Чому виникають помилки SSL-з’єднання і як їх виправити?

SSL – протокол захищеного з’єднання, що являє собою шифрування інформації, яка передається між веб-сайтом і браузером, який гарантує безпеку і конфіденційність особистих даних користувачів.

Наявність ssl сертифікату підвищує довіру потенційних клієнтів, особливо, якщо на сайті використовуються платіжні шлюзи, форми авторизації з введенням особистих даних, облікові записи користувачів з особистими паролями, тощо.

Якщо ви досі не замовили і не встановили ssl сертифікат на свій сайт, рекомендуємо це зробити прямо зараз. Якщо вам знадобиться допомога у виборі та налаштуванні, звертайтеся до нашої техпідтримки.

Так що ж робити, якщо ви відкрили сторінку в браузері і з’явилася помилка підключення ssl?

Помилки SSL-з’єднання та їх усунення

Давайте розберемося чому виникає помилка SSL і як правильно здійснити налаштування браузера і системи, щоб уникнути цієї проблеми.

Збій актуальних дати і часу

Браузери звіряють дату і час на вашому комп’ютері з метою упевнитися, що термін дії сертифіката не завершився. Тому, якщо дата і час не відповідає поточним, ви отримаєте помилку SSL-з’єднання. В даному випадку, браузер сам вказує можливий вид помилки і повідомляє, що необхідно встановити коректну дату і час.

Щоб усунути помилку потрібно встановити актуальні дату і час на своєму пристрої і перезавантажити браузер або веб-сторінку.

SSL-сертифікат не викликає довіри

Якщо ви відкрили сайт і отримали повідомлення про те, що «SSL-сертифікат сайту не заслуговує на довіру». З’явитися вона може також через неправильно встановлені дату та час, а також якщо браузер не має можливості перевірити ланцюжок сертифіката, так як немає кореневого сертифіката.

Щоб позбавитися від помилки в даному випадку необхідно завантажити та встановити GeoTrust Primary Certification Authority, в якому містяться кореневі сертифікати.

Щоб відкрити центр сертифікатів, натисніть сполучення клавіш Win + R, викликаємо термінал, вводимо команду certmgr.msc і натискаємо Ok.

Знаходимо розділ «Довірені кореневі центри сертифікації» переходимо в «Сертифікати», натискаємо правою кнопкою мишки, щоб відкрити список опцій і вибираємо «Усі завдання – імпорт». Після запуску імпорту натискаємо Далі.

Після чого натискаємо Огляд і вибираємо завантажений сертифікат.

У діалоговому вікні вказуємо розміщення Довірені кореневі центри сертифікації.

Перевіряємо відображення сайту, після перезавантаження комп’ютера.

Даний метод рекомендується використовувати тільки при крайній необхідності, так як налаштування може сильно вплинути на безпеку системи. Проробляти радимо тільки для довірених надійних сайтів.

Брандмауер або антивірус, що блокують сайт

Брандмауер може блокувати деякі сайти. Щоб переконатися, що справа саме в ньому потрібно відключити тимчасово брандмауер і перевірити роботу сайту. В Internet Explorer є можливість додати сайт в список надійних, тим самим виключивши його перевірку. Дані дії не рекомендовані, так як знижують безпеку пристрою.

Також варто перевірити чи не відбувається блокування з боку антивіруса. Перевіряємо тимчасово відключивши антивірус (або відключивши перевірку протоколів SSL і HTTPS – даний момент особливо стосується встановлених самопідписаних сертифікатів і Let’s Encrypt), після чого заходимо повторно на сайт. В даному випадку можна виключити сканування антивірусної програми сайту.

Увімкнений експериментальний протокол QUIC

QUIC – це новий протокол, що використовується для швидкого підключення до інтернету. Основою QUIC є підтримка декількох з’єднань. Ви можете відключити цей протокол в конфігурації вашого браузера.

Для прикладу, як відключити QUIC, скористаємося найпопулярнішим браузером Google Chrome. Відкриваємо браузер і вводимо команду chrome://flags/#enable-quic; У вікні знаходимо параметр: Experimental QUIC protocol. У випадаючому меню вибираємо опцію Disable. Перезавантажуємо браузер. Перевіряємо роботу сайтів. Це універсальний спосіб для Windows і MacOS.

Відсутність оновлень операційної системи

У разі, якщо системні оновлення давно не проводилися, це може призвести до помилки SSL-з’єднання. Дана проблема особливо стосується старих версій ПЗ Windows (7, Vista, XP і т.п.)
Оновіть систему і перевірте роботу захищеного з’єднання.

В процесі генерації сертифіката виникла помилка «Invalid CSR»

Якщо в процесі генерації сертифіката у вас виникла помилка «Invalid CSR», то, ймовірно, це результат одніє з цих проблем:

• невірно вказано домен (доменне ім’я вказуємо виду domain.com і subdomain.domain.com (в разі субдоменів). Без уточнення www. або http://;
• для wildcard-сертифікатів доменне ім’я має бути виду * .domain.com.;
• CSR і пароль повинні складатися виключно з латинських букв і цифр. Якщо присутні спецсимволи або НЕ латинські букви, буде виникати помилка;
• невірно вказано код країни. Код країни складається з двобуквеного ISO 3166-1 коду (наприклад, UA, US і т.д.);
• CSR-запит починається і закінчується керуючим рядком (–BEGIN CERTIFICATE REQUEST–) (–END CERTIFICATE REQUEST–);
• прописується рядок без пробілів спочатку і в кінці;
• довжина ключа не менше 2048 біт;
• у CSR-коді для сертифіката з підтримкою захисту одного домену, не можна вказувати Subject Alternative Names. SAN-назви вказуються тільки для мультидомених (UCC) сертифікатів;
• при перевипуску або продовженні сертифіката змінилося поле Common Name. Це поле не повинно змінюватися.

Висновок

Ми розглянули найбільш розповсюджені причини помилок підключення SSL (Secure Socket Layer) протоколу і варіанти їх вирішення. Сподіваємося, що дотримуючись наших інструкцій, вам вдалося знайти рішення проблеми і продовжити безпечно користуватися мережею Інтернет.
Пам’ятайте, що переходити по сайтам без захищеного з’єднання може бути небезпечно.