Ошибки SSL-сертификата — troubleshooting
исправление ошибок ssl · certificate name mismatch · руководство по ssl troubleshooting
Исправление типичных SSL-ошибок: name mismatch, untrusted chain, просроченный cert, mixed content и проблемы SNI с онлайн-checkers и контекстом DNS/WHOIS.
Автор: Команда DN01
TLS-ошибки проявляются в браузерах, API-клиентах и monitoring probes с разными сообщениями при одной корневой причине. Структурированный чеклист — hostname, даты, цепочка, протокол — решает большинство инцидентов без угадывания.
Начните с SSL Certificate Checker на точном hostname, который вводят пользователи, затем сверьте DNS A/AAAA и WHOIS, если отвечает не тот сервер.
Name mismatch (SAN/CN)
Сертификат должен перечислять каждый обслуживаемый hostname — www и apex различны, если оба не в SAN.
Legacy CN-only certs падают, когда клиенты требуют SAN — перевыпустите с полным списком SAN.
Multi-tenant серверы нуждаются в корректном SNI — неверный virtual host cert даёт mismatch на shared IP.
Mixed content и редиректы
Активный HTTPS с пассивными HTTP-ресурсами вызывает предупреждения браузера — используйте HTTP Header Checker и исправьте URL ресурсов.
Петли HTTP→HTTPS часто связаны с misconfigured HSTS или proxy headers — проверяйте цепочку редиректов отдельно.
Частые вопросы
- Ошибка только из одной страны?
Проверьте GeoDNS, edge-сертификат CDN или региональный resolver, попадающий на stale anycast node.
- API-клиенты падают, а браузер работает?
Клиенты могут требовать TLS 1.2+, конкретный cipher или полную цепочку — сравните cipher/protocol из checker с логами клиента.
- Отключать проверку сертификата в приложениях?
Никогда в production. Исправьте цепочку или trust store.