Спестете 15% от всички хостинг услуги

Тествай уменията си и получи Отстъпка за всеки хостинг план

Използвайте код: Skills За начало
Заглавия
Защита

SSL Грешки в сигурността: Пълно ръководство за диагностика и отстраняване на проблемите

SSL/TLS грешките са сред най-разрушителните проблеми, с които един уебсайт може да се сблъска. Едно единствено предупреждение за сертификат е достатъчно, за да прогони посетителите — и то с добра причина. Тези предупреждения в браузъра сигнализират, че криптираната връзка между потребител и сървър не може да бъде проверена, което поставя чувствителните данни под риск. Независимо дали сте обикновен интернет потребител, който се сблъска с разочароващо предупредително съобщение, или собственик на уебсайт, който наблюдава как скока на отскочилите посетители се увеличава, разбирането на SSL грешките при сигурност е от съществено значение.

Този всеобхватен справочник обхваща всеки основен тип SSL грешка, неговата коренна причина и точните стъпки, необходими за нейното отстраняване — от гледна точка както на потребителя, така и на администратора на сървъра.

Какво е SSL/TLS и защо е важно?

SSL (Secure Sockets Layer) и неговия модерен наследник TLS (Transport Layer Security) са криптографски протоколи, които криптират данните, предавани между уеб браузър и уеб сървър. Когато сайт използва HTTPS, това означава, че е въведен SSL/TLS сертификат, който удостоверява идентичността на сървъра и защитава данните при предаване.

Когато нещо се обърка с този сертификат — той изтече, е неправилно конфигуриран или браузърът не може да го валидира — връзката се отбелязва като небезопасна. Браузъри като Chrome, Firefox, Edge и Safari показват видни страни с предупреждения, за да защитят потребителите от потенциални атаки „човек в средата” или измамни сайтове.

За собствениците на уебсайтове, тези грешки не само наранявят доверието на потребителите — те повреждат SEO класирането, намаляват конверсиите и могат да сигнализират по-дълбоки проблеми с инфраструктурата, които изискват незабавно внимание.

Най-честите SSL грешки в сигурността обяснени

1. NET::ERR_CERT_COMMON_NAME_INVALID

Какво означава: Доменното име, посочено в Common Name (CN) или Subject Alternative Names (SANs) на SSL сертификата, не съответства на домена, който браузърът се опитва да достигне.

Често срещани причини:

  • Сертификат издаден за www.example.com но сайтът е достъпен чрез example.com (или обратното)
  • Wildcard сертификат (*.example.com), който не покрива корен домена
  • Сертификат от различен домен случайно приложен към сървъра
  • Неправилно конфигурирани виртуални хостове на Apache или Nginx

2. SSL сертификатът е изтекъл (NET::ERR_CERT_DATE_INVALID)

Какво означава: Всеки SSL сертификат има период на валидност — обикновено 90 дни за Let’s Encrypt или до 1–2 години за търговски сертификати. След като този период изтече, браузърите веднага отхвърлят връзката.

Често срещани причини:

  • Автоматичното обновяване се провали мълчаливо (грешка на cron job, проблем с DNS, порт 80 е блокиран)
  • Ръчното обновяване е забравено
  • Сертификатът е обновен, но не е презареден от уеб сървъра

3. Грешка при смесено съдържание

Какво означава: Страницата се предоставя чрез HTTPS, но някои вградени ресурси — изображения, JavaScript файлове, таблици със стилове, iframe — все още се зареждат чрез обикновен HTTP. Браузърите блокират или предупреждават за тези небезопасни подресурси.

Често срещани причини:

  • Наследено съдържание с hardcoded http:// URL адреси
  • Третостранни уиджети или скриптове, използващи HTTP крайни точки
  • Сайт мигриран от HTTP към HTTPS без актуализиране на вътрешни връзки

4. NET::ERR_CERT_AUTHORITY_INVALID

Какво означава: Сертификатът е издаден от Орган по издаване на сертификати (CA), който браузърът не доверява. Това може да се случи със самоподписани сертификати или сертификати от частни/вътрешни CA.

Често срещани причини:

  • Самоподписан сертификат използван в производствена среда
  • Непълна верига на сертификати (липсват междинни сертификати)
  • Сертификат от CA, който е бил недоверен от производителите на браузъри

5. SSL_ERROR_RX_RECORD_TOO_LONG / Несъответствие на протокола

Какво означава: Браузърът и сървърът не могат да се договорят за взаимна версия на SSL/TLS протокол или набор от шифри. Това често се случва, когато сървърът все още поддържа остарели протоколи като SSLv3 или TLS 1.0.

Често срещани причини:

  • Сървър конфигуриран да използва остарели TLS версии
  • Firewall или load balancer прихващащ HTTPS трафик на грешния порт
  • HTTP трафик изпращан към HTTPS порт

6. Остарял браузър

Какво означава: По-старите браузъри може да не поддържат съвременни TLS версии (TLS 1.2 или 1.3), по-нови набори от шифри или актуализирани формати на сертификати, което причинява валидни сертификати да изглеждат счупени.

Как да поправите SSL грешки като потребител

Ако посещавате уебсайт и срещате SSL предупреждения, проблемът може да не е винаги на страната на сървъра. Ето стъпките за отстраняване на проблеми от страната на клиента:

Стъп 1: Изчистете кеша и бисквитките на браузъра

Остарелите кеширани данни могат да причинят браузърът да се позовава на стар, невалиден отговор на сертификат.

Chrome:

  1. Натиснете Ctrl + Shift + Delete (Windows/Linux) или Cmd + Shift + Delete (Mac)
  2. Задайте диапазона на времето на Цялото време
  3. Отметнете Кеширани изображения и файлове и Бисквитки и други данни на сайта
  4. Кликнете Изчистване на данни

Firefox:

  1. Отидете на Настройки → Поверителност и сигурност → Бисквитки и данни на сайта
  2. Кликнете Изчистване на данни

След изчистването затворете и отново отворете браузъра, след това посетете сайта отново.

Стъп 2: Проверете дата и час на системата

Валидирането на SSL сертификата е чувствително към времето. Ако системният ви часовник е неправилен — дори и с един ден — браузърът може да заключи, че валиден сертификат е изтекъл или още не е активен.

Windows:

  1. Щракнете с десния бутон на часовника в лентата на задачите → Регулиране на дата/час
  2. Активирайте Задаване на час автоматично и Задаване на часова зона автоматично

macOS:

  1. Отидете на Системни настройки → Основни → Дата и час
  2. Активирайте Задаване на час и дата автоматично

Linux:

sudo timedatectl set-ntp true
timedatectl status

Стъп 3: Актуализирайте браузъра

Съвременните SSL/TLS сертификати използват алгоритми и разширения, които по-старите версии на браузъра не поддържат. Винаги изпълнявайте последната стабилна версия на браузъра.

  • Chrome: Меню → Помощ → За Google Chrome → Актуализиране
  • Firefox: Меню → Помощ → За Firefox → Актуализиране
  • Edge: Меню → Помощ и обратна връзка → За Microsoft Edge → Актуализиране

Стъп 4: Временно деактивирайте VPN или прокси

VPN и прокси могат да прихванат HTTPS връзки и да заменят собствените си сертификати, което предизвиква предупреждения на браузъра. Временно ги деактивирайте, за да определите дали те са източникът на грешката.

Стъп 5: Проверете HTTPS сканиране на антивирус

Някои антивирусни програми извършват SSL инспекция чрез инжектиране на собствени сертификати. Ако коренният сертификат на антивируса не е надежден от браузъра, това причинява SSL грешки. Проверете настройките на антивируса и деактивирайте HTTPS сканирането, ако е необходимо.

Как да поправите SSL грешки като собственик на уебсайт

Ако вашият собствен уебсайт показва SSL грешки, следните стъпки ще ви помогнат да ги диагностицирате и разрешите систематично.

Поправка 1: Обновяване на изтекъл SSL сертификат

Използване на Let’s Encrypt с Certbot:

Първо, проверете датата на изтичане на вашия текущ сертификат:

sudo certbot certificates

За обновяване на всички сертификати, управлявани от Certbot:

sudo certbot renew

За принудително обновяване дори ако сертификатът не е близо до изтичане:

sudo certbot renew --force-renewal

След обновяването, презаредете вашия уеб сървър, за да приложите новия сертификат:

# For Nginx
sudo systemctl reload nginx

# For Apache
sudo systemctl reload apache2

Автоматизиране на обновяването с cron job:

sudo crontab -e

Добавете следния ред, за да проверявате за обновяване два пъти дневно (препоръчано от Let’s Encrypt):

0 0,12 * * * certbot renew --quiet --post-hook "systemctl reload nginx"

> Професионален съвет: Ако хостирате с AlexHost VPS хостинг, Certbot може да бъде инсталиран и конфигуриран директно на вашия Linux VPS, което ви дава пълен контрол над управлението на сертификатите и автоматичните обновявания.

Поправка 2: Разрешаване на NET::ERR_CERT_COMMON_NAME_INVALID

Тази грешка изисква проверка, че вашият сертификат покрива точните домейни, които вашият сайт използва.

Проверете кои домейни покрива вашият сертификат:

sudo certbot certificates

Или инспектирайте сертификата директно:

openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -text | grep -A2 "Subject Alternative Name"

Ако сертификатът не покрива както example.com така и www.example.com, издайте го отново с двата:

sudo certbot --nginx -d example.com -d www.example.com

Или с Apache:

sudo certbot --apache -d example.com -d www.example.com

Проверете конфигурацията на вашия виртуален хост (Nginx):

server {
    listen 443 ssl;
    server_name example.com www.example.com;
    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
}

Уверете се, че server_name съответства точно на домейните в сертификата.

Поправка 3: Поправяне на смесени грешки в съдържанието

Смесеното съдържание е един от най-честите проблеми след миграция на сайт от HTTP към HTTPS.

Стъпка 1: Идентифицирайте смесено съдържание

Отворете Developer Tools на вашия браузър (F12) → раздел Console. Предупреждения за смесено съдържание се появяват като:

Mixed Content: The page at 'https://example.com' was loaded over HTTPS, 
but requested an insecure resource 'http://example.com/image.jpg'.

Стъпка 2: Актуализирайте hardcoded HTTP връзки в вашата база данни (WordPress пример)

Използвайте WP-CLI инструмента или плъгин като “Better Search Replace”, за да актуализирате всички HTTP препратки:

wp search-replace 'http://example.com' 'https://example.com' --skip-columns=guid

Стъпка 3: Добавете HTTPS upgrade header в Nginx

add_header Content-Security-Policy "upgrade-insecure-requests;";

Или в Apache’s .htaccess:

Header always set Content-Security-Policy "upgrade-insecure-requests;"

Стъпка 4: Принудете HTTPS пренасочвания

В Nginx:

server {
    listen 80;
    server_name example.com www.example.com;
    return 301 https://$host$request_uri;
}

В Apache .htaccess:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Поправка 4: Разрешаване на проблеми с верига на сертификати (ERR_CERT_AUTHORITY_INVALID)

Непълна верига на сертификати е честа причина за тази грешка, особено когато липсва междинния сертификат.

Проверете веригата с OpenSSL:

openssl s_client -connect yourdomain.com:443 -showcerts

Потърсете пълната верига: вашия домейн сертификат → междинен CA → root CA.

Поправка в Nginx — уверете се, че използвате fullchain.pem (не само cert.pem):

ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;

Поправка в Apache:

SSLCertificateFile /etc/letsencrypt/live/example.com/cert.pem
SSLCertificateChainFile /etc/letsencrypt/live/example.com/chain.pem

Използвайте SSL Labs Server Test, за да проверите, че вашата пълна верига на сертификати е правилно обслужена.

Поправка 5: Актуализиране на конфигурация на TLS протокол

Деактивирайте остарели протоколи и принудете TLS 1.2 и TLS 1.3 на вашия сървър.

Nginx — препоръчана TLS конфигурация:

ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256;
ssl_prefer_server_ciphers off;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 1d;

Apache — препоръчана TLS конфигурация:

SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384
SSLHonorCipherOrder off
SSLSessionTickets off

Презаредете уеб сървъра след направяне на промени.

Поправка 6: Активиране на HTTP Strict Transport Security (HSTS)

HSTS инструктира браузерите да винаги използват HTTPS за вашия домейн, предотвратявайки атаки с понижаване на протокола и проблеми със смесено съдържание.

Nginx:

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

Apache:

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

> Предупреждение: Активирайте HSTS с preload само когато сте сигурни, че целият ви сайт работи на HTTPS. Тази директива е много трудна за отмяна.

Типове SSL сертификати: Избор на правилния

Не всички SSL сертификати са еднакви. Избор на правилния тип за вашия случай предотвратява много често срещани грешки още от началото.

Тип сертификатНай-добре заПокритие
Валидация на домейн (DV)Блогове, лични сайтовеЕдин домейн или wildcard
Валидация на организация (OV)Бизнес уебсайтовеЕдин домейн или wildcard
Разширена валидация (EV)Електронна търговия, банкиранеЕдин домейн
Wildcard SSLСайтове със поддомейни*.example.com
Мулти-домейн (SAN)Множество домейниДо 100+ домейни
Let’s Encrypt (Безплатен DV)Всеки уебсайтЕдин домейн или wildcard

За професионални уебсайтове и онлайн магазини, инвестирането в надежден, търговски издаден сертификат добавя допълнителен слой на надеждност. AlexHost предлага SSL сертификати за всички видове уебсайтове, от основни DV сертификати до разширени опции с множество домейни.

Проактивно управление на SSL: Предотвратяване на грешки преди да се случат

Поправянето на SSL грешки реактивно е скъпо. Ето как да останете напред:

1. Мониторинг на изтичането на сертификата

Настройте инструменти за мониторинг, които ви предупреждават преди сертификатът ви да изтече:

  • UptimeRobot — безплатен SSL мониторинг с предупреждения по имейл/SMS
  • Certbot’s built-in renewal — автоматично подновява Let’s Encrypt сертификати 30 дни преди изтичането
  • Nagios / Zabbix — мониторинг на ниво предприятие за администратори на сървъри

2. Използвайте надежда хостинг среда

SSL грешките често са симптом на лошо конфигуриран или недостатъчно ресурсиран хостинг. План VPS Hosting ви дава root достъп за управление на собствените си SSL сертификати, точна конфигурация на TLS настройки и автоматизиране на подновяванията — нещо, което средата на споделен хостинг често ограничава.

За по-големи операции, които изискват максимална производителност и посветени ресурси, Dedicated Servers осигуряват пълен контрол над SSL/TLS стека, конфигурация на firewall и инфраструктура на сертификати.

3. Използвайте контролен панел за по-лесно управление на SSL

Ако предпочитате подход, основан на GUI, за управление на SSL сертификати, контролният панел опростява целия процес. С VPS with cPanel, можете да инсталирате, подновите и управлявате SSL сертификати чрез визуален интерфейс без да докосвате командния ред — идеално за агенции, управляващи множество клиентски сайтове.

Алтернативно, разгледайте пълния диапазон на VPS Control Panels, за да намерите интерфейса за управление, който отговаря на вашия работен процес.

4. Редовно тестване на конфигурацията на SSL

Изпълнете периодични проверки на здравето на SSL, използвайки тези инструменти:

  • SSL Labs (ssllabs.com/ssltest) — всеобхватна оценка на конфигурацията на TLS
  • Why No Padlock (whynopadlock.com) — открива проблеми със смесено съдържание
  • DigiCert SSL Checker — валидира верига на сертификати и изтичане

5. Поддържайте текущата регистрация на домена

Изтекъл домен може косвено да причини SSL проблеми, ако DNS записите ви станат неактивни. Уверете се, че домейнът ви е винаги подновен и DNS е правилно конфигуриран. Услугата Domain Registration на AlexHost включва лесно управление на подновяванията, за да поддържате домена си активен и верига на SSL интактна.

Контролен списък за бързо диагностициране на SSL грешки

Използвайте този контролен списък, когато срещнете SSL грешка:

За потребители:

  • [ ] Изчистете кеша и бисквитките на браузъра
  • [ ] Проверете дали системната дата и час са правилни
  • [ ] Актуализирайте браузъра до най-новата версия
  • [ ] Деактивирайте временно VPN или прокси
  • [ ] Деактивирайте HTTPS сканирането на антивирус

За собственици на уебсайтове:

  • [ ] Проверете датата на изтичане на сертификата (certbot certificates или SSL Labs)
  • [ ] Проверете дали сертификатът покрива всички необходими домейни (CN и SANs)
  • [ ] Потвърдете че веригата на сертификата е пълна (fullchain.pem в употреба)
  • [ ] Сканирайте за смесено съдържание (браузърна конзола или Why No Padlock)
  • [ ] Проверете версиите на TLS протокол (деактивирайте TLS 1.0/1.1)
  • [ ] Потвърдете че HTTPS пренасочванията са на място
  • [ ] Проверете конфигурацията на уеб сървъра за правилни пътища на сертификата
  • [ ] Проверете дали cron job за автоматично обновяване функционира

Заключение

SSL грешките в сигурността варират от незначителни неудобства на страната на клиента до сериозни неправилни конфигурации на сървъра, които могат да отведат вашия сайт офлайн за потребителите. Разбирането на конкретния тип грешка — независимо дали е изтекъл сертификат, несъответствие на доменното име, смесено съдържание или прекъсната верига на сертификати — е първата стъпка към бързо и ефективно разрешение.

За собствениците на уебсайтове, най-добрата дългосрочна стратегия е комбинация от надеждна инфраструктура за хостване, автоматично обновяване на сертификати, редовни SSL одити и правилно конфигуриран TLS стек. Справянето с тези проблеми упреждащо означава, че потребителите ви никога няма да видят предупреждение за сертификат — и вашият сайт ще запази доверието, сигурността и видимостта в търсачките, които заслужава.

Независимо дали току-що започвате с нов уебсайт или управлявате сложна среда с множество сървъри, AlexHost предоставя инфраструктурата и инструментите, за да поддържате вашата SSL конфигурация солидна — от Shared Web Hosting с вградена SSL поддръжка до напълно управлявани Dedicated Servers за внедрения на корпоративно ниво.