NET::ERR_CERT_AUTHORITY_INVALID: Cách Khắc Phục (Chrome, Edge, Firefox) — Kết Nối Của Bạn Không Phải Là Kết Nối Riêng Tư
NET::ERR_CERT_AUTHORITY_INVALID Là Gì?
NET::ERR_CERT_AUTHORITY_INVALID là lỗi bảo mật trình duyệt xuất hiện khi Chrome, Edge hoặc trình duyệt dựa trên Chromium khác không tin tưởng tổ chức cấp chứng chỉ (CA) đã ký chứng chỉ SSL của trang web. Trình duyệt chặn kết nối và hiển thị cảnh báo "Kết nối của bạn không phải là kết nối riêng tư" để bảo vệ bạn khỏi các trang web lừa đảo tiềm ẩn.
Khác với ERR_SSL_PROTOCOL_ERROR (nghĩa là quá trình bắt tay TLS đã thất bại), ERR_CERT_AUTHORITY_INVALID nghĩa là quá trình bắt tay đã hoàn tất nhưng bước xác thực chứng chỉ thất bại. Trình duyệt đã nhận chứng chỉ, kiểm tra nó và quyết định rằng nó không đáng tin cậy.
Mã lỗi nội bộ của Chromium là net::ERR_CERT_AUTHORITY_INVALID (mã lỗi -202). Nó thuộc họ lỗi chứng chỉ, bao gồm các lỗi liên quan như ERR_CERT_DATE_INVALID và ERR_SSL_VERSION_OR_CIPHER_MISMATCH.
ERR_CERT_AUTHORITY_INVALID Trông Như Thế Nào Trên Mỗi Trình Duyệt
Các trình duyệt khác nhau hiển thị các thông báo lỗi khác nhau cho cùng một vấn đề. Biết cần tìm gì giúp bạn chẩn đoán xem bạn đang gặp vấn đề về tổ chức cấp chứng chỉ hay lỗi SSL khác.
| Trình duyệt | Tiêu đề trang lỗi | Mã lỗi |
|---|---|---|
| Chrome | Kết nối của bạn không phải là kết nối riêng tư | NET::ERR_CERT_AUTHORITY_INVALID |
| Edge | Kết nối của bạn không riêng tư | NET::ERR_CERT_AUTHORITY_INVALID |
| Firefox | Cảnh báo: Rủi ro bảo mật tiềm ẩn phía trước | SEC_ERROR_UNKNOWN_ISSUER hoặc MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT |
| Safari | Kết nối này không riêng tư | Không hiển thị mã lỗi cụ thể |
| Opera | Kết nối của bạn không phải là kết nối riêng tư | NET::ERR_CERT_AUTHORITY_INVALID |
| Brave | Kết nối của bạn không phải là kết nối riêng tư | NET::ERR_CERT_AUTHORITY_INVALID |
Cơ Chế Tin Tưởng Chứng Chỉ SSL Hoạt Động Như Thế Nào (Chuỗi Tin Cậy)
Để hiểu tại sao lỗi này xảy ra, bạn cần biết cách trình duyệt xác thực chứng chỉ SSL. Mỗi chứng chỉ là một phần của chuỗi tin cậy dẫn ngược về tổ chức cấp chứng chỉ gốc (CA).
Khi trình duyệt của bạn kết nối với trang web qua HTTPS, máy chủ gửi chứng chỉ SSL cùng với các chứng chỉ trung gian. Trình duyệt sau đó duyệt theo chuỗi: kiểm tra rằng chứng chỉ lá (chứng chỉ của trang web) được ký bởi CA trung gian, và CA trung gian được ký bởi CA gốc mà trình duyệt đã tin tưởng. Các trình duyệt và hệ điều hành hiện đại đi kèm với khoảng 150 chứng chỉ CA gốc được cài đặt sẵn từ các tổ chức như DigiCert, Let's Encrypt (ISRG Root), Sectigo và GlobalSign.
Nếu bất kỳ mắt xích nào trong chuỗi này bị đứt — CA gốc bị thiếu, chứng chỉ trung gian không được bao gồm, hoặc CA ký không được công nhận — trình duyệt sẽ đưa ra lỗi ERR_CERT_AUTHORITY_INVALID. Để tìm hiểu chi tiết hơn, xem hướng dẫn của chúng tôi về chuỗi chứng chỉ SSL là gì.
CA gốc — tự ký, được cài đặt sẵn trong kho tin cậy của hệ điều hành/trình duyệt (~150 gốc đáng tin cậy)
CA trung gian — được ký bởi CA gốc, phải được máy chủ gửi trong quá trình bắt tay TLS
Chứng chỉ lá — chứng chỉ của trang web bạn, được ký bởi CA trung gian
Xác thực — trình duyệt duyệt chuỗi từ lá đến gốc; mọi chữ ký đều phải được xác minh
Nguyên Nhân Gây Ra NET::ERR_CERT_AUTHORITY_INVALID
Lỗi này có cả nguyên nhân phía máy chủ (vấn đề của trang web) và nguyên nhân phía máy khách (vấn đề của thiết bị bạn). Nếu lỗi xuất hiện trên chỉ một trang web, vấn đề gần như chắc chắn là phía máy chủ. Nếu xuất hiện trên nhiều hoặc tất cả các trang web HTTPS, vấn đề nằm ở phía bạn.
| Nguyên nhân | Phía | Mức độ phổ biến | Kiểm tra nhanh |
|---|---|---|---|
| Chứng chỉ tự ký | Máy chủ | Rất phổ biến | Kiểm tra tổ chức phát hành chứng chỉ trong biểu tượng khóa trình duyệt |
| Thiếu chứng chỉ trung gian | Máy chủ | Phổ biến | Dùng SSL Checker của DNS Robot để xác minh chuỗi |
| Chứng chỉ SSL hết hạn | Máy chủ | Phổ biến | Kiểm tra ngày chứng chỉ trên trình duyệt hoặc SSL Checker |
| Chứng chỉ cấp cho sai tên miền | Máy chủ | Thỉnh thoảng | So sánh CN/SAN của chứng chỉ với tên miền URL |
| Ngày giờ hệ thống sai | Máy khách | Phổ biến | Kiểm tra đồng hồ thiết bị của bạn |
| Hệ điều hành hoặc trình duyệt lỗi thời | Máy khách | Phổ biến | Thiếu CA gốc mới như ISRG Root X1 |
| Phần mềm diệt virus chặn SSL | Máy khách | Trung bình | Phần mềm diệt virus thay thế chứng chỉ bằng CA riêng |
| Proxy/tường lửa doanh nghiệp | Máy khách | Trung bình | Proxy MITM chèn chứng chỉ không đáng tin cậy |
| Chứng chỉ cũ trong bộ nhớ đệm | Máy khách | Thỉnh thoảng | Chứng chỉ cũ trong bộ nhớ đệm SSL của trình duyệt |
| Tiện ích mở rộng trình duyệt can thiệp | Máy khách | Hiếm | Tiện ích VPN hoặc bảo mật thay đổi lưu lượng |
Cách Khắc Phục Cho Người Truy Cập (Phía Máy Khách)
Nếu bạn thấy NET::ERR_CERT_AUTHORITY_INVALID khi duyệt một trang web mà bạn không quản lý, hãy thử các cách sửa sau theo thứ tự. Bắt đầu với các kiểm tra nhanh nhất trước — vấn đề thường đơn giản hơn bạn nghĩ.
Cách 1: Kiểm Tra Ngày Giờ Hệ Thống
Đồng hồ hệ thống sai là một trong những nguyên nhân hay bị bỏ qua nhất của lỗi chứng chỉ. Chứng chỉ SSL có khoảng thời gian hiệu lực (ngày Bắt đầu và Kết thúc). Nếu thiết bị của bạn nghĩ là năm 2020 trong khi thực tế là năm 2026, chứng chỉ được cấp năm 2025 sẽ hiển thị là "chưa có hiệu lực" và trình duyệt từ chối nó.
Cách sửa này mất 10 giây và giải quyết vấn đề thường xuyên hơn mọi người nghĩ — đặc biệt sau khi hết pin BIOS, khôi phục snapshot máy ảo, hoặc lệch giờ khi khởi động kép.
# Windows — check and sync system time
w32tm /query /status
w32tm /resync
# macOS — enable automatic time sync
sudo sntp -sS time.apple.com
# Linux — sync with NTP
sudo timedatectl set-ntp true
timedatectl statusCách 2: Thử Chế Độ Ẩn Danh/Duyệt Riêng Tư
Mở trang web trong cửa sổ ẩn danh giúp loại trừ bộ nhớ đệm trình duyệt, cookie và sự can thiệp của tiện ích mở rộng cùng một lúc. Nếu trang web tải bình thường ở chế độ ẩn danh, vấn đề là trạng thái chứng chỉ đã lưu trong bộ nhớ đệm hoặc tiện ích mở rộng gây lỗi — không phải bản thân trang web.
Để mở chế độ ẩn danh: nhấn Ctrl+Shift+N trong Chrome hoặc Edge, hoặc Ctrl+Shift+P trong Firefox.
Cách 3: Xóa Bộ Nhớ Đệm và Cookie Trình Duyệt
Trình duyệt lưu thông tin chứng chỉ SSL vào bộ nhớ đệm để tăng tốc các kết nối tiếp theo. Nếu trang web gần đây đã gia hạn hoặc thay thế chứng chỉ, trình duyệt của bạn có thể vẫn giữ chứng chỉ cũ (không hợp lệ) trong bộ nhớ đệm, gây ra lỗi ERR_CERT_AUTHORITY_INVALID mặc dù máy chủ hiện đã có chứng chỉ hợp lệ.
# Chrome: Clear cache via keyboard shortcut
# Windows/Linux: Ctrl+Shift+Delete
# macOS: Cmd+Shift+Delete
# Select "Cached images and files" and "Cookies" → Clear data
# Firefox: Clear cache
# Ctrl+Shift+Delete → select "Cache" and "Cookies" → Clear NowCách 4: Xóa Trạng Thái SSL (Windows)
Windows duy trì bộ nhớ đệm chứng chỉ SSL riêng biệt ở cấp hệ điều hành, độc lập với bộ nhớ đệm trình duyệt. Xóa bộ nhớ đệm này buộc Windows phải lấy lại và xác thực lại chứng chỉ từ đầu.
# Method 1: Via Internet Options
# Open Internet Options (inetcpl.cpl) → Content tab → "Clear SSL State" button
# Method 2: Via command line
# Open Command Prompt as Administrator:
certutil -URLcache * deleteCách 5: Tắt Tiện Ích Mở Rộng Trình Duyệt
Các tiện ích bảo mật, tiện ích VPN, trình chặn quảng cáo và công cụ bảo mật có thể can thiệp vào kết nối SSL. Một số tiện ích hoạt động như proxy cục bộ, chặn lưu lượng HTTPS và thay thế chứng chỉ — điều này kích hoạt ERR_CERT_AUTHORITY_INVALID.
Tạm thời tắt tất cả tiện ích mở rộng để kiểm tra: vào chrome://extensions/ và tắt từng tiện ích, sau đó tải lại trang web. Nếu lỗi biến mất, bật lại từng tiện ích một để tìm ra thủ phạm.
Cách 6: Cập Nhật Hệ Điều Hành và Trình Duyệt
Chứng chỉ CA gốc được phân phối thông qua các bản cập nhật hệ điều hành và trình duyệt. Nếu hệ điều hành của bạn đã lỗi thời, kho tin cậy có thể không bao gồm các CA gốc mới hơn. Ví dụ, chứng chỉ ISRG Root X1 (được Let's Encrypt sử dụng) chỉ được thêm vào các phiên bản Android và Windows cũ hơn thông qua cập nhật. Các thiết bị chạy Android 7.0 trở về trước có thể hoàn toàn thiếu chứng chỉ gốc này.
Chrome và Edge dựa vào kho tin cậy của hệ điều hành trên Windows và macOS, trong khi Firefox sử dụng kho riêng. Giữ cả hệ điều hành và trình duyệt được cập nhật đảm bảo bạn có các chứng chỉ gốc đáng tin cậy mới nhất.
Cách 7: Tắt Quét SSL/HTTPS Của Phần Mềm Diệt Virus
Phần mềm diệt virus như Kaspersky, Avast, ESET và Bitdefender thường có tính năng "quét HTTPS" hoặc "chặn SSL". Tính năng này hoạt động như một kẻ trung gian: giải mã lưu lượng HTTPS bằng chứng chỉ riêng, quét và mã hóa lại. Nếu chứng chỉ CA của phần mềm diệt virus không được cài đặt trong kho tin cậy của trình duyệt, mọi trang HTTPS đều hiển thị ERR_CERT_AUTHORITY_INVALID.
Để kiểm tra: tạm thời tắt tính năng quét HTTPS trong cài đặt phần mềm diệt virus (không phải toàn bộ phần mềm diệt virus — chỉ thành phần quét SSL/web). Nếu lỗi biến mất, bạn có thể giữ quét ở chế độ tắt hoặc cài đặt lại chứng chỉ gốc của phần mềm diệt virus vào trình duyệt.
Cách 8: Xóa Bộ Nhớ Đệm DNS
Trong một số trường hợp hiếm, bộ nhớ đệm DNS cũ có thể chuyển hướng trình duyệt của bạn đến địa chỉ IP sai — một địa chỉ phục vụ chứng chỉ SSL khác (không hợp lệ). Xóa DNS đảm bảo thiết bị của bạn phân giải tên miền đến đúng máy chủ. Để xem hướng dẫn đầy đủ, xem cách xóa bộ nhớ đệm DNS.
# Windows
ipconfig /flushdns
# macOS
sudo dscacheutil -flushcache && sudo killall -HUP mDNSResponder
# Linux
sudo systemd-resolve --flush-caches
# Chrome internal DNS cache
# Navigate to: chrome://net-internals/#dns → "Clear host cache"Cách 9: Thử Mạng Khác
Mạng công ty, Wi-Fi trường học và một số điểm truy cập công cộng sử dụng proxy trong suốt để chặn kết nối HTTPS. Các proxy này thay thế chứng chỉ SSL của trang web bằng chứng chỉ riêng, gây ra ERR_CERT_AUTHORITY_INVALID. Chuyển sang dữ liệu di động hoặc mạng Wi-Fi khác để xác nhận liệu mạng có phải là vấn đề hay không.
Nếu lỗi chỉ xuất hiện trên mạng công ty hoặc trường học, hãy liên hệ quản trị viên mạng — họ có thể cần cài đặt chứng chỉ gốc của proxy trên thiết bị của bạn, hoặc đưa tên miền vào danh sách trắng khỏi kiểm tra SSL.
Cách Khắc Phục Cho Chủ Sở Hữu Trang Web (Phía Máy Chủ)
Nếu khách truy cập báo cáo ERR_CERT_AUTHORITY_INVALID trên trang web của bạn, vấn đề nằm ở cấu hình chứng chỉ SSL. Đây là các cách sửa phía máy chủ, được sắp xếp từ phổ biến nhất đến ít phổ biến nhất.
Cách 1: Cài Đặt Chứng Chỉ Từ CA Đáng Tin Cậy
Chứng chỉ tự ký là nguyên nhân #1 gây ra ERR_CERT_AUTHORITY_INVALID đối với chủ sở hữu trang web. Nếu bạn tự tạo chứng chỉ bằng OpenSSL hoặc công cụ tương tự, trình duyệt sẽ không bao giờ tin tưởng nó — tổ chức ký (bạn) không có trong kho tin cậy của bất kỳ trình duyệt nào.
Cách sửa là cài đặt chứng chỉ từ tổ chức cấp chứng chỉ được công nhận. Let's Encrypt cung cấp chứng chỉ miễn phí, tự động, được tất cả trình duyệt lớn tin tưởng. Đối với các trang thương mại, chứng chỉ trả phí từ DigiCert, Sectigo hoặc GlobalSign cung cấp xác thực mở rộng (EV) và thời hạn dài hơn.
# Install Let's Encrypt certificate with Certbot (Nginx)
sudo certbot --nginx -d example.com -d www.example.com
# Install Let's Encrypt certificate with Certbot (Apache)
sudo certbot --apache -d example.com -d www.example.com
# Verify the installed certificate
sudo certbot certificatesCách 2: Cài Đặt Chuỗi Chứng Chỉ Đầy Đủ
Thiếu chứng chỉ trung gian là nguyên nhân phía máy chủ phổ biến thứ hai. Chứng chỉ SSL của bạn có thể hoàn toàn hợp lệ, nhưng nếu máy chủ không gửi chứng chỉ CA trung gian cùng với nó, trình duyệt không thể xác minh chuỗi tin cậy và đưa ra lỗi ERR_CERT_AUTHORITY_INVALID.
Sử dụng SSL Checker của DNS Robot để xác minh chuỗi chứng chỉ của bạn. Một chuỗi khỏe mạnh hiển thị ba chứng chỉ: CA gốc > CA trung gian > Chứng chỉ của bạn. Nếu chứng chỉ trung gian bị thiếu, bạn cần cấu hình máy chủ để gửi chuỗi đầy đủ.
# Check your certificate chain with OpenSSL
openssl s_client -connect example.com:443 -showcerts 2>/dev/null | grep -E 's:|i:'
# Expected output (3 certificates in chain):
# s:CN = example.com (your cert)
# i:CN = R11 (intermediate - Let's Encrypt)
# s:CN = R11
# i:CN = ISRG Root X1 (root CA)
# Nginx — configure full chain
# ssl_certificate should point to the fullchain file, not just the cert:
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
# Apache — configure full chain
SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pemCách 3: Gia Hạn Chứng Chỉ Hết Hạn
Chứng chỉ hết hạn bị tất cả trình duyệt từ chối ngay lập tức. Chrome cụ thể hiển thị ERR_CERT_AUTHORITY_INVALID (không phải ERR_CERT_DATE_INVALID) trong một số trường hợp khi CA trung gian của chứng chỉ hết hạn cũng đã được thay đổi. Kiểm tra ngày hết hạn chứng chỉ bằng SSL Checker hoặc qua dòng lệnh.
# Check certificate expiry date
openssl s_client -connect example.com:443 2>/dev/null | openssl x509 -noout -dates
# Output:
# notBefore=Jan 1 00:00:00 2026 GMT
# notAfter=Apr 1 00:00:00 2026 GMT
# Force renewal with Certbot
sudo certbot renew --force-renewal
# Restart web server after renewal
sudo systemctl reload nginx # Nginx
sudo systemctl reload apache2 # ApacheCách 4: Đảm Bảo Chứng Chỉ Khớp Với Tên Miền
Chứng chỉ SSL được cấp cho các tên miền cụ thể được liệt kê trong các trường Common Name (CN) và Subject Alternative Name (SAN). Nếu trang web của bạn được truy cập qua www.example.com nhưng chứng chỉ chỉ bao phủ example.com, hoặc nếu bạn truy cập subdomain không có trong SAN, Chrome có thể hiển thị ERR_CERT_AUTHORITY_INVALID.
Chứng chỉ ký tự đại diện (*.example.com) bao phủ tất cả subdomain nhưng không bao phủ tên miền gốc trừ khi nó được liệt kê rõ ràng trong SAN. Luôn bao gồm cả example.com và *.example.com khi tạo chứng chỉ ký tự đại diện.
Cách 5: Kiểm Tra Cấu Hình TLS Của Máy Chủ
Cấu hình TLS sai có thể gây ra vấn đề tin cậy chứng chỉ ngay cả khi chứng chỉ hợp lệ. Đảm bảo máy chủ của bạn hỗ trợ TLS 1.2 và TLS 1.3 — các giao thức cũ hơn như TLS 1.0 và 1.1 đã bị tất cả trình duyệt lớn ngừng hỗ trợ từ năm 2020. Ngoài ra, hãy xác minh rằng máy chủ gửi chứng chỉ theo đúng thứ tự (lá trước, sau đó là trung gian).
# Nginx recommended TLS configuration
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;
ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';
# Test your TLS configuration
openssl s_client -connect example.com:443 -tls1_2
openssl s_client -connect example.com:443 -tls1_3ERR_CERT_AUTHORITY_INVALID Trên Localhost (Dành Cho Lập Trình Viên)
Lập trình viên thường gặp lỗi này khi chạy máy chủ HTTPS cục bộ để phát triển. Vì chứng chỉ localhost luôn là tự ký, Chrome chặn chúng theo mặc định. Có một số cách để xử lý vấn đề này.
mkcert — giải pháp dễ nhất. Cài đặt
mkcert, chạymkcert -installđể thêm CA cục bộ vào kho tin cậy, sau đó tạo chứng chỉ:mkcert localhost 127.0.0.1 ::1. Được tin tưởng tự động trên Chrome, Firefox và EdgeBỏ qua trên Chrome — gõ
thisisunsafetrên trang lỗi (không có ô nhập liệu — chỉ cần gõ trên bàn phím). Thao tác này bỏ qua cảnh báo cho phiên hiện tạiCờ Chrome — vào
chrome://flags/#allow-insecure-localhostvà bật. Thao tác này ngăn chặn lỗi chứng chỉ chỉ cholocalhostVite/Next.js/Webpack — hầu hết dev server hỗ trợ cờ
--httpsđể tạo chứng chỉ tự ký. Kết hợp với mkcert để có cấu hình cục bộ đáng tin cậy
# Install mkcert (macOS)
brew install mkcert
mkcert -install
# Generate localhost certificate
mkcert localhost 127.0.0.1 ::1
# Creates: localhost+2.pem and localhost+2-key.pem
# Use with Node.js
const https = require('https');
const fs = require('fs');
https.createServer({
cert: fs.readFileSync('localhost+2.pem'),
key: fs.readFileSync('localhost+2-key.pem')
}, app).listen(3000);Các Lỗi Chứng Chỉ SSL Liên Quan
NET::ERR_CERT_AUTHORITY_INVALID chỉ là một trong số nhiều lỗi chứng chỉ SSL mà bạn có thể gặp phải. Mỗi lỗi chỉ ra một vấn đề khác nhau trong quá trình xác thực chứng chỉ.
| Mã lỗi | Ý nghĩa | Hướng dẫn DNS Robot |
|---|---|---|
| ERR_CERT_AUTHORITY_INVALID | Chứng chỉ không được ký bởi CA đáng tin cậy | Bài viết này |
| ERR_SSL_PROTOCOL_ERROR | Bắt tay TLS thất bại trước khi kiểm tra chứng chỉ | [Hướng dẫn sửa](/blog/err-ssl-protocol-error-fix) |
| ERR_SSL_VERSION_OR_CIPHER_MISMATCH | Không có phiên bản TLS hoặc bộ mã hóa chung | [Hướng dẫn sửa](/blog/err-ssl-version-or-cipher-mismatch) |
| ERR_CERT_DATE_INVALID | Chứng chỉ hết hạn hoặc chưa có hiệu lực | Kiểm tra ngày chứng chỉ |
| ERR_CERT_COMMON_NAME_INVALID | Tên miền chứng chỉ không khớp với URL | Kiểm tra trường SAN/CN |
| NET::ERR_CERT_REVOKED | Chứng chỉ đã bị CA phát hành thu hồi | Cấp lại chứng chỉ |
Kiểm tra chuỗi chứng chỉ SSL của bạn ngay
Sử dụng SSL Checker miễn phí của DNS Robot để xác minh chuỗi chứng chỉ, ngày hết hạn và cấu hình TLS. Phát hiện ngay lập tức chứng chỉ trung gian bị thiếu, chứng chỉ hết hạn và tên miền không khớp.
Try SSL CheckerFrequently Asked Questions
Nghĩa là trình duyệt của bạn không tin tưởng tổ chức cấp chứng chỉ đã ký chứng chỉ SSL của trang web. Chứng chỉ có thể là tự ký, được cấp bởi CA không xác định, hoặc thiếu chuỗi chứng chỉ trung gian.