err_cert_date_invalid
Полезные статьи, Разное, Ремонт,

ОШИБКА err_cert_date_invalid может возникать по нескольким причинам. В этой статье мы рассмотрим две, самых распространенных. И расскажем, как самостоятельно исправить ошибку err_cert_date_invalid. Приступим…

ПЕРВАЯ ПРИЧИНА ВОЗНИКНОВЕНИЯ ОШИБКИ err_cert_date_invalid

Данное сообщение уведомляет нас о проблемах с сертификатами безопасности.

Сертификат — это цифровое удостоверение вашего сайта, которое служит подтверждением того, что обмен данными между сайтом и браузером производится по защищённому каналу. Если мы имеем проблемы с сертификатом доступ на сайт может быть заблокирован. Либо выдается предупреждение о ненадежности сайта.

Грубо говоря, сертификат – это пропуск. А у каждого пропуска есть срок его годности. Дата начала и окончания действия. Именно поэтому первым делом, необходимо проверить настройки даты и времени на Вашем ПК, ноутбуке, планшете, телефоне. Очень часто дата стоит неверная. Она даже может быть более ранней, чем дата выдачи данного сертификата. Для установки даты и времени на ноутбуке, нажмите на значок часов в правом, нижнем углу экрана. и настройте корректные дату и время.

Настройка даты и времени на ноутбуке.

ВТОРАЯ ПРИЧИНА ВОЗНИКНОВЕНИЯ ОШИБКИ err_cert_date_invalid

30 сентября 2021 года срок действия корневого сертификата DST Root CA X3 истёк. В результате этого, устройства, которые давно не получали обновлений и не поддерживают новый корневой сертификат ISRG Root X1, перестали доверять старому сертификату. И заблокировали посещение сайтов, использующих сертификаты от Let’s Encrypt. Браузеры выдают предупреждения или вовсе не могут установить защищённое соединение.

Перечислим устройства которые на момент статьи считаются “устаревшими”

К “устаревшим” устройствам относятся системы возрастом старше 5 лет, среди которых:

  • Windows XP до SP3 (а также для SP3 и Windows 7, если не производилось автоматическое обновление корневых сертификатов);
  • macOS до 10.12.1;
  • iOS до 10;
  • Android до 2.3.6 (при этом доступ к сервисам еще может быть, из-за особенностей проверки корневых сертификатов, а версии до 7.1.1 перестанут поддерживать сертификат в 2024 году);
  • Ubuntu до 16.04;
  • Debian до 8;
  • Sony PlayStation 3 и 4 с прошивками до 5.00;
  • Старые модели смарт-телевизоров и умных домашних устройств;
  • Устройства, использующие OpenSSL версии 1.0.x;

КАК ИСПРАВИТЬ ОШИБКУ err_cert_date_invalid

Решить проблему err_cert_date_invalid можно несколькими способами. Лучшим решением будет обновление программного обеспечения до последних версий. В них уже включена поддержка нового корневого сертификата.

Что может сделать обычный пользователь для устранения ошибки err_cert_date_invalid?

Вы можете:

  1. Вручную установить корневой сертификат ISRG Root X1, если он остутствует в хранилище используемой системы или ПО.
  2. Удалить устаревший корневой сертификата DST Root CA X3. Наличие устаревшего корневого сертификата может мешать нормальной работе с сервисами, использующими сертификаты Let’s Encrypt.

Внимание! Решить проблему данным способом можно не на всех устройствах.

Debian/Ubuntu

  1. Для проверки наличия корневого сертификата в списке доверенных, выполните в терминале команду:awk -v cmd=’openssl x509 -noout -subject’ ‘ /BEGIN/{close(cmd)};{print | cmd}’ < /etc/ssl/certs/ca-certificates.crt | grep “ISRG Root X1″CopyЕсли в выводе команды будет фигурировать subject=C = US, O = Internet Security Research Group, CN = ISRG Root X1, то нет необходимости выполнять какие-либо действия, а если нет, то перейдите к следующему шагу.
  2. Выполните в терминале команду:curl -k https://letsencrypt.org/certs/isrgrootx1.pem.txt | sudo tee /usr/share/ca-certificates/mozilla/ISRG_Root_X1.crt ; sudo echo “mozilla/ISRG_Root_X1.crt” >> /etc/ca-certificates.conf ; sudo update-ca-certificatesCopy
  3. Проверьте работу сервисов, с которыми возникали проблемы доступа.

CentOS

  1. Для проверки наличия корневого сертификата в списке доверенных, выполните в терминале команду:awk -v cmd=’openssl x509 -noout -subject’ ‘ /BEGIN/{close(cmd)};{print | cmd}’ < /etc/ssl/certs/ca-bundle.crt | grep “ISRG Root X1″CopyЕсли в выводе команды будет фигурировать subject=C = US, O = Internet Security Research Group, CN = ISRG Root X1, то нет необходимости выполнять какие-либо действия, а если нет, то перейдите к следующему шагу.
  2. Выполните в терминале следующие команды:trust dump –filter “pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1%4b%90%75%ff%c4%15%60%85%89%10” | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trustCopy
  3. Проверьте работу сервисов, с которыми возникали проблемы доступа.

OpenSSL 1.0.x

Если в системе используется устаревшая версия OpenSSL, то необходимо удалить из доверенных корневых сертификатов устаревший следующим образом:

  • Для Debian/Ubuntu отредактируйте файл /etc/ca-certificates.conf установив символ ! в начале строки mozilla/DST_Root_CA_X3.crt и выполните команду:update-ca-certificatesCopy

Windows 7

В операционной системе Windows 7 цепочка корневых сертификатов должна была обновиться, если включены обновления операционной системы, в ином случае корневой сертификат необходимо установить самостоятельно, выполнив следующие действия:

  • Скачайте корневой сертификат ISRG Root X1 с сайта Let’s Encrypt с расширением “der.”
  • Запустите этот файл, разрешите его открытие и нажмите «Install Certificate».
  • Выберите, для кого необходимо установить сертификат, и нажмите «Далее».
  • Выберите пункт «Place all certificates in the following store» и нажмите «Browse»:
  • Выберите хранилище «Trusted Root Certification Authorities» и нажмите «OK»:
  • Нажмите «ОК», и установите сертификат. Может появиться сообщение, что данный сертификат не проверен и запрос установить его или нет? Естественно устанавливаем.
  • ОБЯЗАТЕЛЬНО ПЕРЕЗАПУСТИТЕ ВСЕ ОТКРЫТЫЕ БРАУЗЕРЫ! Проверьте работу сайтов и сервисов, выдававших ошибку err_cert_date_invalid.

Что нужно сделать владельцу ресурса.

Решение проблемы со стороны сервера возможно только путём использования других сертификатов.

  1. Чтобы использовать другой сертификат, необходимо купить его в одном из центров сертификации. При выборе нового сертификата важно учитывать, какие функции он предоставляет и для каких сфер подходит. Для примера ниже приведены некоторые известные центры сертификации:
    • Comodo
    • GeoTrust
    • Symantec (DigiCert)
    • Thawte
  2. Установите полученный Вами сертификат для сайта.
  3. После установки сертификата дождитесь обновления кэшированной информации, что происходит обычно в течение 15 минут. Либо обновите КЭШ вручную. После, проверьте доступность сайта на проблемном устройстве.