Erori de Securitate SSL: Ghidul Complet pentru Diagnosticarea și Remedierea Lor

Erorile SSL/TLS sunt printre cele mai perturbatoare probleme cu care se poate confrunta un site web. Un singur avertisment de certificat este suficient pentru a-i determina pe vizitatori să plece — și cu bună dreptate. Aceste alerte ale browserului semnalează că conexiunea criptată dintre un utilizator și un server nu poate fi verificată, punând în pericol datele sensibile. Indiferent dacă ești un utilizator obișnuit de internet care se confruntă cu o pagină de avertisment frustrată sau un proprietar de site care vede rata de renunțare să crească, înțelegerea erorilor de securitate SSL este esențială.

Acest ghid cuprinzător acoperă fiecare tip major de eroare SSL, cauza sa rădăcină și pașii exacți necesari pentru a o rezolva — din perspectiva atât a utilizatorului, cât și a administratorului serverului.

Ce este SSL/TLS și de ce este important?

SSL (Secure Sockets Layer) și succesorul său modern TLS (Transport Layer Security) sunt protocoale criptografice care criptează datele transmise între un browser web și un server web. Când un site folosește HTTPS, înseamnă că un certificat SSL/TLS este în vigoare, autentificând identitatea serverului și protejând datele în tranzit.

Când ceva nu merge bine cu acel certificat — expiră, este configurat greșit sau browserul nu-l poate valida — conexiunea este marcată ca nesigură. Browserele precum Chrome, Firefox, Edge și Safari afișează pagini de avertisment proeminente pentru a proteja utilizatorii de potențialele atacuri man-in-the-middle sau site-uri frauduloase.

Pentru proprietarii de site-uri, aceste erori nu doar dăunează încrederii utilizatorilor — dăunează clasamentelor SEO, reduc conversiile și pot semnala probleme mai profunde de infrastructură care necesită atenție imediată.

Cele mai frecvente erori de securitate SSL explicate

1. NET::ERR_CERT_COMMON_NAME_INVALID

Ce înseamnă: Numele domeniului listat în Common Name (CN) sau Subject Alternative Names (SANs) al certificatului SSL nu se potrivește cu domeniul pe care browserul încearcă să-l acceseze.

Cauze frecvente:

• Certificat emis pentru www.example.com dar site-ul este accesat prin example.com (sau invers)
• Un certificat wildcard (*.example.com) care nu acoperă domeniul rădăcină
• Un certificat dintr-un domeniu diferit aplicat accidental serverului
• Gazde virtuale configurate greșit pe Apache sau Nginx

2. Certificat SSL expirat (NET::ERR_CERT_DATE_INVALID)

Ce înseamnă: Fiecare certificat SSL are o perioadă de valabilitate — de obicei 90 de zile pentru Let’s Encrypt sau până la 1–2 ani pentru certificatele comerciale. Odată ce acea perioadă se încheie, browserele resping imediat conexiunea.

Cauze frecvente:

• Reînnoire automată eșuată în tăcere (eroare cron job, problemă DNS, portul 80 blocat)
• Reînnoire manuală uitată
• Certificat reînnoit dar nu reîncărcat de serverul web

3. Eroare de conținut mixt

Ce înseamnă: Pagina este servită prin HTTPS, dar unele resurse încorporate — imagini, fișiere JavaScript, foi de stil, iframe-uri — sunt încă încărcate prin HTTP simplu. Browserele blochează sau avertizează cu privire la aceste sub-resurse nesigure.

Cauze frecvente:

• Conținut moștenit cu URL-uri http:// codificate în mod dur
• Widget-uri sau scripturi terțe folosind puncte finale HTTP
• Un site migrat de la HTTP la HTTPS fără a actualiza legăturile interne

4. NET::ERR_CERT_AUTHORITY_INVALID

Ce înseamnă: Certificatul a fost emis de o Autoritate de Certificare (CA) pe care browserul nu o consideră de încredere. Aceasta se poate întâmpla cu certificatele auto-semnate sau certificatele de la CA-uri private/interne.

Cauze frecvente:

• Certificat auto-semnat folosit într-un mediu de producție
• Lanț de certificat incomplet (certificatele intermediare lipsă)
• Certificat de la o CA care a fost retrasă din încredere de către furnizori de browsere

5. SSL_ERROR_RX_RECORD_TOO_LONG / Nepotrivire de protocol

Ce înseamnă: Browserul și serverul nu pot conveni asupra unei versiuni de protocol SSL/TLS mutual sau a unei suite de cifruri. Aceasta se întâmplă adesea când un server încă suportă protocoale depreciate cum ar fi SSLv3 sau TLS 1.0.

Cauze frecvente:

• Server configurat să folosească versiuni TLS învechite
• Firewall sau load balancer interceptând traficul HTTPS pe portul greșit
• Trafic HTTP trimis la un port HTTPS

6. Browser învechit

Ce înseamnă: Browserele mai vechi pot să nu suporte versiuni TLS moderne (TLS 1.2 sau 1.3), suite de cifruri mai noi sau formate de certificat actualizate, determinând certificatele valide să pară rupte.

Cum să rezolvi erorile SSL ca utilizator

Dacă vizitezi un site web și întâmpini avertismente SSL, problema poate să nu fie întotdeauna pe partea serverului. Iată pașii pentru a exclude problemele pe partea clientului:

Pasul 1: Șterge memoria cache și cookie-urile browserului

Datele cache învechite pot determina browserul tău să facă referință la o răspuns de certificat vechi și nevalid.

Chrome:

1. Apasă Ctrl + Shift + Delete (Windows/Linux) sau Cmd + Shift + Delete (Mac)
2. Setează intervalul de timp la Toată perioada
3. Bifează Imagini și fișiere în cache și Cookie-uri și alte date ale site-ului
4. Fă clic pe Șterge date

Firefox:

1. Mergi la Setări → Confidențialitate și securitate → Cookie-uri și date ale site-ului
2. Fă clic pe Șterge date

După ștergere, închide și redeschide browserul, apoi revisitează site-ul.

Pasul 2: Verifică data și ora sistemului tău

Validarea certificatului SSL este sensibilă la timp. Dacă ceasul sistemului tău este greșit — chiar și cu o zi — browserul poate concluziona că un certificat valabil este expirat sau nu este încă activ.

Windows:

1. Fă clic dreapta pe ceas în bara de activități → Ajustează data/ora
2. Activează Setează ora automat și Setează fusul orar automat

macOS:

1. Mergi la Setări de sistem → General → Data și ora
2. Activează Setează ora și data automat

Linux:

sudo timedatectl set-ntp true
timedatectl status

Pasul 3: Actualizează browserul tău

Certificatele SSL/TLS moderne folosesc algoritmi și extensii pe care versiunile mai vechi de browser nu le suportă. Rulează întotdeauna cea mai recentă versiune stabilă a browserului tău.

• Chrome: Meniu → Ajutor → Despre Google Chrome → Actualizare
• Firefox: Meniu → Ajutor → Despre Firefox → Actualizare
• Edge: Meniu → Ajutor și feedback → Despre Microsoft Edge → Actualizare

Pasul 4: Dezactivează VPN sau proxy temporar

VPN-urile și proxy-urile pot intercepta conexiuni HTTPS și înlocui propriile certificatelor, declanșând avertismente ale browserului. Dezactivează-le temporar pentru a determina dacă sunt sursa erorii.

Pasul 5: Verifică scanarea HTTPS a antivirus-ului

Unele programe antivirus efectuează inspecția SSL prin injectarea propriilor certificatelor. Dacă certificatul rădăcină al antivirus-ului nu este de încredere pentru browserul tău, aceasta provoacă erori SSL. Verifică setările antivirus-ului și dezactivează scanarea HTTPS dacă este necesar.

Cum să rezolvi erorile SSL ca proprietar de site

Dacă propriul tău site aruncă erori SSL, pașii următori te vor ajuta să le diagnostichezi și să le rezolvi sistematic.

Soluția 1: Reînnoi un certificat SSL expirat

Folosind Let’s Encrypt cu Certbot:

Mai întâi, verifică data de expirare a certificatului tău actual:

sudo certbot certificates

Pentru a reînnoi toate certificatele gestionate de Certbot:

sudo certbot renew

Pentru a forța reînnoire chiar dacă certificatul nu este aproape de expirare:

sudo certbot renew --force-renewal

După reînnoire, reîncarcă serverul web pentru a aplica noul certificat:

# For Nginx
sudo systemctl reload nginx

# For Apache
sudo systemctl reload apache2

Automatizează reînnoire cu un cron job:

sudo crontab -e

Adaugă următoarea linie pentru a verifica reînnoire de două ori pe zi (recomandat de Let’s Encrypt):

0 0,12 * * * certbot renew --quiet --post-hook "systemctl reload nginx"

> Sfat profesional: Dacă găzduiești cu AlexHost VPS Hosting, Certbot poate fi instalat și configurat direct pe VPS-ul tău Linux, oferindu-ți control deplin asupra gestionării certificatelor și reînnouirilor automate.

Soluția 2: Rezolvă NET::ERR_CERT_COMMON_NAME_INVALID

Această eroare necesită verificarea că certificatul tău acoperă exact domeniu(rile) pe care le folosește site-ul tău.

Verifică ce domenii acoperă certificatul tău:

sudo certbot certificates

Sau inspectează certificatul direct:

openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -text | grep -A2 "Subject Alternative Name"

Dacă certificatul nu acoperă atât example.com cât și www.example.com, reemite-l cu ambele:

sudo certbot --nginx -d example.com -d www.example.com

Sau cu Apache:

sudo certbot --apache -d example.com -d www.example.com

Verifică configurația gazdei virtuale (Nginx):

server {
    listen 443 ssl;
    server_name example.com www.example.com;
    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
}

Asigură-te că server_name se potrivește exact cu domeniile din certificat.

Soluția 3: Rezolvă erorile de conținut mixt

Conținutul mixt este una dintre cele mai frecvente probleme după migrarea unui site de la HTTP la HTTPS.

Pasul 1: Identifică conținutul mixt

Deschide Instrumentele pentru dezvoltatori ale browserului tău (F12) → fila Consolă. Avertismentele de conținut mixt apar ca:

Mixed Content: The page at 'https://example.com' was loaded over HTTPS, 
but requested an insecure resource 'http://example.com/image.jpg'.

Pasul 2: Actualizează legăturile HTTP codificate în baza de date (exemplu WordPress)

Folosește instrumentul WP-CLI sau un plugin cum ar fi "Better Search Replace" pentru a actualiza toate referințele HTTP:

wp search-replace 'http://example.com' 'https://example.com' --skip-columns=guid

Pasul 3: Adaugă un antet de upgrade HTTPS în Nginx

add_header Content-Security-Policy "upgrade-insecure-requests;";

Sau în .htaccess al Apache:

Header always set Content-Security-Policy "upgrade-insecure-requests;"

Pasul 4: Forțează redirecționări HTTPS

În Nginx:

server {
    listen 80;
    server_name example.com www.example.com;
    return 301 https://$host$request_uri;
}

În Apache .htaccess:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Soluția 4: Rezolvă problemele de lanț de certificat (ERR_CERT_AUTHORITY_INVALID)

Un lanț de certificat incomplet este o cauză frecventă a acestei erori, mai ales când certificatul intermediar lipsește.

Verifică lanțul cu OpenSSL:

openssl s_client -connect yourdomain.com:443 -showcerts

Caută lanțul complet: certificatul domeniului tău → CA intermediar → CA rădăcină.

Rezolvă în Nginx — asigură-te că folosești fullchain.pem (nu doar cert.pem):

ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;

Rezolvă în Apache:

SSLCertificateFile /etc/letsencrypt/live/example.com/cert.pem
SSLCertificateChainFile /etc/letsencrypt/live/example.com/chain.pem

Folosește SSL Labs Server Test pentru a verifica că lanțul complet de certificat este servit corect.

Soluția 5: Actualizează configurația protocolului TLS

Dezactivează protocoalele învechite și impune TLS 1.2 și TLS 1.3 pe serverul tău.

Nginx — configurație TLS recomandată:

ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256;
ssl_prefer_server_ciphers off;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 1d;

Apache — configurație TLS recomandată:

SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384
SSLHonorCipherOrder off
SSLSessionTickets off

Reîncarcă serverul web după efectuarea modificărilor.

Soluția 6: Activează HTTP Strict Transport Security (HSTS)

HSTS instruiește browserele să folosească întotdeauna HTTPS pentru domeniul tău, prevenind atacurile de downgrade de protocol și problemele de conținut mixt.

Nginx:

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

Apache:

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

> Avertisment: Activează HSTS cu preload doar după ce ești sigur că întregul site funcționează pe HTTPS. Această directivă este foarte greu de inversat.

Tipuri de certificat SSL: Alegerea celui potrivit

Nu toate certificatele SSL sunt egale. Alegerea tipului potrivit pentru cazul tău de utilizare previne apariția multor erori frecvente.

Pentru site-uri profesionale și magazine online, investiția într-un certificat comercial de încredere adaugă un strat suplimentar de credibilitate. AlexHost oferă Certificatele SSL pentru toate tipurile de site-uri, de la certificatele DV de bază la opțiuni multi-domeniu avansate.

Gestionarea proactivă a SSL: Prevenirea erorilor înainte să se întâmple

Rezolvarea reactivă a erorilor SSL este costisitoare. Iată cum să rămâi în fața lor:

1. Monitorizează expirarea certificatului

Configurează instrumente de monitorizare care te avertizează înainte ca certificatul tău să expire:

• UptimeRobot — monitorizare SSL gratuită cu alerte prin email/SMS
• Reînnoire încorporată Certbot — reînnoi automat certificatele Let’s Encrypt cu 30 de zile înainte de expirare
• Nagios / Zabbix — monitorizare de nivel enterprise pentru administratori de server

2. Folosește un mediu de găzduire fiabil

Erorile SSL sunt adesea simptome ale unui mediu de găzduire configurat prost sau insuficient de resurse. Un plan VPS Hosting îți oferă acces root pentru a-ți gestiona propriile certificatele SSL, a configura setările TLS cu precizie și a automatiza reînnouirile — ceva pe care mediile de găzduire partajată adesea o restricționează.

Pentru operații mai mari care necesită performanță maximă și resurse dedicate, Serverele dedicate oferă control complet asupra stivei SSL/TLS, configurației firewall-ului și infrastructurii de certificat.

3. Folosește un panou de control pentru gestionarea SSL mai ușoară

Dacă preferi o abordare bazată pe GUI pentru gestionarea certificatelor SSL, un panou de control simplifică întregul proces. Cu VPS cu cPanel, poți instala, reînnoi și gestiona certificatele SSL printr-o interfață vizuală fără a atinge linia de comandă — ideal pentru agenții care gestionează site-uri de mai mulți clienți.

Alternativ, explorează gama completă de Panouri de control VPS pentru a găsi interfața de gestionare care se potrivește fluxului tău de lucru.

4. Testează configurația SSL în mod regulat

Efectuează verificări periodice ale sănătății SSL folosind aceste instrumente:

• SSL Labs (ssllabs.com/ssltest) — evaluare cuprinzătoare a configurației TLS
• Why No Padlock (whynopadlock.com) — detectează problemele de conținut mixt
• DigiCert SSL Checker — validează lanțul de certificat și expirarea

5. Ține înregistrarea domeniului tău actualizată

Un domeniu expirat poate cauza indirect probleme SSL dacă înregistrările DNS devin inactive. Asigură-te că domeniul tău este înt