Чому виникають помилки SSL-з’єднання і як їх виправити?

Усунення SSL-помилок

SSL – протокол захищеного з’єднання, що являє собою шифрування інформації, яка передається між веб-сайтом і браузером, який гарантує безпеку і конфіденційність особистих даних користувачів.

Наявність ssl сертифікату підвищує довіру потенційних клієнтів, особливо, якщо на сайті використовуються платіжні шлюзи, форми авторизації з введенням особистих даних, облікові записи користувачів з особистими паролями, тощо.

Якщо ви досі не замовили і не встановили ssl сертифікат на свій сайт, рекомендуємо це зробити прямо зараз.

Якщо вам знадобиться допомога у виборі та налаштуванні, звертайтеся до нашої тех.підтримки.

Так що ж робити, якщо ви відкрили сторінку в браузері і з’явилася помилка підключення ssl?

Помилки SSL-з’єднання та їх усунення

Давайте розберемося чому виникає помилка SSL і як правильно здійснити налаштування браузера і системи, щоб уникнути цієї проблеми.

Збій актуальних дати і часу

Браузери звіряють дату і час на вашому комп’ютері, з метою упевнитися, що термін дії сертифіката не завершився.

Тому, якщо дата і час не відповідає поточним, ви отримаєте помилку SSL-з’єднання.
В даному випадку, браузер сам вказує можливий вид помилки і повідомляє, що необхідно встановити коректну дату і час.

Щоб усунути помилку потрібно встановити актуальні дату і час на своєму пристрої, і перезавантажити браузер або веб-сторінку.

SSL-сертифікат не викликає довіри

Якщо ви відкрили сайт і отримали повідомлення про те, що «SSL-сертифікат сайту не заслуговує на довіру». З’явиться вона може також через встановлені неправильно дату, час також або, в разі, якщо браузер не має можливості перевірити ланцюжок сертифіката, так як немає кореневого сертифіката.

Щоб позбавиться від помилки в даному випадку необхідно завантажити та встановити GeoTrust Primary Certification Authority, в якому містяться кореневі сертифікати.

Щоб відкрити центр сертифікатів, натисніть сполучення клавіш Win + R, викликаємо термінал і вводимо команду certmgr.msc
натискаємо Ok.

Знаходимо розділ «Довірені кореневі центри сертифікації» переходимо в «Сертифікати», натискаємо правою кнопкою мишки, щоб відкрити список опцій і вибираємо «Усі завдання – імпорт». Після запуску імпорту натискаємо Далі.

Довірені кореневі центри сертифікації

Після чого натискаємо Огляд і вибираємо завантажений сертифікат.

Майстер імпорту сертифікатів

У діалоговому вікні вказуємо розміщення Довірені кореневі центри сертифікації.

Поле для импорта нужного файла

Перевіряємо відображення сайту, після перезавантаження комп’ютера.

Расположение сертификата в хранилище

Даний метод рекомендується використовувати тільки при крайній необхідності, так як налаштування може сильно вплинути на безпеку системи. Проробляти радимо тільки для довірених надійних сайтів (Google, Яндекс і т.п.)

Брандмауер або антивірус, що блокують сайт

Брандмауер може блокувати деякі сайти.
Щоб переконається, що справа саме в ньому потрібно відключити тимчасово брандмауер і перевірити роботу сайту.
В Internet Explorer є можливість додати сайт в список надійних, тим самим виключивши його перевірку. Дані дії не рекомендовані, так як знижують безпеку пристрою.
Також варто перевірити чи не відбувається блокування з боку антивіруса.
Перевіряємо тимчасово відключивши антивірус (або відключивши перевірку протоколів SSL і HTTPS – даний момент особливо стосується встановлених самопідписаних сертифікатів і Let’s Encrypt), після чого заходимо повторно на сайт.
В даному випадку можна виключити сканування антивірусної програми сайту.

Ввімкнений експериментальний протокол QUIC

QUIC – це новий протокол, використовується для швидкого підключення до інтернету. Основою QUIC є підтримка декількох з’єднань. Ви можете відключити цей протокол в конфігурації вашого браузера.

Для прикладу, як відключити QUIC, скористаємося найпопулярнішим браузером Google Chrome.

Відкриваємо браузер і вводимо команду chrome://flags/#enable-quic;
У вікні знаходимо параметр: Experimental QUIC protocol. У випадаючому меню вибираємо опцію Disable.

Перезавантажуємо браузер. Перевіряємо роботу сайтів.
Це універсальний спосіб для Windows і MacOS.

Відсутність оновлень операційної системи

У разі, якщо системні оновлення давно не проводилися, це може призвести до помилки SSL-з’єднання. Дана проблема особливо стосується старих версій ПЗ Windows (7, Vista, XP і т.п.)
Оновлення систему і перевірте роботу захищеного з’єднання.

В процесі генерації сертифіката виникла помилка «Invalid CSR»

Якщо в процесі генерації сертифіката у вас виникла помилка «Invalid CSR», то вона може бути в результаті наступних причин:

  • Невірно вказано домен (доменне ім’я вказуємо виду domain.com і subdomain.domain.com (в разі субдоменів). Без уточнення www. або http://
  • Для wildcard-сертифікатів доменне ім’я має бути виду * .domain.com.
  • CSR і пароль повинні складатися виключно з латинських букв і цифр. Якщо присутні спецсимволи або НЕ латинські букви, буде виникати помилка.
  • Невірно вказано код країни. Код країни складається з двобуквеного ISO 3166-1 коду (наприклад, UA, US і т.д.).
  • CSR-запит починається і закінчується керуючої рядком (–BEGIN CERTIFICATE REQUEST–) (–END CERTIFICATE REQUEST–).
  • Прописується рядок без пробілів спочатку і в кінці.
  • Довжина ключа не менше 2048 біт.
  • У CSR-коді для сертифіката, з підтримкою захисту одного домену, не можна вказувати Subject Alternative Names. SAN-назви вказуються тільки для мультидомених (UCC) сертифікатів.
  • При перевипуску або продовження сертифіката змінилося поле Common Name. Це поле не повинно змінюватися.

Висновок

Ми розглянули найбільш розповсюджені причини помилок підключення SSL (Secure Socket Layer) протоколу і варіанти їх вирішення. Сподіваємося, що дотримуючись наших інструкцій, вам вдалося знайти рішення проблеми і продовжити безпечно користуватися мережею Інтернет.
Пам’ятайте, що переходити по сайтам без захищеного з’єднання може бути небезпечно.

Можливо, вас зацікавить

post thumbnail

Що таке змішаний контент (mixed content) і як його виправити

Ви вже вибрали і встановили SSL-сертифікат на ваш сайт, щоб захистити персональні дані ваших...

Diana Honcharenko | Оновлено: 17.12.2021

post thumbnail

Вимога операційного існування

Наступна вимога для випуску EV SSL-сертифіката – довести операційне існування компанії. Центр сертифікації повинен підтвердити,...

Diana Honcharenko | Оновлено: 17.12.2021

post thumbnail

Вимога щодо аутентифікації організації для EV SSL сертифікату

Наступна вимога в процесі розширеної перевірки називається аутентифікація організації – підтвердження Центром сертифікації, що...

Diana Honcharenko | Оновлено: 17.12.2021

post thumbnail

Вимоги до заключного перевірочного дзвінка і остаточної перевірки викликів для EV SSL / TLS сертифікатів

Заключною вимогою для випуску EV SSL-сертифікатів є дзвінок перевірки. Центр сертифікації (ЦС) повинен поговорити з...

Diana Honcharenko | Оновлено: 17.12.2021