Сертификат сервера не соответствует адресу сайта как исправить

I’m not sure how to configure the certificate to make it match… Can you tell me how to specify SAN to openssl?

You need to use a configuration file. That’s the only way to pass DNS names for the SAN to OpenSSL’s req (request) utility (there’s one other way, but its broken).

Below is a configuration file you can use as a template. Change the values to suit your taste.

If you want to create a self signed certificate, then execute the following command. The inclusion of the -x509 option creates the self signed certificate.

openssl req -config example-com.conf -new -x509 -newkey rsa:2048 
    -nodes -keyout example-com.key.pem -days 365 -out example-com.cert.pem

If you want to create a signing request, then execute the following command. The lack of the -x509 option creates the request. It also lacks the authorityKeyIdentifier of a certificate.

openssl req -config example-com.conf -new -newkey rsa:2048 
    -nodes -keyout example-com.key.pem -days 365 -out example-com.req.pem

You can inspect your handy work with:

openssl x509 -in example-com.cert.pem -text -noout

And:

openssl req -in example-com.req.pem -text -noout

I create a ssl certificate but I the browser tells me that «the site is untrusted»

You’re still going to need to import the self-signed so its trusted by your browser. But the problems with the names will go away. See for example:

• Firefox Support: How do I trust a self-signed issuer certificate?
• TechNet IE Blog: How to trust the IIS Express Self-Signed Certificate
• Google Chrome Product Forums: Installing web certificates
• etc…

Each browser is different.

And if I need to do that [nginx configuration], what does that mean for me?

I don’t know about web server configurations. You might be able to get help at Server Fault, Webmaster Stack Exchange or Web Apps Stack Exchange.

[ req ]
default_bits        = 2048
default_keyfile     = server-key.pem
distinguished_name  = subject
req_extensions      = req_extensions
x509_extensions     = cert_extensions
string_mask         = utf8only

[ subject ]
countryName         = Country Name (2 letter code)
countryName_default     = US

stateOrProvinceName     = State or Province Name (full name)
stateOrProvinceName_default = NY

localityName            = Locality Name (eg, city)
localityName_default        = New York

organizationName         = Organization Name (eg, company)
organizationName_default    = Example, LLC

# Use a friendly name here. Its presented to the user.
#   The server's DNS name show up in Subject Alternate Names. Plus, 
#   DNS names here is deprecated by both IETF and CA/Browser Forums.
commonName          = Common Name (e.g. server FQDN or YOUR name)
commonName_default      = Example Company

emailAddress            = Email Address
emailAddress_default        = test@example.com

[ cert_extensions ]

subjectKeyIdentifier        = hash
authorityKeyIdentifier  = keyid,issuer

basicConstraints        = CA:FALSE
keyUsage            = digitalSignature, keyEncipherment
# extendedKeyUsage  = serverAuth
subjectAltName          = @alternate_names
nsComment           = "OpenSSL Generated Certificate"

[ req_extensions ]

subjectKeyIdentifier        = hash

basicConstraints        = CA:FALSE
keyUsage            = digitalSignature, keyEncipherment
# extendedKeyUsage  = serverAuth
subjectAltName          = @alternate_names
nsComment           = "OpenSSL Generated Certificate"

[ alternate_names ]

DNS.1       = example.com
DNS.2       = www.example.com
DNS.3       = mail.example.com
DNS.4       = ftp.example.com

# Add these if you need them. But usually you don't want them or
#   need them in production. You may need them for development.
# DNS.5       = localhost
# DNS.6       = localhost.localdomain
# DNS.7       = 127.0.0.1

Когда вы посещаете веб-сайт, который использует HTTPS, он также предлагает SSL-сертификат браузеру для проверки его подлинности. Несмотря на то, что в нем есть много вещей, он включает в себя URL-адрес веб-сайта. Если сертификат не соответствует URL-адресу, введенному пользователем, появится предупреждение: Сертификат сервера не совпадает ОШИБКА ИМЯ ОБЩЕГО ИМЕНИ СЕРТИВАЯ , и это соединение не является частным, и сайт может попытаться украсть ваши данные. В этом посте мы расскажем, как решить эту проблему.

ERR_CERT_COMMON_NAME_INVALID

1] Проверьте сертификат .

Если вы являетесь владельцем веб-сайта, получающего эту ошибку, вам необходимо проверить, правильно ли установлен и настроен сертификат на сервере.

2] Проверьте файл хоста

Windows использует файл HOST, который сначала проверяется, когда он хочет преобразовать веб-сайт в IP-адрес. Если по какой-либо причине этот файл хоста был изменен вредоносной программой, он будет перенаправлен на вредоносный веб-сайт, который будет выглядеть как оригинальный веб-сайт, но с другим IP-адресом и без надлежащего сертификата SSL. Не забудьте удалить любой экземпляр веб-сайта в этом файле и сохранить.

3] Используйте общедоступный DNS Google

Если это не помогает, используйте Google Public DNS и посмотрите, подходит ли вам это. Вам необходимо явно изменить настройки DNS в вашей операционной системе, используя IP-адреса DNS. Каждый раз, когда вы вводите доменное имя в браузер, известно, что DNS будет искать IP-адрес доменного имени и возвращать вам результат. Если ваш DNS был скомпрометирован, измените его IP-адрес и посмотрите, работает ли он.

• Прежде всего, щелкните правой кнопкой мыши значок сети на панели задач и выберите Центр управления сетями и общим доступом.
• Выберите «Изменить настройки адаптера».
• Найдите сетевое соединение, которое используется для подключения к Интернету, может быть выбрано «Подключение по локальной сети» или «Беспроводное подключение».
• Щелкните правой кнопкой мыши и выберите «Свойства».
• Выберите новое окно, чтобы выбрать «Протокол Интернета 4 (TCP/IPv4)», а затем нажмите кнопку «Свойства».
• Установите флажок «Использовать следующие адреса DNS-серверов» в новом окне.
• Введите 8.8.8.8 и 8.8.4.4 .
• Наконец, нажмите OK и выйдите.

Один из этих советов должен помочь вам исправить эту ошибку. Это может произойти в любом браузере, таком как Chrome и т. Д., Но в основном это проблема уровня ПК или сервера.

С апреля 2017 года владельцы ru-доменов установили более 220 тысяч SSL-сертификатов: статистика по ссылке. В 2018 подробно описывать необходимость SSL излишне. Он нужен для безопасности личных данных. Подробнее в статье: Для чего необходим SSL-сертификат.

Если на сайте установлен SSL, страница открывается по безопасному https-протоколу:

Зеленый цвет в адресной строке сигнализирует пользователям: здесь не украдут персональные данные (номер банковской карты, почтовый аккаунт, пароль).

Досадно, когда зеленый сигнал светофора не вовремя сменяется красным. Вдвойне досадно, если вместо защищенного соединения вы вдруг видите на сайте — ошибку протокола SSL. Почему так вышло и как исправить и убрать ошибку подключения SSL, читайте ниже:

Предварительно проверьте

Убедитесь, что вы не перепутали ошибку подключения SSL с другими проблемами. Если в браузере перестал открываться ваш сайт, сначала проверьте:

1. Правильно ли установлен SSL-сертификат.
2. Настроен ли редирект с http на https для Linux-хостинга/Хостинга для ASP.NET.
3. На какой домен установлен SSL-сертификат. SSL-cертификат регистрируется на конкретный домен. То есть если сертификат установлен на домен faq-reg.ru, а вы зашли через адрес shop.faq-reg.ru, то будет показана ошибка SSL.

Если у вас установлен бесплатный SSL-сертификат, его действие распространяется только на сам домен и поддомен «www»: faq-reg.ru и www.faq-reg.ru. Для остальных поддоменов он не работает. Если вам необходим SSL-сертификат на поддомене, закажите отдельный сертификат для поддомена: Как купить SSL-сертификат?

Если с этим нет проблем, продолжите чтение статьи.

Почему возникает ошибка SSL

• сбились настройки системных часов или календаря,
• ваша антивирусная программа сканирует данные передаваемые по HTTPS-протоколу и может блокировать некоторый трафик,
• изменились настройки самого браузера,
• срабатывает вредоносный скрипт.

Ошибка протокола SSL, что делать