Исправляем ошибку неверного сертификата на macOS: причины и решение

Что означает ошибка неверного сертификата на macOS

Ошибка неверного сертификата (часто с кодом -1202, NSURLErrorServerCertificateUntrusted) возникает, когда macOS или браузер не могут подтвердить подлинность SSL/TLS-сертификата веб-сайта. Это защитная мера, предотвращающая подключение к потенциально небезопасным сайтам. Ошибка обычно отображается как предупреждение в Safari, Chrome или других браузерах, блокируя доступ к сайту и указывая на проблемы с шифрованием соединения.

Причины возникновения

1. Просроченный сертификат: Сертификат сайта истек и не был обновлен администратором.
2. Самоподписанный сертификат: Сертификат не подписан доверенным центром сертификации (CA), поэтому система не доверяет ему.
3. Несоответствие домена: Имя домена в сертификате не совпадает с адресом сайта, который вы пытаетесь посетить (например, сертификат для example.com, а вы зашли на www.example.com).
4. Неправильная дата и время на Mac: Если системные дата или время неверны, проверка срока действия сертификата может давать ложные срабатывания.
5. Отсутствие корневого сертификата: В системе отсутствует корневой сертификат, необходимый для проверки цепочки доверия, особенно для новых или редко используемых центров сертификации.
6. Проблемы с сетью или брандмауэром: Корпоративные брандмауэры или антивирусы могут подменять сертификаты для проверки трафика, что приводит к ошибкам доверия.

Способы решения

Способ 1: Доверие сертификату через Keychain Access (рекомендуется)

Этот метод позволяет вручную добавить сертификат в хранилище ключей macOS и установить для него доверие. Подходит для самоподписанных сертификатов или сертификатов от частных CA.

1. Откройте Keychain Access:
   • Нажмите Cmd+Пробел, введите "Keychain Access" и нажмите Enter.
   • Или перейдите в Программы → Утилиты → Keychain Access.app.
2. Найдите недоверенный сертификат:
   • В левой панели выберите раздел "Системы" (System) или "Вход" (Login).
   • В списке сертификатов найдите тот, который имеет красный крестик или предупреждение "Недостаточно информации для доверия". Обычно он связан с доменом сайта, например, server.example.com.
3. Измените настройки доверия:
   • Дважды щелкните на сертификате, чтобы открыть его свойства.
   • Нажмите на стрелку рядом с "Доверие" (Trust), чтобы развернуть настройки.
   • Для параметра "При использовании этого сертификата" (When using this certificate) выберите "Всегда доверять" (Always Trust).
   • Закройте окно – система запросит ввод пароля администратора для внесения изменений. Введите пароль.
4. Перезапустите браузер:
   • Закройте и снова откройте браузер (Safari, Chrome и т.д.).
   • Попробуйте зайти на сайт – ошибка должна исчезнуть.

⚠️ Важно: Доверять сертификатам следует только для сайтов, которым вы уверены (например, внутренние корпоративные ресурсы или тестовые среды). Не доверяйте сертификатам сомнительных сайтов, так как это может подвергнуть вас риску кражи данных.

Способ 2: Проверьте и исправьте дату и время

Неправильная дата или время – частая причина ошибок сертификатов, так как проверка срока действия зависит от системных часов.

1. Откройте Системные настройки (System Settings) через меню Apple  или Spotlight.
2. Перейдите в Общие → Дата и время (General → Date & Time).
3. Убедитесь, что опция "Устанавливать дату и время автоматически" (Set date and time automatically) включена, и выбран правильный часовой пояс (например, "Москва, Санкт-Петербург").
4. Если дата/время неверны, исправьте их вручную или перезагрузите Mac, чтобы синхронизировать с серверами времени.
5. После исправления, перезапустите браузер и попробуйте зайти на сайт снова.

Способ 3: Удалите и повторно установите сертификат (для самоподписанных)

Если вы разрабатываете сайт или используете самоподписанный сертификат, его нужно правильно установить в Keychain Access.

1. Удалите старый сертификат:
   • В Keychain Access найдите сертификат в разделе "Системы" или "Вход".
   • Щелкните правой кнопкой и выберите "Удалить" (Delete).
   • Подтвердите удаление, введите пароль администратора при запросе.
2. Получите новый сертификат:
   • Если это сертификат от разработчика, запросите новый файл (обычно .crt, .pem или .p12).
   • Для самоподписанного сертификата сгенерируйте его заново, например, через OpenSSL:

     openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365
     

3. Установите сертификат:
   • Дважды щелкните файл сертификата.
   • В диалоговом окне выберите, куда добавить: "Системы" (System) для общего доступа или "Вход" (Login) только для текущего пользователя. Для большинства случаев выберите "Системы".
   • Введите пароль администратора.
   • После установки, найдите сертификат в Keychain Access и установите доверие, как в Способе 1.
4. Перезапустите браузер и проверьте сайт.

Способ 4: Временный обход в браузере (не рекомендуется)

Если нужно срочно получить доступ к тестовому сайту, а доверие сертификату невозможно, можно временно обойти проверку. Используйте только для неконфиденциальных целей, например, локальной разработки.

• В Google Chrome:
  • При появлении ошибки, нажмите "Дополнительно" (Advanced), затем "Перейти на сайт (небезопасно)" (Proceed to site (unsafe)).
  • Для постоянного исключения локальных сайтов, введите chrome://flags в адресной строке, найдите "Allow insecure localhost" и включите.
• В Safari:
  • При ошибке, нажмите "Показать подробности" (Show Details), затем "Посетить сайт" (Visit this website). Safari запомнит доверие для этого сессии, но при следующем посещении предупреждение может вернуться.
• В Firefox:
  • Нажмите "Дополнительно" (Advanced), затем "Принять риск и продолжить" (Accept the Risk and Continue).

⚠️ Предупреждение: Временные обходы отключают проверку сертификатов для конкретного сайта или сессии, что делает вас уязвимым для атак "человек посередине". Никогда не используйте их для ввода паролей, платежных данных или доступа к личной информации.

Способ 5: Обновите корневые сертификаты macOS

macOS регулярно обновляет список доверенных корневых сертификатов через системные обновления. Устаревший список может вызывать ошибки для сертификатов новых центров сертификации.

1. Откройте Системные настройки → Обновление ПО (Software Update).
2. Проверьте наличие обновлений и установите все, особенно те, что помечены как "Безопасность" или "macOS".
3. После установки обновлений, перезагрузите Mac.
4. Попробуйте зайти на сайт снова.

Если проблема сохраняется, возможно, сертификат сайта подписан новым CA, который ещё не добавлен в macOS. В этом случае, администратор сайта должен предоставить полную цепочку сертификатов (включая промежуточные CA) или использовать сертификат от общепринятого центра.

Профилактика

Чтобы избежать ошибок неверного сертификата в будущем:

• Поддерживайте актуальную дату и время: Включите автоматическую синхронизацию в Системных настройках → Дата и время. Неправильные часы – основная причина ошибок.
• Устанавливайте обновления macOS и браузеров: Регулярно обновляйте систему и браузеры, чтобы получать актуальные корневые сертификаты и исправления безопасности.
• Будьте осторожны с самоподписанными сертификатами: Если вы разрабатываете, правильно устанавливайте сертификаты в Keychain Access и устанавливайте доверие только для необходимых доменов.
• Не игнорируйте ошибки сертификатов на известных сайтах: Если вы видите ошибку на сайте банка или крупного сервиса, не обходите её – возможно, сайт скомпрометирован или у вас вирус. Свяжитесь с поддержкой сайта.
• Проверяйте цепочку сертификатов (для администраторов): Убедитесь, что веб-сервер (Nginx, Apache и т.д.) настроен на отправку полной цепочки сертификатов, включая промежуточные CA. Используйте инструменты вроде openssl s_client -connect example.com:443 -showcerts для диагностики.
• Используйте доверенные центры сертификации: Для публичных сайтов получайте сертификаты от общепризнанных CA (Let's Encrypt, DigiCert, GlobalSign), чтобы избежать проблем с доверием.