Loess.ru

having fun

Исправляем NET::ERR_CERT_INVALID on Letsencrypt SSL on Chrome on WinXP or NT 5.2

Проблема — Chrome выдаёт свой фирменный «oops»: NET::ERR_CERT_INVALID с объяснением, что сайт «не отправил то, что он отправляет обычно» (интересно, откуда ж ему знать? :D) и хромэ лёг костьми на амбразуру, но всё-таки разорвал подозрительное соединение. Инфо о сертификате говорит «Сертификат имеет недопустимое имя. Такое имя не включается в список разрешенных или явно исключенных.»

ПричинаWindows XP SP3 cannot handle certificates with namespace restrictions в промежуточном сертификате.

Решилось установкой корневого сертификата ISRG Root X1 и промежуточного, подписанного этим корневым (Let’s Encrypt Authority X1 — Signed by ISRG Root X1). Быстрый тест браузера можно провести на сайте https://helloworld.letsencrypt.org/, а проверку ssl на сайте — на www.ssllabs.com

Реквесты на исправление жопорукости индусов гуглятся по запросу winxp+The+certificate+has+an+invalid+name.

Прочие решения:

  • не использовать этот браузер на winxp
  • не использовать сертификат letsencrypt на сайте
  • использовать mod_rewrite для редиректа http запросов на https по UserAgent, однако, это не перезапишет все линки на сайте.
  • Вывод: ставить серты от letsencrypt и не ломать мозг =)

    6 Responses to Исправляем NET::ERR_CERT_INVALID on Letsencrypt SSL on Chrome on WinXP or NT 5.2

    1. blacknirvana says:

      Огромное спасибо.
      Три дня искал решение 🙁
      Теперь все о.к.

    2. Костя says:

      Реально, огромное спасибо!
      Продолжаем пользоваться ХР.
      А надо было всего-то зайти из-под Оперы 36 (которая по природе Хром)
      в кабинет налогового сайта cabinet.sfs.gov.ua
      Да и на этот сайт тоже можно было только из Мозиллы зайти.
      Теперь очень хорошо — ходим из-под всех браузеров.

    3. Василий says:

      Добрый день!Подскажите как его установить??? Появляется Много букв и цифр в окне а дальше что???

      • Loess says:

        Переименуйте в crt, открывайте и устанавливайте в соответствующее хранилище. Такие вещи люди, пользующиеся WinXP в наше время, должны сами знать =)

    4. DarkSoul says:

      Спасибо за статью, но…
      …скачал указанные 2 сертификата, установил в виндовс ХР SP3 , а потом в UC Browser (тот же Сhrome) — не помогло, скачал все сертификаты установил в виндовс и потом в браузере и тоже не помогло.

      • Loess says:

        Вы сверили симптомы? Уверены, что инфо о сертификате говорит «Сертификат имеет недопустимое имя. Такое имя не включается в список разрешенных или явно исключенных.»? Если ошибка другая — эти сертификаты не помогут, также не стоит и ставить все подряд сертификаты без разбора, на сайте по ссылке LE X1 лежит в retired. За год с момента написания статьи некоторые сертификаты поменялись, в данный момент на этом сайте путь сертификации DST Root CA X3 -> Let’s Encrypt Authority X3, всё прекрасно работает, хотя ISRG Root X1 вообще нет в доверенных. Ссылка на DST Root CA X3 есть на том же сайте, нужно просто внимательней читать, что там написано=)

    Добавить комментарий

    Ваш e-mail не будет опубликован. Обязательные поля помечены *

    Test your skill: *