Почему возникают ошибки SSL-соединения и как их исправить?

SSL — протокол защищенного соединения, представляет собой шифрование передаваемой информации между веб-сайтом и браузером, который гарантирует безопасность и конфиденциальность личных данных пользователей.

Наличие ssl сертификата на сайте повышает доверие потенциальных клиентов, особенно, если на сайте используются платежные шлюзы, формы авторизации с вводом личных данных, учетные записи пользователей с личными паролями.

Если вы ещё не заказали и не установили ssl сертификат на свой сайт рекомендуем это сделать прямо сейчас.

Так что же делать, если вы открыли страницу в браузере и появилась ошибка подключения ssl?

Ошибки SSL-соединения и их устранение

Давайте разберемся почему возникает ошибка SSL и как правильно осуществить настройку браузера и системы, чтобы избежать этой проблемы.

Сбой актуальных даты и времени

Браузеры сверяют дату и время на вашем компьютере, с целью удостоверится, что срок действия сертификата не истек.

Поэтому, если дата и время не соответствует текущему, вы получите ошибку SSL-соединения.

В данном случае, браузер сам указывает возможный род ошибки и сообщает, что необходимо установить корректную дату и время.

Чтобы устранить ошибку нужно установить актуальные дату и время на своем устройстве, и перезагрузить браузер или запрашиваемую веб-страницу.

SSL-сертификат не вызывает доверия

Если вы открыли сайт и получили уведомление о том что «SSL-сертификат сайта не заслуживает доверия». Появится она может также из-за установленных неправильно даты и времени или же, в случае, если браузер не имеет возможности проверить цепочку сертификата, так как нет корневого сертификата.

Чтобы избавится от ошибки в данном случае необходимо скачать и установить GeoTrust Primary Certification Authority, в котором содержатся корневые сертификаты.

Чтобы открыть центр сертификатов, сочетанием клавиш Win+R вызываем терминал и вводим команду certmgr.msc
кликаем Ok.

Находим раздел «Доверенные корневые центры сертификации» переходим в «Сертификаты», нажимаем правой кнопкой мышки, чтобы открыть выплывающий список опций и выбираем «Все задачи — импорт».

После запуска импорта кликаем Далее.

После чего кликаем Обзор и выбираем загруженный сертификат.

В диалоговом окне указываем размещение Доверенные корневые центры сертификации.

Проверяем отображение сайта, после перезагрузки компьютера.
Данный метод рекомендуется использовать только при крайней необходимости, так как настройка может сильно повлиять на безопасность системы. Проделывать советуем только для доверенных надежных сайтов (Google, Яндекс и т.п.)

Брандмауэр или антивирус, блокирующие сайт

Брандмауэр может блокировать некоторые сайты.
Чтобы убедится, что дело именно в нём, нужно отключить временно брандмауэр и проверить работу сайта.
В Internet Explorer есть возможность добавить сайт в список надежных, тем самым исключив его проверку. Данные действия не рекомендованы, так как снижают безопасность устройства.
Также стоит проверить не происходит ли блокировки со стороны антивируса.
Проверяем временно отключив антивирус (либо отключив проверку протоколов SSL и HTTPS — данный момент особенно касается установленных самоподписанных сертификатов и Let’s Encrypt), после чего зайти на сайт.
В данном случае можно исключить сканирование антивирусной программы сайта.

Включенный экспериментальный протокол QUIC

QUIC — это новый протокол, используется для быстрого подключения к интернету. Основой QUIC есть поддержка нескольких соединений. Вы можете отключить этот протокол в конфигурации вашего браузера.

Для примера, как отключить QUIC, воспользуемся самым популярным браузером Google Chrome:

Открываем браузер и вводим команду chrome://flags/#enable-quic;
В окне находим параметр: Experimental QUIC protocol. В выпадающем меню выбираем опцию Disable.

Перезагружаем браузер. Проверяем работу сайтов.
Это универсальный способ для Windows и MacOS.

Отсутствие обновлений операционной системы

В случае, если системные обновления давно не производились, это может привести к ошибке SSL-соединения. Данная проблема особенно касается старых версий ПО Windows (7, Vista, XP и т.п.)
Обновите систему и проверьте работу защищенного соединения.

Ошибки «Invalid CSR» при генерации сертификата

Если в процессе генерации сертификата у вас возникла ошибка «Invalid CSR», то она может быть в результате следующих причин:

• Неверно указан домен (доменное имя указываем вида domain.com и subdomain.domain.com (в случае наличия субдоменов). Без уточнения www. или http://
• Для wildcard-сертификатов доменное имя должно быть вида *.domain.com.
• CSR и пароль должны состоять исключительно из латинских букв и цифр. Если присутствуют спецсимволы или не латинские буквы, будет возникать ошибка.
• Неверно указан код страны. Код страны состоит из двухбуквенного ISO 3166-1 кода (например, UA, US и т.д.).
• CSR-запрос начинается и заканчивается управляющей строкой ( ——BEGIN CERTIFICATE REQUEST——) ( ——END CERTIFICATE REQUEST——).
• Прописывается строка без пробелов вначале и в конце.
• Длина ключа не меньше 2048 бит.
• В CSR-коде для сертификата, с поддержкой защиты одного домена, нельзя указывать Subject Alternative Names. SAN-имена присутствуют только для мультидоменных (UCC) сертификатов.
• При перевыпуске или продлении сертификата изменилось поле Common Name. Это поле не должно меняться.

Вывод

Мы рассмотрели наиболее распространенные причины ошибок подключения SSL (Secure Socket Layer) протокола и варианты их решения. Надеемся, что следуя нашим инструкциям, вам удалось найти решение проблемы и продолжить безопасно пользоваться сетью Интернет.
Помните, что переходить по сайтам без защищенного соединения может быть небезопасно.