SSL • Сертификаты • Chrome

ERR_CERT_AUTHORITY_INVALID: сертификат не является доверенным — что делать

ERR_CERT_AUTHORITY_INVALID означает, что браузер не доверяет центру сертификации, выпустившему SSL-сертификат сайта. Это не всегда взлом: чаще виноват самоподписанный сертификат, неполная цепочка на сервере, антивирус или российский сертификат Минцифры, которого нет в Chrome.

Что значитИздатель SSL-сертификата не входит в список доверенных браузера.
Чья сторонаОбе: сертификат сайта или антивирус/часы/система посетителя.
Быстрый фиксПроверить дату на устройстве; отключить SSL-проверку антивируса; для банков РФ — сертификат Минцифры.
Как избежатьВладельцу — публичный сертификат (Let's Encrypt) с полной цепочкой.

Что означает ERR_CERT_AUTHORITY_INVALID

Каждый SSL-сертификат подписан центром сертификации (Certificate Authority, CA). Браузер хранит список корневых сертификатов, которым доверяет, и проверяет по нему цепочку: сертификат сайта → промежуточный сертификат → доверенный корень. Если цепочка не сходится к известному корню, Chrome показывает ERR_CERT_AUTHORITY_INVALID, а на экране — «Ваше подключение не защищено» или «Сертификат не является доверенным».

Ошибка говорит только о недоверии к издателю. Сайт при этом может быть и вполне легитимным (свежий сервер с самоподписанным сертификатом, российский банк с сертификатом Минцифры), и действительно опасным — поэтому реагировать нужно по ситуации, а не кликать «Продолжить» на автомате.

Частые причины

  • Самоподписанный сертификат — сервер подписал сертификат сам себе; типично для тестовых стендов, роутеров и панелей управления.
  • Неполная цепочка на сервере — владелец установил сертификат сайта без промежуточного (intermediate), и части устройств не хватает звена до корня.
  • Сертификат НУЦ Минцифры — российского корня нет в Chrome, Firefox и Safari, поэтому сайты банков и госсервисов дают ошибку.
  • Антивирус или файрвол — Kaspersky, ESET и другие с включённой проверкой HTTPS подменяют сертификаты своим, недоверенным для браузера.
  • Сбитые дата и время — устройство считает валидный сертификат недействительным.
  • Корпоративный прокси или публичный Wi-Fi — сеть вклинивается в HTTPS-трафик со своим сертификатом.

Отдельный случай: сертификаты Минцифры на сайтах банков и госсервисов

С 2022 года многие российские сайты — Сбербанк, ВТБ, Госуслуги и другие — перешли на сертификаты Национального удостоверяющего центра (НУЦ) Минцифры. Корневого сертификата НУЦ нет в зарубежных браузерах, поэтому Chrome и Firefox показывают на таких сайтах ERR_CERT_AUTHORITY_INVALID, хотя сайты подлинные.

Два рабочих решения:

  1. Установить корневые сертификаты Минцифры — скачайте их со страницы «Сертификаты национального удостоверяющего центра» на Госуслугах (gosuslugi.ru/crt) и установите по инструкции для своей ОС. После этого ошибка исчезнет во всех браузерах.
  2. Использовать браузер с встроенной поддержкой — в Яндекс Браузере и Атоме корень НУЦ уже есть, сайты открываются без предупреждений.

Скачивайте сертификаты только с Госуслуг — установка корневых сертификатов из непроверенных источников позволяет владельцу такого корня расшифровывать ваш трафик.

Как исправить посетителю: по шагам

  1. Проверьте дату и время на компьютере или телефоне и включите автоматическую синхронизацию — сбитые часы ломают проверку любого сертификата.
  2. Откройте сайт с другого устройства или из другой сети. Если там ошибки нет — проблема в вашем устройстве или сети, а не на сайте.
  3. Временно отключите проверку HTTPS в антивирусе (пункт «Проверка защищённых соединений» или SSL/TLS scanning). Если ошибка исчезла — добавьте сайт в исключения или обновите антивирус.
  4. Для российских банков и госсайтов — установите сертификаты Минцифры (раздел выше) или откройте сайт в Яндекс Браузере.
  5. На публичном Wi-Fi — сначала пройдите авторизацию в сети или переключитесь на мобильный интернет: порталы авторизации часто подменяют сертификаты.
  6. Очистите SSL-кэш (Windows: свойства браузера → Содержание → Очистить SSL) и перезапустите браузер.

Что делать владельцу сайта

Если ошибку видят посетители с разных устройств и сетей — чинить нужно сертификат на сервере.

  1. Замените самоподписанный сертификат на публичный. Бесплатного Let's Encrypt достаточно для любого сайта; выпуск автоматизируется через certbot или панель хостинга.
  2. Установите полную цепочку. Самая частая ошибка — на сервер положили только сертификат сайта без промежуточного. В nginx используйте fullchain.pem, а не cert.pem.
  3. Проверьте цепочку онлайн-чекером — сервисы SSL-проверки показывают, какого звена не хватает и на каких устройствах будут проблемы.
  4. Настройте автопродление. Сертификаты Let's Encrypt живут 90 дней; без автопродления через certbot renew ошибка вернётся, только уже как ERR_CERT_DATE_INVALID.
  5. Не используйте сертификат НУЦ Минцифры для коммерческого сайта, если ваша аудитория сидит в Chrome: вы потеряете часть посетителей на предупреждении. Публичный сертификат работает у всех.

Частые вопросы

Безопасно ли нажимать «Всё равно перейти»?

Только если вы точно знаете сайт и причину ошибки — например, это ваш собственный сервер с самоподписанным сертификатом или известный российский сайт с сертификатом Минцифры. На незнакомых сайтах и особенно при вводе паролей и карт игнорировать предупреждение нельзя: соединение может прослушиваться.

Почему ошибка появляется на сайтах банков и Госуслуг?

Российские банки и госсервисы используют сертификаты НУЦ Минцифры, корневого сертификата которого нет в Chrome и Firefox. Решение: установить корневые сертификаты Минцифры с сайта Госуслуг или открывать такие сайты в Яндекс Браузере и Атоме, где они уже встроены.

Ошибка на всех сайтах сразу — в чём причина?

Когда ERR_CERT_AUTHORITY_INVALID появляется на каждом HTTPS-сайте, проблема на вашей стороне: чаще всего это антивирус с включённой проверкой SSL-трафика, сбитые дата и время на устройстве или корпоративный прокси, подменяющий сертификаты.

Как владельцу сайта убрать эту ошибку у посетителей?

Установите сертификат публичного центра сертификации — бесплатного Let's Encrypt достаточно — и обязательно подключите полную цепочку: сертификат сайта плюс промежуточный сертификат (fullchain). Проверить цепочку можно любым онлайн SSL-чекером.

Чем ERR_CERT_AUTHORITY_INVALID отличается от ERR_CERT_DATE_INVALID?

AUTHORITY_INVALID — браузер не доверяет издателю сертификата; DATE_INVALID — сертификат просрочен или ещё не начал действовать, либо на устройстве сбито время. Первая ошибка чинится заменой сертификата или установкой корневого, вторая — продлением сертификата или исправлением часов.

Смежные ошибки и материалы

«Соединение не защищено» (ERR_SSL)Общий разбор SSL-ошибок браузера и их исправление. «Сайт не может обеспечить безопасное соединение»Причины и решение для посетителя и владельца. Как защитить сайт HTTPSSSL-сертификат, редиректы и чек-лист владельцу. Смешанный контент (mixed content)Почему замочек «ломается» даже с валидным SSL.

Сайт отдаёт ошибки?

Найду и устраню технические ошибки сайта

Проведу технический аудит, найду причину ошибок сервера, редиректов и SSL, починю и настрою мониторинг, чтобы сайт не падал молча. Старт от 5 000 рублей.

Заказать техаудит