Чому виникають помилки SSL-з’єднання і як їх виправити?

SSL – протокол захищеного з’єднання, що являє собою шифрування інформації, яка передається між веб-сайтом і браузером, який гарантує безпеку і конфіденційність особистих даних користувачів.
Наявність ssl сертифікату підвищує довіру потенційних клієнтів, особливо, якщо на сайті використовуються платіжні шлюзи, форми авторизації з введенням особистих даних, облікові записи користувачів з особистими паролями, тощо.
Якщо ви досі не замовили і не встановили ssl сертифікат на свій сайт, рекомендуємо це зробити прямо зараз.
Якщо вам знадобиться допомога у виборі та налаштуванні, звертайтеся до нашої тех.підтримки.

Так що ж робити, якщо ви відкрили сторінку в браузері і з’явилася помилка підключення ssl.
Давайте розберемося чому виникає помилка SSL і як правильно здійснити настройку браузера і системи, щоб уникнути цієї проблеми.

Причини виникнення помилок SSL-з’єднання

Збій актуальних дати і часу
Браузери звіряють дату і час на вашому комп’ютері, з метою упевнитися, що термін дії сертифіката не завершився.
Тому, якщо дата і час не відповідає поточним, ви отримаєте помилку SSL-з’єднання.
В даному випадку, браузер сам вказує можливий вид помилки і повідомляє, що необхідно встановити коректну дату і час.

Щоб усунути помилку потрібно встановити актуальні дату і час на своєму пристрої, і перезавантажити браузер або веб-сторінку.

SSL-сертифікат не викликає довіри

Якщо ви відкрили сайт і отримали повідомлення про те, що «SSL-сертифікат сайту не заслуговує на довіру». З’явиться вона може також через встановлені неправильно дату, час також або, в разі, якщо браузер не має можливості перевірити ланцюжок сертифіката, так як немає кореневого сертифіката.
Щоб позбавиться від помилки в даному випадку необхідно завантажити та встановити GeoTrust Primary Certification Authority, в якому містяться кореневі сертифікати.
Щоб відкрити центр сертифікатів, натисніть сполучення клавіш Win + R, викликаємо термінал і вводимо команду certmgr.msc
натискаємо Ok.

Знаходимо розділ «Довірені кореневі центри сертифікації» переходимо в «Сертифікати», натискаємо правою кнопкою мишки, щоб відкрити список опцій і вибираємо «Усі завдання – імпорт». Після запуску імпорту натискаємо Далі.

Після чого натискаємо Огляд і вибираємо завантажений сертифікат.


У діалоговому вікні вказуємо розміщення Довірені кореневі центри сертифікації.


Перевіряємо відображення сайту, після перезавантаження комп’ютера.

Даний метод рекомендується використовувати тільки при крайній необхідності, так як налаштування може сильно вплинути на безпеку системи. Проробляти радимо тільки для довірених надійних сайтів (Google, Яндекс і т.п.)

Брандмауер або антивірус, що блокують сайт

Брандмауер може блокувати деякі сайти.
Щоб переконається, що справа саме в ньому потрібно відключити тимчасово брандмауер і перевірити роботу сайту.
В Internet Explorer є можливість додати сайт в список надійних, тим самим виключивши його перевірку. Дані дії не рекомендовані, так як знижують безпеку пристрою.
Також варто перевірити чи не відбувається блокування з боку антивіруса.
Перевіряємо тимчасово відключивши антивірус (або відключивши перевірку протоколів SSL і HTTPS – даний момент особливо стосується встановлених самопідписаних сертифікатів і Let’s Encrypt), після чого заходимо повторно на сайт.
В даному випадку можна виключити сканування антивірусної програми сайту.

Включений експериментальний протокол QUIC

QUIC – це новий протокол, використовується для швидкого підключення до інтернету. Основою QUIC є підтримка декількох з’єднань. Ви можете відключити цей протокол в конфігурації вашого браузера.

Для прикладу, як відключити QUIC, скористаємося найпопулярнішим браузером Google Chrome.
Відкриваємо браузер і вводимо команду chrome://flags/#enable-quic;
У вікні знаходимо параметр: Experimental QUIC protocol. У випадаючому меню вибираємо опцію Disable.

Перезавантажуємо браузер. Перевіряємо роботу сайтів.
Це універсальний спосіб для Windows і MacOS.

Відсутність оновлень операційної системи

У разі, якщо системні оновлення давно не проводилися, це може призвести до помилки SSL-з’єднання. Дана проблема особливо стосується старих версій ПЗ Windows (7, Vista, XP і т.п.)
Оновлення систему і перевірте роботу захищеного з’єднання.

В процесі генерації сертифіката виникла помилка «Invalid CSR»
Якщо в процесі генерації сертифіката у вас виникла помилка «Invalid CSR», то вона може бути в результаті наступних причин:

  • невірно вказано домен (доменне ім’я вказуємо виду domain.com і subdomain.domain.com (в разі субдоменів). Без уточнення www. або http://
  • Для wildcard-сертифікатів доменне ім’я має бути виду * .domain.com.
  • CSR і пароль повинні складатися виключно з латинських букв і цифр. Якщо присутні спецсимволи або НЕ латинські букви, буде виникати помилка.
  • Невірно вказано код країни. Код країни складається з двобуквеного ISO 3166-1 коду (наприклад, UA, US і т.д.).
  • CSR-запит починається і закінчується керуючої рядком (–BEGIN CERTIFICATE REQUEST–) (–END CERTIFICATE REQUEST–).
  • Прописується рядок без пробілів спочатку і в кінці.
  • Довжина ключа не менше 2048 біт.
  • У CSR-коді для сертифіката, з підтримкою захисту одного домену, не можна вказувати Subject Alternative Names. SAN-назви вказуються тільки для мультидомених (UCC) сертифікатів.
  • При перевипуску або продовження сертифіката змінилося поле Common Name. Це поле не повинно змінюватися.

Висновок:
Ми розглянули найбільш розповсюджені причини помилок підключення SSL (Secure Socket Layer) протоколу і варіанти їх вирішення. Сподіваємося, що дотримуючись наших інструкцій, вам вдалося знайти рішення проблеми і продовжити безпечно користуватися мережею Інтернет.
Пам’ятайте, що переходити по сайтам без захищеного з’єднання може бути небезпечно.