вместе с промежуточными сертификатами. Браузер проходит по цепочке: проверяет, что конечный сертификат (leaf) подписан промежуточным CA, а тот — корневым CA, которому браузер уже доверяет. Современные браузеры и операционные системы содержат примерно 150 предустановленных корневых сертификатов от таких организаций, как DigiCert, Let's Encrypt (ISRG Root), Sectigo и GlobalSign.
Если любое звено этой цепочки нарушено — корневой CA отсутствует, промежуточный сертификат не отправлен сервером или подписавший CA неизвестен — браузер выдаёт ERR_CERT_AUTHORITY_INVALID. Более подробное объяснение — в нашем руководстве что такое цепочка SSL-сертификатов.
Корневой CA — самоподписанный, предустановлен в хранилище доверия ОС/браузера (~150 доверенных корневых сертификатов)
Промежуточный CA — подписан корневым CA, должен отправляться сервером во время TLS-рукопожатия
Конечный сертификат (leaf) — сертификат вашего сайта, подписанный промежуточным CA
Проверка — браузер проходит по цепочке от конечного сертификата к корневому; каждая подпись должна быть валидной
Причины ошибки NET::ERR_CERT_AUTHORITY_INVALID
У этой ошибки есть серверные причины (проблема сайта) и клиентские причины (проблема вашего устройства). Если ошибка появляется только на одном сайте — почти наверняка дело в сервере. Если на нескольких или всех HTTPS-сайтах — проблема на вашей стороне.
| Причина | Сторона | Частота | Быстрая проверка |
|---|---|---|---|
| Самоподписанный сертификат | Сервер | Очень часто | Проверьте издателя сертификата через значок замка |
| Отсутствует промежуточный сертификат | Сервер | Часто | Используйте SSL Checker на DNS Robot для проверки цепочки |
| Просроченный SSL-сертификат | Сервер | Часто | Проверьте даты сертификата в браузере или SSL Checker |
| Сертификат выдан на другой домен | Сервер | Иногда | Сравните CN/SAN сертификата с доменом в URL |
| Неправильные системные дата/время | Клиент | Часто | Проверьте часы на устройстве |
| Устаревшая ОС или браузер | Клиент | Часто | Отсутствуют новые корневые CA, например ISRG Root X1 |
| Перехват SSL антивирусом | Клиент | Умеренно | Антивирус подменяет сертификат своим собственным CA |
| Корпоративный прокси/фаервол | Клиент | Умеренно | MITM-прокси подставляет недоверенный сертификат |
| Устаревший сертификат в кеше | Клиент | Иногда | Старый сертификат в SSL-кеше браузера |
| Вмешательство расширений браузера | Клиент | Редко | VPN- или security-расширения модифицируют трафик |
Решения для посетителей сайта (клиентская сторона)
Если вы видите NET::ERR_CERT_AUTHORITY_INVALID при посещении чужого сайта, попробуйте эти способы по порядку. Начните с самых простых проверок — чаще всего проблема оказывается банальнее, чем кажется.
Способ 1: Проверьте системные дату и время
Неправильные системные часы — одна из самых недооценённых причин ошибок сертификатов. У SSL-сертификатов есть период действия (даты Not Before и Not After). Если ваше устройство считает, что сейчас 2020 год, а на самом деле 2026-й, то сертификат, выпущенный в 2025 году, будет казаться «ещё не действительным», и браузер его отклонит.
Эта проверка занимает 10 секунд и решает проблему чаще, чем можно подумать — особенно после разрядки батарейки BIOS, восстановления снапшота виртуальной машины или сдвига времени при dual-boot.
# Windows — check and sync system time
w32tm /query /status
w32tm /resync
# macOS — enable automatic time sync
sudo sntp -sS time.apple.com
# Linux — sync with NTP
sudo timedatectl set-ntp true
timedatectl statusСпособ 2: Откройте сайт в режиме инкогнито
Открытие сайта в окне инкогнито позволяет за один раз исключить проблемы с кешем, куки и расширениями. Если сайт нормально открывается в инкогнито — значит, виновато кешированное состояние сертификата или какое-то расширение, а не сам сайт.
Как открыть режим инкогнито: Ctrl+Shift+N в Chrome или Edge, Ctrl+Shift+P в Firefox.
Способ 3: Очистите кеш и куки браузера
Браузеры кешируют информацию об SSL-сертификатах для ускорения повторных подключений. Если сайт недавно обновил или заменил сертификат, в кеше браузера мог остаться старый (невалидный) сертификат, вызывающий ошибку ERR_CERT_AUTHORITY_INVALID, хотя на сервере уже стоит новый.
# Chrome: Clear cache via keyboard shortcut
# Windows/Linux: Ctrl+Shift+Delete
# macOS: Cmd+Shift+Delete
# Select "Cached images and files" and "Cookies" → Clear data
# Firefox: Clear cache
# Ctrl+Shift+Delete → select "Cache" and "Cookies" → Clear NowСпособ 4: Очистите SSL-кеш (Windows)
Windows ведёт собственный кеш SSL-сертификатов на уровне ОС, отдельно от кеша браузера. Очистка этого кеша заставляет систему заново получить и проверить сертификаты.
# Method 1: Via Internet Options
# Open Internet Options (inetcpl.cpl) → Content tab → "Clear SSL State" button
# Method 2: Via command line
# Open Command Prompt as Administrator:
certutil -URLcache * deleteСпособ 5: Отключите расширения браузера
Расширения безопасности, VPN-расширения, блокировщики рекламы и инструменты приватности могут вмешиваться в SSL-соединения. Некоторые расширения работают как локальный прокси, перехватывая HTTPS-трафик и подменяя сертификаты — что и вызывает ERR_CERT_AUTHORITY_INVALID.
Временно отключите все расширения: перейдите на chrome://extensions/, деактивируйте каждое и перезагрузите сайт. Если ошибка исчезла — включайте расширения по одному, пока не найдёте виновника.
Способ 6: Обновите ОС и браузер
Корневые сертификаты CA распространяются через обновления ОС и браузера. Если ваша операционная система устарела, хранилище доверия может не содержать новых корневых CA. Например, корневой сертификат ISRG Root X1 (используется Let's Encrypt) был добавлен в старые версии Android и Windows только через обновления. На устройствах с Android 7.0 и ниже этого корневого сертификата может не быть вообще.
Chrome и Edge используют системное хранилище сертификатов в Windows и macOS, а Firefox — своё собственное. Обновление и ОС, и браузера гарантирует наличие всех актуальных корневых сертификатов.
Способ 7: Отключите SSL-сканирование в антивирусе
Антивирусы Kaspersky, Avast, ESET и Bitdefender часто включают функцию «HTTPS-сканирование» или «Перехват SSL». Она работает по принципу man-in-the-middle: антивирус расшифровывает HTTPS-трафик своим собственным сертификатом, проверяет его и шифрует заново. Если сертификат CA антивируса не установлен в хранилище доверия браузера — на каждом HTTPS-сайте будет появляться ERR_CERT_AUTHORITY_INVALID.
Для проверки: временно отключите HTTPS-сканирование в настройках антивируса (не весь антивирус — только модуль веб-/SSL-сканирования). Если ошибка пропала, можно либо оставить сканирование отключённым, либо переустановить корневой сертификат антивируса в хранилище доверия.
Способ 8: Очистите DNS-кеш
В редких случаях устаревший DNS-кеш может направлять браузер на неправильный IP-адрес — который отдаёт другой (невалидный) SSL-сертификат. Очистка DNS-кеша гарантирует, что устройство обращается к правильному серверу. Подробное руководство — в статье как очистить DNS-кеш.
# Windows
ipconfig /flushdns
# macOS
sudo dscacheutil -flushcache && sudo killall -HUP mDNSResponder
# Linux
sudo systemd-resolve --flush-caches
# Chrome internal DNS cache
# Navigate to: chrome://net-internals/#dns → "Clear host cache"Способ 9: Попробуйте другую сеть
Корпоративные сети, Wi-Fi в учебных заведениях и некоторые публичные хотспоты используют прозрачные прокси, которые перехватывают HTTPS-соединения. Такие прокси подменяют SSL-сертификат сайта своим собственным, вызывая ERR_CERT_AUTHORITY_INVALID. Переключение на мобильный интернет или другую Wi-Fi-сеть покажет, виновата ли сеть.
Если ошибка появляется только в рабочей или учебной сети — обратитесь к сетевому администратору. Возможно, потребуется установить корневой сертификат прокси на ваше устройство или добавить домен в исключения SSL-инспекции.
Решения для владельцев сайтов (серверная сторона)
Если посетители сообщают об ошибке ERR_CERT_AUTHORITY_INVALID на вашем сайте — проблема в конфигурации SSL-сертификата. Ниже серверные решения, от самых распространённых к редким.
Решение 1: Установите сертификат от доверенного CA
Самоподписанные сертификаты — причина №1 ошибки ERR_CERT_AUTHORITY_INVALID у владельцев сайтов. Если вы сгенерировали сертификат через OpenSSL или аналогичный инструмент — браузеры никогда не будут ему доверять. Подписавший его центр сертификации (то есть вы) не включён в хранилище доверия ни одного браузера.
Решение — установить сертификат от публично доверенного центра сертификации. Let's Encrypt предоставляет бесплатные автоматизированные сертификаты, которым доверяют все основные браузеры. Для коммерческих сайтов платные сертификаты от DigiCert, Sectigo или GlobalSign предлагают расширенную проверку (EV) и более длительный срок действия.
# Install Let's Encrypt certificate with Certbot (Nginx)
sudo certbot --nginx -d example.com -d www.example.com
# Install Let's Encrypt certificate with Certbot (Apache)
sudo certbot --apache -d example.com -d www.example.com
# Verify the installed certificate
sudo certbot certificatesРешение 2: Установите полную цепочку сертификатов
Отсутствие промежуточного сертификата — вторая по частоте серверная причина ошибки. Ваш SSL-сертификат может быть абсолютно валидным, но если сервер не отправляет промежуточный сертификат вместе с ним, браузер не сможет построить цепочку доверия и выдаст ERR_CERT_AUTHORITY_INVALID.
Используйте SSL Checker на DNS Robot, чтобы проверить цепочку сертификатов. Корректная цепочка содержит три сертификата: Root CA > Intermediate CA > ваш сертификат. Если промежуточный отсутствует — нужно настроить сервер на отправку полной цепочки.
# Check your certificate chain with OpenSSL
openssl s_client -connect example.com:443 -showcerts 2>/dev/null | grep -E 's:|i:'
# Expected output (3 certificates in chain):
# s:CN = example.com (your cert)
# i:CN = R11 (intermediate - Let's Encrypt)
# s:CN = R11
# i:CN = ISRG Root X1 (root CA)
# Nginx — configure full chain
# ssl_certificate should point to the fullchain file, not just the cert:
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
# Apache — configure full chain
SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pemРешение 3: Продлите просроченный сертификат
Просроченные сертификаты немедленно отклоняются всеми браузерами. Chrome может показать именно ERR_CERT_AUTHORITY_INVALID (а не ERR_CERT_DATE_INVALID), если у просроченного сертификата также сменился промежуточный CA. Проверьте дату истечения сертификата с помощью SSL Checker или через командную строку.
# Check certificate expiry date
openssl s_client -connect example.com:443 2>/dev/null | openssl x509 -noout -dates
# Output:
# notBefore=Jan 1 00:00:00 2026 GMT
# notAfter=Apr 1 00:00:00 2026 GMT
# Force renewal with Certbot
sudo certbot renew --force-renewal
# Restart web server after renewal
sudo systemctl reload nginx # Nginx
sudo systemctl reload apache2 # ApacheРешение 4: Убедитесь, что сертификат соответствует домену
SSL-сертификат выпускается для конкретных доменных имён, указанных в полях Common Name (CN) и Subject Alternative Name (SAN). Если к сайту обращаются по адресу www.example.com, а сертификат выпущен только для example.com, или если вы заходите на поддомен, не включённый в SAN — Chrome может показать ERR_CERT_AUTHORITY_INVALID.
Wildcard-сертификаты (*.example.com) покрывают все поддомены, но не корневой домен, если он явно не добавлен в SAN. При генерации wildcard-сертификата всегда включайте и example.com, и *.example.com.
Решение 5: Проверьте TLS-конфигурацию сервера
Неправильные настройки TLS могут вызвать проблемы с доверием к сертификату даже при его полной валидности. Убедитесь, что сервер поддерживает TLS 1.2 и TLS 1.3 — устаревшие протоколы TLS 1.0 и 1.1 все основные браузеры перестали поддерживать ещё в 2020 году. Также проверьте, что сервер отправляет сертификаты в правильном порядке (сначала конечный, затем промежуточные).
# Nginx recommended TLS configuration
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;
ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';
# Test your TLS configuration
openssl s_client -connect example.com:443 -tls1_2
openssl s_client -connect example.com:443 -tls1_3ERR_CERT_AUTHORITY_INVALID на localhost (для разработчиков)
Разработчики постоянно сталкиваются с этой ошибкой при запуске локальных HTTPS-серверов. Сертификаты для localhost всегда самоподписанные, поэтому Chrome блокирует их по умолчанию. Есть несколько способов решить эту проблему.
mkcert — самый простой способ. Установите
mkcert, выполнитеmkcert -installдля добавления локального CA в хранилище доверия, затем сгенерируйте сертификаты:mkcert localhost 127.0.0.1 ::1. Они автоматически доверяются в Chrome, Firefox и EdgeОбход в Chrome — наберите
thisisunsafeна странице ошибки (без поля ввода — просто печатайте на клавиатуре). Предупреждение снимается только для текущей сессииФлаг Chrome — перейдите на
chrome://flags/#allow-insecure-localhostи включите опцию. Это подавляет ошибки сертификатов только дляlocalhostVite/Next.js/Webpack — большинство dev-серверов поддерживают флаги
--httpsдля генерации самоподписанных сертификатов. Используйте в связке с mkcert для доверенной локальной среды
# Install mkcert (macOS)
brew install mkcert
mkcert -install
# Generate localhost certificate
mkcert localhost 127.0.0.1 ::1
# Creates: localhost+2.pem and localhost+2-key.pem
# Use with Node.js
const https = require('https');
const fs = require('fs');
https.createServer({
cert: fs.readFileSync('localhost+2.pem'),
key: fs.readFileSync('localhost+2-key.pem')
}, app).listen(3000);Связанные ошибки SSL-сертификатов
NET::ERR_CERT_AUTHORITY_INVALID — лишь одна из нескольких ошибок SSL-сертификатов, с которыми можно столкнуться. Каждая указывает на свою проблему в процессе валидации сертификата.
| Код ошибки | Что означает | Руководство DNS Robot |
|---|---|---|
| ERR_CERT_AUTHORITY_INVALID | Сертификат не подписан доверенным CA | Эта статья |
| ERR_SSL_PROTOCOL_ERROR | TLS-рукопожатие не удалось до проверки сертификата | [Руководство](/blog/err-ssl-protocol-error-fix) |
| ERR_SSL_VERSION_OR_CIPHER_MISMATCH | Нет общей версии TLS или набора шифров | [Руководство](/blog/err-ssl-version-or-cipher-mismatch) |
| ERR_CERT_DATE_INVALID | Сертификат просрочен или ещё не действителен | Проверьте даты сертификата |
| ERR_CERT_COMMON_NAME_INVALID | Домен в сертификате не совпадает с URL | Проверьте поля SAN/CN |
| NET::ERR_CERT_REVOKED | Сертификат отозван выпустившим его CA | Перевыпустите сертификат |
Проверьте цепочку SSL-сертификатов прямо сейчас
Используйте бесплатный SSL Checker от DNS Robot для проверки цепочки сертификатов, сроков действия и TLS-конфигурации. Мгновенно обнаруживайте отсутствующие промежуточные сертификаты, просроченные сертификаты и несовпадения домена.
Try SSL CheckerFrequently Asked Questions
Это значит, что браузер не доверяет центру сертификации, который подписал SSL-сертификат сайта. Сертификат может быть самоподписанным, выпущенным неизвестным CA или без промежуточных сертификатов в цепочке.