NET::ERR_CERT_AUTHORITY_INVALID: Nasıl Düzeltilir (Chrome, Edge, Firefox)
NET::ERR_CERT_AUTHORITY_INVALID Nedir?
NET::ERR_CERT_AUTHORITY_INVALID, Chrome, Edge veya diğer Chromium tabanlı tarayıcıların, web sitesinin SSL sertifikasını imzalayan sertifika yetkilisine (CA) güvenmediğinde görünen bir tarayıcı güvenlik hatasıdır. Tarayıcı bağlantıyı engeller ve sizi potansiyel olarak sahte web sitelerinden korumak için "Bağlantınız gizli değil" uyarısı gösterir.
ERR_SSL_PROTOCOL_ERROR'dan farklı olarak (TLS el sıkışmasının kendisinin başarısız olduğu anlamına gelir), ERR_CERT_AUTHORITY_INVALID el sıkışmanın tamamlandığı ancak sertifika doğrulama adımının başarısız olduğu anlamına gelir. Tarayıcı sertifikayı aldı, inceledi ve güvenilmez buldu.
Dahili Chromium hata kodu net::ERR_CERT_AUTHORITY_INVALID (hata kodu -202)'dir. ERR_CERT_DATE_INVALID ve ERR_SSL_VERSION_OR_CIPHER_MISMATCH gibi ilgili hataları içeren sertifika hata ailesine aittir.
Her Tarayıcıda ERR_CERT_AUTHORITY_INVALID Nasıl Görünür
Farklı tarayıcılar aynı sorun için farklı hata mesajları görüntüler. Ne arayacağınızı bilmek, bir sertifika yetkilisi sorunu mu yoksa farklı bir SSL hatası mı olduğunu teşhis etmenize yardımcı olur.
| Tarayıcı | Hata Sayfası Başlığı | Hata Kodu |
|---|---|---|
| Chrome | Bağlantınız gizli değil | NET::ERR_CERT_AUTHORITY_INVALID |
| Edge | Bağlantınız özel değil | NET::ERR_CERT_AUTHORITY_INVALID |
| Firefox | Uyarı: Potansiyel Güvenlik Riski | SEC_ERROR_UNKNOWN_ISSUER veya MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT |
| Safari | Bu Bağlantı Özel Değil | Belirli hata kodu gösterilmez |
| Opera | Bağlantınız gizli değil | NET::ERR_CERT_AUTHORITY_INVALID |
| Brave | Bağlantınız gizli değil | NET::ERR_CERT_AUTHORITY_INVALID |
SSL Sertifika Güveni Nasıl Çalışır (Güven Zinciri)
Bu hatanın neden oluştuğunu anlamak için tarayıcıların SSL sertifikalarını nasıl doğruladığını bilmeniz gerekir. Her sertifika, bir kök sertifika yetkilisine (CA) geri dönen bir güven zincirinin parçasıdır.
Tarayıcınız HTTPS üzerinden bir web sitesine bağlandığında, sunucu SSL sertifikasını ve ara sertifikaları gönderir. Tarayıcı zinciri takip eder: yaprak sertifikanın bir ara CA tarafından imzalandığını ve ara CA'nın tarayıcının zaten güvendiği bir kök CA tarafından imzalandığını kontrol eder. Modern tarayıcılar ve işletim sistemleri, DigiCert, Let's Encrypt (ISRG Root), Sectigo ve GlobalSign gibi kuruluşlardan yaklaşık 150 önceden yüklenmiş kök CA sertifikası ile gelir.
Bu zincirdeki herhangi bir halka kırılırsa — kök CA eksikse, bir ara sertifika dahil edilmemişse veya imzalayan CA tanınmıyorsa — tarayıcı ERR_CERT_AUTHORITY_INVALID hatası verir. Daha ayrıntılı bir açıklama için SSL sertifika zinciri nedir rehberimize bakın.
Kök CA — kendinden imzalı, işletim sistemi/tarayıcı güven deposuna önceden yüklenmiş (~150 güvenilir kök)
Ara CA — kök CA tarafından imzalanmış, TLS el sıkışması sırasında sunucu tarafından gönderilmeli
Yaprak sertifika — web sitenizin sertifikası, ara CA tarafından imzalanmış
Doğrulama — tarayıcı yapraktan köke zinciri takip eder; her imza doğrulanmalıdır
NET::ERR_CERT_AUTHORITY_INVALID Nedenler
Bu hatanın hem sunucu tarafı (web sitesinin sorunu) hem de istemci tarafı (cihazınızın sorunu) nedenleri vardır. Hata yalnızca bir web sitesinde görünüyorsa, sorun neredeyse kesinlikle sunucu tarafındadır. Birden fazla veya tüm HTTPS web sitelerinde görünüyorsa, sorun sizin tarafınızdadır.
| Neden | Taraf | Sıklık | Hızlı Kontrol |
|---|---|---|---|
| Kendinden imzalı sertifika | Sunucu | Çok yaygın | Tarayıcı kilit simgesinde sertifika düzenleyicisini kontrol edin |
| Eksik ara sertifika | Sunucu | Yaygın | DNS Robot SSL Checker ile zinciri doğrulayın |
| Süresi dolmuş SSL sertifikası | Sunucu | Yaygın | Tarayıcıda veya SSL Checker'da sertifika tarihlerini kontrol edin |
| Yanlış alan adı için sertifika | Sunucu | Ara sıra | Sertifika CN/SAN ile URL alan adını karşılaştırın |
| Yanlış sistem tarihi/saati | İstemci | Yaygın | Cihaz saatinizi kontrol edin |
| Eski işletim sistemi veya tarayıcı | İstemci | Yaygın | ISRG Root X1 gibi yeni kök CA'lar eksik |
| Antivirüs SSL müdahalesi | İstemci | Orta | Antivirüs sertifikayı kendi CA'sıyla değiştirir |
| Kurumsal proxy/güvenlik duvarı | İstemci | Orta | MITM proxy güvenilmeyen sertifika enjekte eder |
| Önbellekteki eski sertifika | İstemci | Ara sıra | Tarayıcı SSL önbelleğinde eski sertifika |
| Tarayıcı uzantısı müdahalesi | İstemci | Nadir | VPN veya güvenlik uzantıları trafiği değiştirir |
Ziyaretçiler İçin Düzeltmeler (İstemci Tarafı)
Kontrol etmediğiniz bir web sitesini ziyaret ederken NET::ERR_CERT_AUTHORITY_INVALID görüyorsanız, bu düzeltmeleri sırayla deneyin. En hızlı kontrollerle başlayın — sorun genellikle düşündüğünüzden daha basittir.
Düzeltme 1: Sistem Tarih ve Saatini Kontrol Edin
Yanlış sistem saati, sertifika hatalarının en çok gözden kaçan nedenlerinden biridir. SSL sertifikalarının bir geçerlilik penceresi (Başlangıç ve Bitiş tarihleri) vardır. Cihazınız 2026 yerine 2020 olduğunu düşünüyorsa, 2025'te verilen bir sertifika "henüz geçerli değil" görünür ve tarayıcı reddeder.
Bu düzeltme 10 saniye sürer ve sorunu insanların beklediğinden daha sık çözer — özellikle BIOS pili arızası, sanal makine anlık görüntüsü geri yüklemesi veya çift önyükleme zaman sapması sonrası.
# Windows — sistem saatini kontrol et ve senkronize et
w32tm /query /status
w32tm /resync
# macOS — otomatik zaman senkronizasyonunu etkinleştir
sudo sntp -sS time.apple.com
# Linux — NTP ile senkronize et
sudo timedatectl set-ntp true
timedatectl statusDüzeltme 2: Gizli/Özel Tarama Modunu Deneyin
Web sitesini gizli pencerede açmak, tarayıcı önbelleği, çerezler ve uzantı müdahalesini bir kerede dışlar. Site gizli modda düzgün yüklenirse, sorun önbellekteki bir sertifika durumu veya hatalı bir uzantıdır — web sitesinin kendisi değil.
Gizli modu açmak için: Chrome veya Edge'de Ctrl+Shift+N, Firefox'ta Ctrl+Shift+P tuşlarına basın.
Düzeltme 3: Tarayıcı Önbelleğini ve Çerezleri Temizleyin
Tarayıcılar, sonraki bağlantıları hızlandırmak için SSL sertifika bilgilerini önbelleğe alır. Bir web sitesi yakın zamanda sertifikasını yenilediyse veya değiştirdiyse, tarayıcınız hala eski (geçersiz) sertifikayı önbelleğinde tutabilir.
# Chrome: Klavye kısayoluyla önbelleği temizle
# Windows/Linux: Ctrl+Shift+Delete
# macOS: Cmd+Shift+Delete
# "Önbelleğe alınmış resimler ve dosyalar" ve "Çerezler" seçin → Verileri temizle
# Firefox: Önbelleği temizle
# Ctrl+Shift+Delete → "Önbellek" ve "Çerezler" seçin → Şimdi TemizleDüzeltme 4: SSL Durumunu Temizleyin (Windows)
Windows, tarayıcı önbelleklerinden bağımsız olarak işletim sistemi düzeyinde ayrı bir SSL sertifika önbelleği tutar. Bu önbelleği temizlemek Windows'u sertifikaları sıfırdan yeniden getirmeye ve doğrulamaya zorlar.
# Yöntem 1: İnternet Seçenekleri aracılığıyla
# İnternet Seçeneklerini (inetcpl.cpl) açın → İçerik sekmesi → "SSL Durumunu Temizle" düğmesi
# Yöntem 2: Komut satırı aracılığıyla
# Komut İstemini Yönetici olarak açın:
certutil -URLcache * deleteDüzeltme 5: Tarayıcı Uzantılarını Devre Dışı Bırakın
Güvenlik uzantıları, VPN uzantıları, reklam engelleyiciler ve gizlilik araçları SSL bağlantılarına müdahale edebilir. Bazı uzantılar yerel bir proxy olarak çalışarak HTTPS trafiğini keser ve sertifikaları değiştirir — bu ERR_CERT_AUTHORITY_INVALID'ı tetikler.
Test etmek için tüm uzantıları geçici olarak devre dışı bırakın: chrome://extensions/ adresine gidin ve her birini kapatın, ardından web sitesini yeniden yükleyin. Hata kaybolursa, suçluyu bulmak için uzantıları tek tek yeniden etkinleştirin.
Düzeltme 6: İşletim Sisteminizi ve Tarayıcınızı Güncelleyin
Kök CA sertifikaları, işletim sistemi ve tarayıcı güncellemeleri aracılığıyla dağıtılır. İşletim sisteminiz güncel değilse, güven deponuz daha yeni kök CA'ları içermeyebilir. Örneğin, ISRG Root X1 sertifikası (Let's Encrypt tarafından kullanılır) yalnızca güncellemeler aracılığıyla eski Android ve Windows sürümlerine eklenmiştir. Android 7.0 veya önceki sürümleri çalıştıran cihazlarda bu kök tamamen eksik olabilir.
Chrome ve Edge, Windows ve macOS'ta işletim sistemi güven deposuna bağlıdır, Firefox ise kendisininkini kullanır. Hem işletim sisteminizi hem de tarayıcınızı güncel tutmak, en son güvenilir kök sertifikalara sahip olmanızı sağlar.
Düzeltme 7: Antivirüs SSL/HTTPS Taramasını Devre Dışı Bırakın
Kaspersky, Avast, ESET ve Bitdefender gibi antivirüs yazılımları genellikle bir "HTTPS taraması" veya "SSL müdahalesi" özelliği içerir. Bu özellik bir aracı olarak çalışır: HTTPS trafiğinizi kendi sertifikasıyla çözer, tarar ve yeniden şifreler. Antivirüs CA sertifikası tarayıcınızın güven deposuna yüklenmemişse, her HTTPS sitesi ERR_CERT_AUTHORITY_INVALID gösterir.
Test etmek için: antivirüs ayarlarınızda HTTPS tarama özelliğini geçici olarak devre dışı bırakın (tüm antivirüsü değil — yalnızca SSL/web tarama bileşenini). Hata kaybolursa, taramayı devre dışı tutabilir veya antivirüs kök sertifikasını tarayıcınıza yeniden yükleyebilirsiniz.
Düzeltme 8: DNS Önbelleğini Temizleyin
Nadir durumlarda, eski bir DNS önbelleği tarayıcınızı yanlış IP adresine yönlendirebilir — farklı (geçersiz) bir SSL sertifikası sunan bir adrese. DNS'i temizlemek, cihazınızın alan adını doğru sunucuya çözmesini sağlar. Tam rehber için DNS önbelleğini temizleme sayfamıza bakın.
# Windows
ipconfig /flushdns
# macOS
sudo dscacheutil -flushcache && sudo killall -HUP mDNSResponder
# Linux
sudo systemd-resolve --flush-caches
# Chrome dahili DNS önbelleği
# chrome://net-internals/#dns adresine gidin → "Clear host cache"Düzeltme 9: Farklı Bir Ağ Deneyin
Kurumsal ağlar, okul Wi-Fi'ları ve bazı halka açık erişim noktaları, HTTPS bağlantılarını kesen şeffaf proxy'ler kullanır. Bu proxy'ler web sitesinin SSL sertifikasını kendilerininkiyle değiştirir ve ERR_CERT_AUTHORITY_INVALID'a neden olur. Mobil veriye veya farklı bir Wi-Fi ağına geçmek ağın sorun olup olmadığını doğrular.
Hata yalnızca iş veya okul ağınızda görünüyorsa, ağ yöneticisiyle iletişime geçin — proxy'nin kök sertifikasını cihazınıza yüklemeleri veya alan adını SSL incelemesinden muaf tutmaları gerekebilir.
Web Sitesi Sahipleri İçin Düzeltmeler (Sunucu Tarafı)
Ziyaretçiler web sitenizde ERR_CERT_AUTHORITY_INVALID bildiriyorsa, sorun SSL sertifika yapılandırmanızdadır. İşte en yaygın olandan en az yaygın olana sıralanan sunucu tarafı düzeltmeleri.
Düzeltme 1: Güvenilir Bir CA'dan Sertifika Yükleyin
Kendinden imzalı sertifikalar, web sitesi sahipleri için ERR_CERT_AUTHORITY_INVALID'ın #1 nedenidir. OpenSSL veya benzer bir araçla kendi sertifikanızı oluşturduysanız, tarayıcılar asla güvenmeyecektir — imzalayan yetkili (siz) hiçbir tarayıcının güven deposunda bulunmamaktadır.
Düzeltme, halka açık güvenilir bir sertifika yetkilisinden sertifika yüklemektir. Let's Encrypt, tüm büyük tarayıcılar tarafından güvenilen ücretsiz, otomatik sertifikalar sağlar.
# Let's Encrypt sertifikasını Certbot ile yükle (Nginx)
sudo certbot --nginx -d example.com -d www.example.com
# Let's Encrypt sertifikasını Certbot ile yükle (Apache)
sudo certbot --apache -d example.com -d www.example.com
# Yüklü sertifikayı doğrula
sudo certbot certificatesDüzeltme 2: Tam Sertifika Zincirini Yükleyin
Eksik ara sertifika, sunucu tarafında ikinci en yaygın nedendir. SSL sertifikanız tamamen geçerli olabilir, ancak sunucu ara CA sertifikasını birlikte göndermezse, tarayıcı güven zincirini doğrulayamaz ve ERR_CERT_AUTHORITY_INVALID verir.
DNS Robot SSL Checker'ı kullanarak sertifika zincirinizi doğrulayın. Sağlıklı bir zincir üç sertifika gösterir: Kök CA > Ara CA > Sertifikanız.
# Sertifika zincirinizi OpenSSL ile kontrol edin
openssl s_client -connect example.com:443 -showcerts 2>/dev/null | grep -E 's:|i:'
# Nginx — tam zinciri yapılandır
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
# Apache — tam zinciri yapılandır
SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pemDüzeltme 3: Süresi Dolmuş Sertifikayı Yenileyin
Süresi dolmuş sertifikalar tüm tarayıcılar tarafından anında reddedilir. Sertifika süre sonu tarihini SSL Checker veya komut satırı ile kontrol edin.
# Sertifika süre sonu tarihini kontrol et
openssl s_client -connect example.com:443 2>/dev/null | openssl x509 -noout -dates
# Certbot ile zorla yenile
sudo certbot renew --force-renewal
# Yenilemeden sonra web sunucusunu yeniden başlat
sudo systemctl reload nginx
sudo systemctl reload apache2Düzeltme 4: Sertifikanın Alan Adınızla Eşleştiğinden Emin Olun
SSL sertifikası, Common Name (CN) ve Subject Alternative Name (SAN) alanlarında listelenen belirli alan adları için verilir. Web sitenize www.example.com üzerinden erişiliyorsa ancak sertifika yalnızca example.com'u kapsıyorsa, Chrome ERR_CERT_AUTHORITY_INVALID gösterebilir.
Joker sertifikalar (*.example.com) tüm alt alan adlarını kapsar ancak SAN olarak açıkça listelenmediği sürece kök alan adını kapsamaz. Joker sertifika oluştururken her zaman hem example.com hem de *.example.com'u dahil edin.
Düzeltme 5: Sunucu TLS Yapılandırmasını Kontrol Edin
Yanlış yapılandırılmış TLS ayarları, geçerli bir sertifika ile bile sertifika güven sorunlarına neden olabilir. Sunucunuzun TLS 1.2 ve TLS 1.3'ü desteklediğinden emin olun — TLS 1.0 ve 1.1 gibi eski protokoller 2020'den beri tüm büyük tarayıcılar tarafından kullanımdan kaldırılmıştır.
# Nginx önerilen TLS yapılandırması
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;
ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';
# TLS yapılandırmanızı test edin
openssl s_client -connect example.com:443 -tls1_2
openssl s_client -connect example.com:443 -tls1_3Localhost'ta ERR_CERT_AUTHORITY_INVALID (Geliştiriciler)
Geliştiriciler, geliştirme için yerel HTTPS sunucuları çalıştırırken bu hatayla sıkça karşılaşır. localhost sertifikaları her zaman kendinden imzalı olduğundan, Chrome bunları varsayılan olarak engeller.
mkcert — en kolay çözüm.
mkcertyükleyin, güven deposuna yerel CA eklemek içinmkcert -installçalıştırın, ardından cert oluşturun:mkcert localhost 127.0.0.1 ::1Chrome atlatma — hata sayfasında
thisisunsafeyazın (giriş alanı yok — sadece klavyede yazın). Yalnızca mevcut oturum için uyarıyı atlarChrome bayrağı —
chrome://flags/#allow-insecure-localhostadresine gidin ve etkinleştirinVite/Next.js/Webpack — çoğu dev sunucusu kendinden imzalı certler oluşturan
--httpsbayraklarını destekler
# mkcert yükle (macOS)
brew install mkcert
mkcert -install
# localhost sertifikası oluştur
mkcert localhost 127.0.0.1 ::1
# Oluşturur: localhost+2.pem ve localhost+2-key.pemİlgili SSL Sertifika Hataları
NET::ERR_CERT_AUTHORITY_INVALID, karşılaşabileceğiniz çeşitli SSL sertifika hatalarından yalnızca biridir.
| Hata Kodu | Anlamı | DNS Robot Rehberi |
|---|---|---|
| ERR_CERT_AUTHORITY_INVALID | Güvenilir CA tarafından imzalanmamış sertifika | Bu makale |
| ERR_SSL_PROTOCOL_ERROR | Sertifika kontrolünden önce TLS el sıkışması başarısız | [Düzeltme rehberi](/blog/err-ssl-protocol-error-fix) |
| ERR_SSL_VERSION_OR_CIPHER_MISMATCH | Paylaşılan TLS sürümü veya şifre paketi yok | [Düzeltme rehberi](/blog/err-ssl-version-or-cipher-mismatch) |
| ERR_CERT_DATE_INVALID | Sertifika süresi dolmuş veya henüz geçerli değil | Sertifika tarihlerini kontrol edin |
| ERR_CERT_COMMON_NAME_INVALID | Sertifika alan adı URL ile eşleşmiyor | SAN/CN alanlarını kontrol edin |
| NET::ERR_CERT_REVOKED | Sertifika düzenleyen CA tarafından iptal edilmiş | Sertifikayı yeniden düzenleyin |
SSL sertifika zincirinizi şimdi kontrol edin
DNS Robot'un ücretsiz SSL Checker'ını kullanarak sertifika zincirinizi, süre sonu tarihlerinizi ve TLS yapılandırmanızı doğrulayın. Eksik ara sertifikaları, süresi dolmuş certleri ve alan adı uyumsuzluklarını anında tespit edin.
Try SSL CheckerFrequently Asked Questions
Tarayıcınızın web sitesinin SSL sertifikasını imzalayan sertifika yetkilisine güvenmediği anlamına gelir. Sertifika kendinden imzalı, bilinmeyen bir CA tarafından verilmiş veya ara sertifika zinciri eksik olabilir.