Ошибки SSL-сертификата: как диагностировать и исправить проблемы с HTTPS

Ошибка SSL-сертификата обычно выглядит просто: браузер показывает предупреждение, сайт не открывается по HTTPS или пользователи жалуются, что соединение небезопасно. Но причина может быть разной: сертификат истек, выпущен не на тот домен, установлена неполная цепочка, не сработало продление, сайт загружает ресурсы по HTTP или веб-сервер отдает старый сертификат.
Главная сложность в том, что внешне многие ошибки похожи. Пользователь видит одно предупреждение, а администратору нужно понять, где проблема: в сертификате, домене, DNS, веб-сервере, CDN, reverse proxy, настройках CMS или цепочке доверия.
В этой статье разберем, как диагностировать ошибки SSL-сертификата, какие причины встречаются чаще всего, что проверить в первую очередь и как исправить проблему без хаотичной переустановки сертификатов.
Как понять, что проблема именно в SSL
Не каждая ошибка открытия сайта связана с SSL-сертификатом. Иногда сайт недоступен из-за DNS, недоступного сервера, ошибки приложения, неправильного редиректа или блокировки на стороне сети. Поэтому диагностику лучше начинать с симптома.
Типичные признаки SSL-проблемы
- браузер пишет, что соединение небезопасно;
- появляется ошибка “Ваше подключение не защищено” или похожее предупреждение;
- сайт открывается по HTTP, но не открывается по HTTPS;
- сертификат показывается как просроченный;
- сертификат выпущен на другой домен;
- браузер не доверяет центру сертификации;
- после продления сайт все равно показывает старый сертификат;
- часть страниц открывается нормально, а часть — с предупреждениями;
- в консоли браузера есть сообщения mixed content;
- пользователи видят ошибку только в отдельных браузерах или устройствах.
Что не стоит делать сразу
- не удалять сертификат без резервной копии конфигурации;
- не менять сразу все редиректы;
- не отключать HTTPS ради “быстрого решения”;
- не игнорировать предупреждение браузера на рабочем сайте;
- не выпускать новый сертификат много раз подряд без понимания причины;
- не править конфигурацию веб-сервера без проверки синтаксиса и плана отката.
Основные причины ошибок SSL-сертификата
Большинство SSL-ошибок укладывается в несколько типовых групп. Если идти по ним последовательно, причину обычно можно найти быстро.
| Симптом | Возможная причина | Что проверить |
|---|---|---|
| Сертификат истек | Не сработало автоматическое продление или сертификат не заменили вручную. | Срок действия, Certbot, панель управления, cron/systemd timer, логи продления. |
| Сертификат выпущен на другой домен | В сертификате нет нужного имени сайта. | Поле Subject Alternative Name, варианты с www и без www, поддомены. |
| Браузер не доверяет сертификату | Самоподписанный сертификат или неполная цепочка. | Центр сертификации, intermediate-сертификаты, bundle/fullchain. |
| HTTPS работает не во всех браузерах | Проблема цепочки, старого TLS или совместимости клиента. | Цепочку сертификатов, TLS-версии, настройки веб-сервера. |
| После продления виден старый сертификат | Веб-сервер не перечитал новый сертификат или используется другой путь. | Reload Nginx/Apache/IIS, пути к файлам, CDN, reverse proxy. |
| Страница открывается, но браузер ругается | Mixed content: часть ресурсов загружается по HTTP. | Картинки, скрипты, CSS, шрифты, внешние виджеты, настройки CMS. |
| Сайт уходит в циклический редирект | Конфликт редиректов между CMS, веб-сервером, CDN или прокси. | HTTP→HTTPS, www/non-www, настройки прокси и заголовки. |
Истекший сертификат
Самая понятная причина — срок действия сертификата закончился. Такое часто случается, если бесплатный сертификат выпустили один раз, но не настроили автоматическое продление или не проверили, что оно действительно работает.
Проверьте:
- дату окончания сертификата в браузере;
- дату окончания через внешние SSL-чекеры;
- статус сертификатов на сервере;
- логи продления;
- доступность домена для проверки;
- не менялись ли DNS, firewall или конфигурация сайта.
Сертификат не подходит к домену
Сертификат должен быть выпущен на тот домен, по которому пользователь открывает сайт. Если сайт открывается как www.example.ru, а сертификат выпущен только на example.ru, браузер покажет ошибку.
Особенно часто проблема возникает при:
- переезде сайта на новый домен;
- добавлении версии с
www; - публикации поддомена;
- использовании wildcard-сертификата не для того уровня домена;
- настройке нескольких сайтов на одном сервере;
- ошибках SNI на старых конфигурациях.
Неполная цепочка сертификатов
Браузеру недостаточно получить только сертификат сайта. Ему нужна корректная цепочка доверия: сертификат сайта, промежуточные сертификаты и доверенный корневой центр сертификации.
Если сервер отдает неполную цепочку, часть браузеров может открыть сайт, а часть — показать ошибку. Особенно это заметно на старых устройствах, мобильных клиентах и встроенных браузерах приложений.
Пошаговая диагностика HTTPS
Диагностику лучше проводить сверху вниз: сначала проверить, что видит пользователь, затем посмотреть сертификат, домены, цепочку, веб-сервер и только потом углубляться в TLS, CDN и прокси.
Шаг 1. Проверить ошибку в браузере
Откройте сайт в браузере и посмотрите подробности ошибки. Важно зафиксировать не только текст предупреждения, но и код ошибки, если он есть.
Проверьте:
- какой домен открыт;
- есть ли
wwwв адресе; - открывается ли сайт по
https://; - какой сертификат показывает браузер;
- на какой домен он выпущен;
- когда заканчивается срок действия;
- какой центр сертификации указан;
- есть ли предупреждения только на одной странице или на всем сайте.
Шаг 2. Проверить сертификат снаружи
Внешняя проверка помогает понять, какой сертификат реально видят пользователи из интернета. Это важно, если на сервере лежит один сертификат, а через CDN, прокси или балансировщик пользователю отдается другой.
Можно использовать внешние SSL-чекеры или командную строку.
openssl s_client -connect example.ru:443 -servername example.ruВ команде нужно заменить example.ru на свой домен. Параметр -servername важен для SNI, когда на одном IP размещено несколько сайтов.
Шаг 3. Проверить срок действия
На сервере с Certbot можно посмотреть список сертификатов:
sudo certbot certificatesЕсли сертификат скоро истекает или уже истек, проверьте тестовое продление:
sudo certbot renew --dry-runЕсли тестовое продление не проходит, нужно смотреть ошибку: часто проблема в DNS, недоступном HTTP-подтверждении, закрытом порте 80, измененной конфигурации сайта или старом challenge-файле.
Шаг 4. Проверить конфигурацию веб-сервера
После изменения сертификата или путей к файлам обязательно проверьте конфигурацию веб-сервера.
Nginx
sudo nginx -t
sudo systemctl reload nginxApache
sudo apachectl configtest
sudo systemctl reload apache2На некоторых системах служба Apache может называться httpd, а не apache2.
IIS
В IIS проверьте привязки сайта: домен, порт 443, выбранный сертификат и SNI, если на сервере размещено несколько HTTPS-сайтов.
Шаг 5. Проверить CDN, прокси и балансировщик
Если сайт работает через CDN, reverse proxy или балансировщик, сертификат может быть установлен не только на основном сервере. Пользователь может видеть сертификат на внешнем уровне, а не на origin-сервере.
Проверьте:
- какой сертификат установлен на CDN;
- какой сертификат установлен на origin-сервере;
- не включен ли режим “Flexible SSL” или похожая схема;
- передается ли корректный заголовок
X-Forwarded-Proto; - нет ли конфликта редиректов между CDN и CMS;
- не кэширует ли CDN старый сертификат или старую конфигурацию.
Mixed content, редиректы и ошибки после перехода на HTTPS
Иногда сертификат установлен правильно, но сайт все равно работает с предупреждениями. В таком случае проблема может быть не в самом сертификате, а в содержимом страниц или правилах перенаправления.
Mixed content
Mixed content возникает, когда HTML-страница открывается по HTTPS, но часть ресурсов загружается по HTTP. Например:
- изображения;
- CSS-файлы;
- JavaScript;
- шрифты;
- iframe;
- внешние виджеты;
- старые ссылки в шаблоне или базе данных CMS.
Найти такие ресурсы можно через инструменты разработчика в браузере. Обычно сообщения находятся во вкладке Console или Network.
Как исправить mixed content
- заменить абсолютные ссылки
http://наhttps://; - использовать относительные ссылки там, где это уместно;
- обновить адрес сайта в настройках CMS;
- заменить старые ссылки в базе данных;
- проверить шаблоны темы, плагины и внешние виджеты;
- убедиться, что сторонний ресурс поддерживает HTTPS.
Циклические редиректы
Циклический редирект часто появляется после включения HTTPS, CDN или reverse proxy. Например, веб-сервер считает, что запрос пришел по HTTP, и перенаправляет его на HTTPS, а прокси снова передает его как HTTP.
Проверьте:
- редирект HTTP→HTTPS в конфигурации веб-сервера;
- редирект в CMS;
- редирект на уровне CDN;
- варианты с
wwwи безwww; - заголовки
X-Forwarded-ProtoиHost; - настройки reverse proxy.
HSTS и невозможность открыть сайт по HTTP
HSTS заставляет браузер открывать сайт только по HTTPS. Это полезная защита, но при ошибке сертификата может усложнить диагностику: браузер не позволит обойти предупреждение и открыть сайт по HTTP.
Перед включением HSTS убедитесь, что:
- сертификат установлен корректно;
- работает автоматическое продление;
- все поддомены готовы к HTTPS, если используется includeSubDomains;
- нет mixed content;
- редиректы настроены правильно;
- есть мониторинг срока действия сертификата.
Типичные ошибки и способы исправления
Ниже — практическая таблица, с которой удобно начинать диагностику. Она помогает быстро перейти от симптома к проверке.
| Ошибка | Причина | Как исправить |
|---|---|---|
| Сертификат истек | Не сработало продление или сертификат не был заменен. | Продлить сертификат, проверить автоматическое продление и reload веб-сервера. |
| NET::ERR_CERT_COMMON_NAME_INVALID | Домен не совпадает с именами в сертификате. | Перевыпустить сертификат на нужные домены и поддомены. |
| ERR_CERT_AUTHORITY_INVALID | Самоподписанный сертификат или недоверенный центр. | Установить сертификат от доверенного центра сертификации. |
| Неполная цепочка | Сервер не отдает промежуточные сертификаты. | Использовать fullchain/bundle и проверить конфигурацию веб-сервера. |
| Mixed content | HTTPS-страница загружает ресурсы по HTTP. | Исправить ссылки, настройки CMS, шаблоны и внешние ресурсы. |
| Сайт показывает старый сертификат | Веб-сервер не перечитал новый сертификат или сертификат менялся не на том уровне. | Reload/restart веб-сервера, проверить CDN, прокси, пути к файлам. |
| Ошибка TLS-версии | Старые протоколы или несовместимые настройки шифров. | Проверить TLS-настройки веб-сервера и совместимость клиентов. |
| Циклический редирект | Конфликт редиректов CMS, веб-сервера, CDN или прокси. | Оставить один понятный источник редиректа и проверить заголовки прокси. |
Что делать, если ошибка только у части пользователей
Если у одних пользователей сайт открывается, а у других нет, проблема может быть неочевидной.
Проверьте разные точки доступа
- мобильный интернет и офисную сеть;
- разные браузеры;
- Windows, macOS, Android и iOS;
- старые устройства;
- пользователей за корпоративным прокси;
- доступ из разных регионов.
Возможные причины
- старый кэш DNS;
- разные IP-адреса за балансировщиком;
- на одном сервере обновили сертификат, а на другом нет;
- CDN отдает разные узлы;
- старое устройство не доверяет цепочке;
- корпоративный прокси подменяет сертификат;
- локальная дата и время на устройстве настроены неверно.
Что делать, если сертификат обновился, но браузер видит старый
Такое часто происходит, когда сертификат успешно продлен, но веб-сервер продолжает использовать старый файл или не был перезагружен.
Что проверить
- какой сертификат лежит в каталоге;
- какой путь указан в конфигурации сайта;
- выполнялся ли reload веб-сервера после продления;
- не используется ли отдельный сертификат на CDN;
- не работает ли второй сервер за балансировщиком;
- не настроены ли разные сертификаты для IPv4 и IPv6;
- корректно ли указан SNI.
Практический чек-лист диагностики
- Зафиксирован точный текст ошибки браузера.
- Проверен домен: с
wwwи безwww. - Проверен срок действия сертификата.
- Проверено, на какие имена выпущен сертификат.
- Проверена цепочка сертификатов.
- Проверены настройки Nginx, Apache или IIS.
- Проверено, что веб-сервер перечитал новый сертификат.
- Проверены CDN, reverse proxy и балансировщик, если они используются.
- Проверены редиректы HTTP→HTTPS.
- Проверен mixed content через инструменты разработчика.
- Проверено автоматическое продление.
- Настроен мониторинг срока действия сертификата.
Заключение
Ошибки SSL-сертификата почти всегда можно диагностировать, если идти последовательно: сначала посмотреть, что видит браузер, затем проверить домен, срок действия, цепочку сертификатов, конфигурацию веб-сервера, редиректы, CDN и mixed content.
Не стоит начинать с хаотичного перевыпуска сертификатов или отключения HTTPS. Часто проблема оказывается проще: сертификат выпущен не на тот домен, веб-сервер не перечитал новый файл, не хватает промежуточной цепочки или CMS продолжает загружать часть ресурсов по HTTP.
Для рабочих сайтов важно не только исправить текущую ошибку, но и предотвратить повторение: настроить автоматическое продление, мониторинг срока действия, корректные редиректы и понятную ответственность за сопровождение HTTPS.
Что почитать дальше
Если вы настраиваете HTTPS и SSL-сертификаты, полезно также посмотреть связанные материалы:
- Бесплатный SSL-сертификат для сайта — когда подходит Let’s Encrypt, как установить сертификат и настроить продление.
- SSL-сертификаты — коммерческие SSL-сертификаты для сайтов и сервисов.
- Публикация базы 1С на веб-сервере — как связаны IIS, Apache, HTTPS и веб-доступ к 1С.
- BitNinja: современная AI-защита сервера — выбор комплексной система безопасности вашего сайта и сервера на основе искусственного интеллекта.
Когда стоит обратиться к специалистам
Простую ошибку вроде истекшего сертификата на небольшом сайте часто можно исправить самостоятельно. Но если сайт работает на VPS, используется Nginx, Apache, IIS, CDN, reverse proxy, несколько доменов, личный кабинет, платежи или веб-доступ к 1С, диагностика требует аккуратности.
IPWAY помогает с настройкой HTTPS, установкой и проверкой SSL-сертификатов, диагностикой ошибок веб-серверов, сопровождением VPS и серверной инфраструктуры. Если сайту нужен коммерческий SSL-сертификат и поддержка при установке, можно рассмотреть SSL-сертификаты, доступные для заказа через IPWAY.
Кратко
- SSL-ошибка может быть связана не только с сертификатом, но и с доменом, цепочкой, веб-сервером, CDN, редиректами или mixed content.
- Сначала нужно зафиксировать точный текст ошибки в браузере.
- Проверьте срок действия сертификата, домены в сертификате и цепочку доверия.
- Если сайт показывает старый сертификат, проверьте reload веб-сервера, пути к файлам, CDN и балансировщик.
- Mixed content возникает, когда HTTPS-страница загружает ресурсы по HTTP.
- Циклические редиректы часто появляются из-за конфликта CMS, веб-сервера, CDN или reverse proxy.
- Для Let’s Encrypt важно контролировать автоматическое продление и мониторинг срока действия.
- После исправления ошибки нужно проверить сайт с разных устройств, браузеров и сетей.


