提交工单 
+373 79 600002 
Telegram 在线聊天 
常见问题 
中文 (中国)
English 
Русский 
Română 
Deutsch 
Français 
Türkçe 
Español 
Português 
Українська 
български 
Polski 
Indonesia 
安全 
虚拟服务器12种修复NET::ERR_CERT_DATE_INVALID错误的方法(完整技术指南)
NET::ERR_CERT_DATE_INVALID 错误是一种浏览器级别的 TLS 握手失败,当客户端无法验证 SSL/TLS 证书的时间完整性时会发生此错误——这意味着证书已过期、尚未生效,或系统时钟偏差足以超出证书有效期窗口。Chrome、Edge、Firefox 和 Safari 在此检查失败时均会阻止访问,并显示严重安全警告而非温和提示。
此错误有两种不同的根本原因:客户端(系统时间不正确、缓存过期、软件干扰)和服务器端(证书过期、证书链配置错误、虚拟主机绑定了错误的证书)。确定哪一方是问题所在是关键的第一诊断步骤——本指南将以解决问题所需的精确度对两者进行逐一说明。
为什么 NET::ERR_CERT_DATE_INVALID 不仅仅是浏览器烦恼
当浏览器发起 TLS 握手时,它会根据三个标准验证服务器证书:颁发证书的证书颁发机构必须受信任、域名必须与证书的主题备用名称(SAN)匹配,以及当前时间戳必须介于证书的 `notBefore` 和 `notAfter` 字段之间。如果时间戳检查失败——无论是在客户端还是服务器端——握手将被中止,浏览器将显示 `NET::ERR_CERT_DATE_INVALID`。
由此产生的连锁影响十分显著。除了明显的用户体验中断外,Google 的爬虫也会拒绝具有无效证书的 HTTPS 资源,这可能导致排名下降。在 VPS 托管环境中运行的网站对证书生命周期管理拥有完全控制权,使服务器端的解决方案变得简单直接——但客户端原因需要结构化的诊断方法。
客户端与服务器端:诊断框架
在应用任何修复之前,先确定哪一方是问题所在。这将节省大量时间。
| 诊断信号 | 可能原因 | 修复位置 |
|---|
| — | — | — |
|---|
| 错误仅在您的设备上出现 | 客户端(时钟、缓存、扩展程序) | 您的浏览器或操作系统 |
|---|
| 错误在多台设备/网络上出现 | 服务器端(证书过期、证书链问题) | Web 服务器/托管 |
|---|
| 错误仅在某一网络上出现 | 网络级干扰(防火墙、代理) | 网络设置 |
|---|
| 浏览器检查器显示证书”已过期” | 服务器端证书过期 | 续签 SSL 证书 |
|---|
| 证书显示未来的 `notBefore` 日期 | 时钟偏差或证书颁发不正确 | 同步系统时间 |
|---|
| 在无痕模式下错误消失 | 浏览器扩展程序或缓存 | 浏览器设置 |
|---|
| 使用移动数据时错误消失 | ISP 级别或企业防火墙 | 网络配置 |
|---|
修复方法 1:同步系统日期和时间
这是最常见的客户端原因。如果您的系统时钟偏差超过几分钟,TLS 库将拒绝有效期窗口不包含错误本地时间戳的证书。对于一台时钟显示为次年一月的机器来说,一张有效期为一月一日至十二月三十一日的证书将显示为”已过期”。
Windows:
- 右键单击系统托盘中的时钟,选择调整日期/时间
- 启用自动设置时间并正确设置时区
- 在”同步您的时钟”下点击立即同步
- 或者,通过命令提示符(以管理员身份运行)强制进行 NTP 同步:
“`
w32tm /resync /force
“`
macOS:
- 导航至系统设置 > 通用 > 日期与时间
- 启用自动设置时间和日期并选择可靠的 NTP 服务器(例如 `time.apple.com`)
Linux(服务器端):
“`bash
timedatectl set-ntp true
systemctl restart systemd-timesyncd
timedatectl status
“`
关键注意事项:在虚拟机和容器中,客户机时钟可能与宿主机产生显著偏差。如果您管理 VPS,请务必在重启后验证 `timedatectl` 输出,并配置可靠的 NTP 源,例如 `pool.ntp.org`。
修复方法 2:清除浏览器缓存和 SSL 状态
浏览器会积极缓存证书响应和 HSTS(HTTP 严格传输安全)策略。即使底层问题已解决,缓存的无效证书响应仍可能持续存在。
清除 Chrome 浏览数据:
- 导航至 `chrome://settings/clearBrowserData`
- 将时间范围设置为所有时间
- 勾选Cookie 及其他网站数据和缓存的图片和文件
- 点击清除数据
清除 Windows 上的 SSL 状态(与浏览器缓存分开):
- 打开控制面板 > 网络和 Internet > Internet 选项
- 转到内容选项卡
- 点击清除 SSL 状态并确认
清除 Chrome 中的 HSTS 缓存(常被忽视):
- 导航至 `chrome://net-internals/#hsts`
- 在”删除域安全策略”下,输入域名并点击删除
如果该域名之前设置了具有较长 `max-age` 的有效 HSTS 标头,此步骤尤为重要。即使证书无效,浏览器也会强制执行 HTTPS,必须单独清除 HSTS 条目。
修复方法 3:将浏览器更新至最新版本
过时的浏览器附带过时的根证书存储。证书颁发机构会定期添加、吊销和轮换根证书。如果您的浏览器内置根存储不包含签署服务器证书的 CA,证书链将无法验证——在某些边缘情况下可能表现为 `NET::ERR_CERT_DATE_INVALID`,但 `NET::ERR_CERT_AUTHORITY_INVALID` 更为常见。
更新 Chrome:
- 点击三点菜单 > 帮助 > 关于 Google Chrome
- Chrome 将自动检测并应用待处理的更新
- 重启浏览器以完成更新
技术层面的重要性:Chrome 117+ 强制执行更严格的证书透明度(CT)日志要求。未记录到已识别 CT 日志的证书将被拒绝,无论其有效日期如何。保持浏览器最新版本可确保与现代 PKI 实践的兼容性。
修复方法 4:临时禁用杀毒软件的 HTTPS 检测
许多企业和消费级杀毒产品——包括 Kaspersky、ESET、Avast 和 Bitdefender——会执行 SSL/TLS 拦截(也称为 HTTPS 扫描或中间人检测)。它们通过安装本地根 CA 证书并对所有 HTTPS 流量重新签名来实现这一功能。如果杀毒软件的内部证书已过期,或者无法使用准确的有效日期正确地对证书重新签名,浏览器将收到无效证书并抛出 `NET::ERR_CERT_DATE_INVALID`。
步骤:
- 临时禁用杀毒软件的 HTTPS 扫描功能(而非整个杀毒软件)
- 测试受影响的网站
- 如果错误消失,将杀毒软件更新至最新版本(通常会刷新内部 CA 证书)
- 确认修复后重新启用 HTTPS 扫描
请勿永久禁用 HTTPS 扫描。如果该网站受信任,请将有问题的域名添加到杀毒软件的排除列表中。
修复方法 5:审查并禁用浏览器扩展程序
注重隐私的扩展程序(VPN、广告拦截器、脚本拦截器)可能通过修改请求标头或将流量路由到具有自身证书基础设施的代理来干扰证书验证。
系统化隔离流程:
- 打开 `chrome://extensions/`
- 同时关闭所有扩展程序
- 测试受影响的 URL
- 如果错误消失,逐一重新启用扩展程序以找出问题所在
- 检查有问题的扩展程序的代理或 HTTPS 拦截选项设置
实现自有 DNS-over-HTTPS(DoH)或代理路由的扩展程序是最常见的问题来源。切换到干净的浏览器配置文件(`chrome://settings/manageProfile`)比逐个切换扩展程序更快速的隔离方法。
修复方法 6:刷新 DNS 缓存
虽然 DNS 缓存损坏不会直接导致证书验证失败,但它可能将流量路由到错误的 IP 地址——该地址可能为该域名提供不同(且无效)的证书。这在 IP 地址频繁变化的 CDN 环境中尤为相关。
Windows:
“`
ipconfig /flushdns
“`
macOS:
“`bash
sudo dscacheutil -flushcache; sudo killall -HUP mDNSResponder
“`
Linux:
“`bash
sudo systemd-resolve –flush-caches
or for older systems:
sudo service nscd restart
“`
刷新后,使用 `nslookup yourdomain.com` 或 `dig yourdomain.com` 验证您是否解析到正确的 IP,并确认该 IP 与您的托管服务商记录相符。
修复方法 7:验证并调整 TLS 协议设置
现代浏览器已弃用 TLS 1.0 和 TLS 1.1。如果服务器仅配置为提供已弃用的协议,浏览器可能会完全拒绝连接。相反,某些企业网络设备会剥离 TLS 1.3 标头,强制降级可能触发验证错误。
检查 Chrome 的 TLS 标志:
- 导航至 `chrome://flags/`
- 搜索”TLS”并验证没有实验性标志强制降级
检查服务器端 TLS 配置(适用于网站所有者):
使用 SSL Labs 服务器测试工具 `ssllabs.com/ssltest/` 审查您服务器的协议支持。正确配置的服务器应支持 TLS 1.2 和 TLS 1.3,并明确禁用 TLS 1.0/1.1。
Nginx 示例——强制使用现代 TLS:
“`nginx
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers off;
“`
Apache 等效配置:
“`apache
SSLProtocol -all +TLSv1.2 +TLSv1.3
SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256
“`
修复方法 8:检查并续签 SSL 证书(服务器所有者)
如果您管理服务器,这是最直接的服务器端修复方法。证书过期是服务器端导致 `NET::ERR_CERT_DATE_INVALID` 最直接的原因。
通过浏览器检查证书:
- 点击地址栏中的锁形图标(或警告图标)
- 选择连接不安全 > 证书无效
- 检查有效期自和有效期至字段
通过命令行检查(更可靠):
“`bash
echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -dates
“`
这将直接从正在提供的实时证书中输出 `notBefore` 和 `notAfter` 时间戳。
使用 Certbot 续签 Let’s Encrypt 证书:
“`bash
certbot renew –force-renewal
systemctl reload nginx # or apache2
“`
自动化续签(正确的长期解决方案):
“`bash
Add to crontab or systemd timer
0 3 * * * certbot renew –quiet –post-hook "systemctl reload nginx"
“`
Let’s Encrypt 证书每 90 天过期一次。自动续签应在部署时配置,而非在首次过期后才进行。如果您运行的是带 cPanel 的 VPS,AutoSSL 会自动处理此问题——但请验证其是否已启用,并确认续签任务没有静默失败。
常见服务器端问题:
- 证书链不完整:服务器仅提供叶证书而未提供中间 CA 证书。未缓存中间证书的浏览器将无法验证。请务必拼接完整链:`cat yourdomain.crt intermediate.crt > fullchain.crt`
- 虚拟主机绑定了错误的证书:在具有多个虚拟主机的 Nginx 或 Apache 中,该域名可能激活了错误的 `ssl_certificate` 指令。使用 `nginx -T | grep ssl_certificate` 进行验证
- 证书颁发给了错误的域名:通配符 `*.example.com` 不涵盖 `example.com`(顶级域名)——两者都必须明确列为 SAN
如果您正在评估证书选项,来自受信任提供商的 SSL 证书包含正确的链配置,并与所有主流浏览器兼容。
修复方法 9:在无痕/隐私浏览模式下测试
无痕模式会启动一个没有扩展程序、没有缓存数据、没有存储 Cookie 的浏览器会话。这是隔离错误是环境性(缓存、扩展程序)还是结构性(服务器证书)的最快方法。
Chrome: `Ctrl + Shift + N`(Windows/Linux)或 `Command + Shift + N`(macOS)
Firefox: `Ctrl + Shift + P`
Edge: `Ctrl + Shift + N`
结果解读:
- 无痕模式下错误消失:原因是缓存响应、存储的 HSTS 策略或浏览器扩展程序。继续执行修复方法 2 和 5。
- 无痕模式下错误持续存在:原因是服务器端或网络级别。继续执行修复方法 8、10 和 12。
修复方法 10:在不同网络上测试
网络级设备——企业防火墙、ISP 透明代理和某些家用路由器——会执行 SSL 检测或 DNS 操纵,从而引入证书错误。跨网络测试可以隔离此变量。
测试方法:
- 在当前网络上测试(例如,办公室 Wi-Fi)
- 使用移动数据测试(完全绕过本地网络)
- 通过 VPN 测试(同时更改网络路径和 DNS 解析器)
- 使用不同的 DNS 解析器测试:将 DNS 设置为 `1.1.1.1`(Cloudflare)或 `8.8.8.8`(Google)并重新测试
如果错误仅在某一特定网络上出现,问题出在该网络的 SSL 检测或 DNS 配置上——而非服务器证书或您的浏览器。
对于网站所有者:如果企业网络用户报告此错误而其他用户没有,您的证书可能使用了不在企业信任存储中的 CA,或者企业代理未能正确地对您的证书重新签名。切换到广泛受信任的 CA(DigiCert、Sectigo、Let’s Encrypt)可解决大多数企业信任存储问题。
修复方法 11:清除 Windows SSL 状态
Windows SSL 状态是一个独立于浏览器缓存的系统级缓存。它存储 SSL 连接的会话密钥和证书信息。此处的损坏条目即使在清除浏览器缓存后也可能导致持续的验证失败。
步骤:
- 打开控制面板(在开始菜单中搜索)
- 导航至网络和 Internet > Internet 选项
- 点击内容选项卡
- 点击清除 SSL 状态
- 点击确定
- 重启所有浏览器实例
这会影响所有使用 Windows SSL/TLS 堆栈的浏览器(Internet Explorer、Edge Legacy 以及某些配置下基于 Chromium 的浏览器)。Chrome 和 Firefox 独立维护自己的证书存储,因此此修复方法最适用于 Edge 和基于 IE 的企业环境。
修复方法 12:上报给网站管理员
如果所有客户端修复方法均已尝试,且错误在多台设备和网络上持续存在,则问题明确为服务器端。需要通知网站所有者并提供具体技术细节以加快解决进程。
报告中应包含的内容:
- 确切的错误代码(`NET::ERR_CERT_DATE_INVALID`)
- 浏览器检查器中的证书详情(颁发者、有效日期、SAN)
- 如果可以运行,提供 `openssl s_client -connect domain.com:443` 的输出
- 错误是否在多个浏览器和设备上出现
- 错误是持续性的还是间歇性的(间歇性错误通常表明负载均衡器提供了多个证书,其中部分已过期)
对于收到此类报告的网站管理员:检查您的证书续签自动化是否正常运行。一种常见的失败模式是 Certbot 续签成功,但 Web 服务器未重新加载,因此继续从内存中提供旧的过期证书。请务必将续签与服务器重新加载钩子配对使用。
如果您管理的是独立服务器或 VPS 环境,请使用 `check_ssl_cert`、Nagios 插件或 UptimeRobot 的 SSL 监控等服务设置证书过期监控警报——该服务会在过期前 30、14 和 7 天发送警报。
服务器端证书管理:网站所有者最佳实践
对于管理自有基础设施的管理员而言,被动式证书续签是一种风险。以下实践可消除 `NET::ERR_CERT_DATE_INVALID` 作为反复出现问题的可能性。
主动式证书生命周期管理:
- 自动化续签:使用带有 systemd 定时器或 cron 任务的 Certbot。对于商业证书,使用与您的 CA API 兼容的 ACME 客户端
- 监控过期日期:将证书过期检查集成到您的监控堆栈中。带有 `blackbox_exporter` 的 Prometheus 可以抓取 TLS 过期指标
- 对关键基础设施使用有效期更长的证书:虽然 Let’s Encrypt 的 90 天周期适用于大多数用例,但有效期为 1 年的 OV 和 EV 证书可降低高风险域名的续签频率
- 验证完整链:每次续签后,运行 `openssl verify -CAfile /etc/ssl/certs/ca-certificates.crt -untrusted intermediate.crt yourdomain.crt` 确认链完整性
- 从外部视角测试:在非您服务器的机器上使用 `curl -v https://yourdomain.com` 模拟浏览器所看到的内容
对于使用 VPS 控制面板的环境:大多数现代控制面板(cPanel、Plesk、DirectAdmin)包含内置 SSL 管理功能,具有 AutoSSL 或同等功能。验证 AutoSSL 任务是否已计划,并每月查看其日志。
多域名和通配符证书注意事项:
- 通配符证书(`*.example.com`)不涵盖顶级域名(`example.com`),除非将其明确添加为 SAN
- 多域名(SAN)证书在添加新子域名时必须重新颁发——而不仅仅是续签
- 证书固定(HPKP)已被弃用,不应使用;如果固定的证书过期,可能导致永久锁定
对比:客户端与服务器端修复方法一览
| 修复方法 | 适用于 | 难度 | 解决时间 |
|---|
| — | — | — | — |
|---|
| 同步系统时钟 | 客户端 | 极简单 | 2 分钟以内 |
|---|
| 清除浏览器缓存 + HSTS | 客户端 | 简单 | 5 分钟以内 |
|---|
| 更新浏览器 | 客户端 | 简单 | 5 分钟以内 |
|---|
| 禁用杀毒软件 HTTPS 扫描 | 客户端 | 中等 | 5–10 分钟 |
|---|
| 禁用/审查扩展程序 | 客户端 | 简单 | 5–10 分钟 |
|---|
| 刷新 DNS 缓存 | 客户端/网络 | 简单 | 2 分钟以内 |
|---|
| 调整 TLS 协议设置 | 客户端/服务器 | 中等 | 10–20 分钟 |
|---|
| 续签/替换 SSL 证书 | 服务器 | 中等 | 15–60 分钟 |
|---|
| 在无痕模式下测试 | 诊断 | 极简单 | 1 分钟以内 |
|---|
| 在不同网络上测试 | 诊断 | 简单 | 5 分钟以内 |
|---|
| 清除 Windows SSL 状态 | 客户端(Windows) | 简单 | 5 分钟以内 |
|---|
| 联系网站管理员 | 上报 | 不适用 | 不定 |
|---|
决策矩阵与技术检查清单
使用此检查清单系统性地解决 `NET::ERR_CERT_DATE_INVALID`,而非随机应用修复方法。
第 1 步——确定范围:
- [ ] 错误是否在无痕模式下出现?
- [ ] 错误是否在第二台设备(手机、另一台电脑)上出现?
- [ ] 错误是否在使用移动数据时出现?
第 2 步——如果仅为客户端问题(错误在其他设备上消失):
- [ ] 验证并同步系统时钟(NTP)
- [ ] 清除浏览器缓存、Cookie 和 HSTS 条目
- [ ] 清除 Windows SSL 状态(仅限 Windows)
- [ ] 禁用所有扩展程序并重新测试
- [ ] 禁用杀毒软件 HTTPS 扫描并重新测试
- [ ] 刷新 DNS 缓存
第 3 步——如果为服务器端问题(错误在所有设备/网络上持续存在):
- [ ] 运行 `openssl s_client -connect domain.com:443` 并检查 `notAfter`
- [ ] 验证是否提供了完整的证书链(而非仅叶证书)
- [ ] 确认正确的证书已绑定到正确的虚拟主机
- [ ] 续签证书并重新加载 Web 服务器
- [ ] 验证 SAN 包含所有必需的主机名(顶级域名 + www + 子域名)
- [ ] 运行 SSL Labs 测试,确认续签后评级为 A 或 A+
第 4 步——防止再次发生:
- [ ] 配置带有服务器重新加载钩子的自动化证书续签
- [ ] 设置外部证书过期监控,在过期前 30/14/7 天发送警报
- [ ] 在运维手册中记录证书续签流程
对于管理多个域名的团队,域名注册和证书管理应集中在单一管理界面下,以防止各个域名证书在未被察觉的情况下过期。
常见问题解答
问:即使证书未过期,也会出现 NET::ERR_CERT_DATE_INVALID 吗?
会。只要浏览器的 TLS 库无法验证证书的时间窗口,就会触发此错误——如果您的系统时钟设置为证书 `notBefore`–`notAfter` 范围之外的日期,即使证书本身在技术上有效,也会发生这种情况。时钟设置为两年后的日期将导致当前有效的证书显示为已过期。
问:为什么错误在同一台机器上的一个浏览器中出现,而在另一个浏览器中不出现?
Chrome、Firefox 和 Edge 维护部分独立的证书存储和 TLS 堆栈。Firefox 使用自己的 NSS 库和根存储,而 Chrome 在 Windows 和 macOS 上使用操作系统证书存储。安装在某一浏览器中的扩展程序,或某一浏览器存储中缓存的 HSTS 策略,可能导致错误仅在该浏览器中出现,而其他浏览器正常工作。
问:出现此错误时点击”仍然继续”是否安全?
不安全。与其他一些证书错误不同,`NET::ERR_CERT_DATE_INVALID` 表明加密信任链存在真正的失败。继续访问意味着您的连接未经验证——您无法确认您正在与合法服务器通信,且连接可能被拦截。只有在维护窗口期间您作为网站所有者测试自己的服务器时,才应继续访问。
问:如何防止我管理的服务器上的 SSL 证书过期?
使用 Certbot 或同等 ACME 客户端配置自动化续签,并附加一个重新加载 Web 服务器的续签后钩子。此外,设置外部监控(UptimeRobot、Datadog 或自定义 `check_ssl_cert` 脚本)在过期前 30 天发送警报。依赖手动续签在运维上是不可靠的——自动化是唯一可靠的解决方案。
问:此错误会影响 SEO 排名吗?
会直接和间接影响。Googlebot 不会索引使用无效证书提供的 HTTPS 资源,这会将这些页面完全从索引中移除。此外,如果您的网站配置了 HSTS,浏览器将拒绝通过 HTTP 作为备用方式加载,使网站在证书修复之前对用户和爬虫完全不可访问。证书健康状况是维持搜索可见性的前提条件,而非可选项。