TLS и доверие к сертификату

Что означают SSL-ошибки

Разберите типичные SSL- и TLS-проблемы в диагностике: истёкший сертификат, несовпадение имени хоста, самоподписанную цепочку, ошибки протокола и то, что каждый такой сбой реально означает для пользователя.

SSL-ошибки неудобны тем, что находятся посередине между «сайт жив» и «сайт недоступен». Хост может быть достижим, порт может быть открыт, а приложение даже может отдавать контент отдельным клиентам, но браузеры и боты всё равно заблокируют страницу, потому что доверие к HTTPS сломалось раньше, чем началась нормальная сессия. Поэтому проблемы сертификатов нельзя просто записывать в категорию «сайт лежит».

Достижимый хост — ещё не доверенный хост

Сервер может отвечать на 443 порту и всё равно ломаться для пользователя, если сертификат истёк, не совпадает по имени или не вызывает доверия.

Имя хоста так же важно, как и срок действия

Даже свежий сертификат бесполезен, если он не покрывает то имя хоста, которое реально открывает пользователь.

TLS-сбой происходит до обычной загрузки страницы

Именно поэтому SSL-проблемы часто выглядят как падение сайта, хотя само приложение за сервером может быть живо.

Когда важно разбирать именно SSL

Эта страница нужна тогда, когда HTTPS-доверие — основной блокер, а не второстепенная деталь в большом отчёте.

Браузер показывает предупреждение о сертификате

Пользователь может видеть не пустую ошибку загрузки, а пугающее предупреждение браузера. Сайт при этом может быть жив, но доверие к нему сломано.

Проверка сайта указывает на сбой TLS

Отдельный отчёт по SSL помогает отделить проблемы жизненного цикла сертификата от доступности порта или ошибок приложения.

Недавно была миграция или смена CDN

Во время DNS-переездов и платформенных изменений часто ломаются покрытие имён хостов, цепочка сертификатов и сертификаты, привязанные к конкретному пограничному слою.

Основные семейства SSL-ошибок

Эти категории объясняют большую часть HTTPS-проблем, которые встречаются в диагностике.

Тип ошибки	Что это обычно означает	Что видят пользователи
Истёкший сертификат	Срок действия сертификата закончился, а продление не произошло вовремя.	Браузер блокирует страницу или показывает серьёзное предупреждение безопасности.
Несовпадение имени хоста	Запрошенный хост не покрывается SAN-списком или общим именем сертификата.	HTTPS работает только на части хостов, либо пользователь видит предупреждение о неверном имени сертификата.
Самоподписанная или приватная цепочка	Сервер отдал сертификат, которому публичные клиенты по умолчанию не доверяют.	Внутренние системы могут работать, а публичные браузеры и боты — отклонять страницу.
Неполная цепочка	Сервер не отдал достаточно промежуточных сертификатов, чтобы клиент собрал доверенную цепочку без дополнительных догадок.	Одни устройства проходят, другие нет, в зависимости от кэша промежуточных сертификатов.
Устаревший TLS или сломанное согласование	Эндпоинт поддерживает только устаревшее поведение TLS или срывается во время согласования рукопожатия.	Соединение падает ещё до загрузки страницы, особенно на более строгих клиентах.

Как отличить SSL-проблему от обычной недоступности

Это важно, потому что владелец проблемы и срочность исправления могут быть совсем разными.

Порт 443 может быть открыт, а HTTPS всё равно сломан

Слушающий сервис доказывает только то, что кто-то принял соединение. Это ещё не означает, что цепочка сертификатов и доверие к имени хоста в порядке.

Валидный сертификат не гарантирует здоровье приложения

После успешного TLS страница всё равно может отдавать 500 или 503. SSL — лишь один этап пути.

Разные имена хостов могут вести себя по-разному

Апекс-домен, www и региональный поддомен нередко показывают разное покрытие сертификатом и разное поведение на пограничном слое.

Какие проверки полезнее всего после SSL-сигнала

Откройте дополнительный инструмент, который снимает следующий уровень неопределённости, а не останавливайтесь на общем предупреждении браузера.

Сертификат и TLSОткройте Проверку SSL ради детального разбора сертификата

Это лучший вариант, когда нужно отдельно разобрать владельца, издателя, SAN-имена, срок действия и видимую поддержку протоколов на нужном имени хоста.

Проверка SSL Диагностика URLОткройте Проверку сайта, чтобы понять, доходит ли дело до HTTP

Полезно, когда нужен контекст вокруг TLS-предупреждения: цепочка редиректов, финальный URL и тайминги.

Проверка сайта TCP-достижимостьОткройте Проверку порта, если неясно, слушает ли HTTPS-сервис

Это помогает отличить неработающий слушающий процесс от проблемы доверия на в остальном достижимом эндпоинте.

Проверка порта Нормализованный DNS-ответОткройте Проверку DNS после смены имени хоста или пограничного слоя

Полезно, когда DNS-переезд мог отправить трафик не к тому провайдеру или на хост с чужим сертификатом.

Проверка DNS

Частые заблуждения про SSL

Из-за этих предположений инциденты с сертификатами расследуются дольше, чем должны.

Считать, что сайт полностью лежит только потому, что браузер показывает предупреждение о сертификате.
Смотреть только на дату окончания и игнорировать покрытие имени хоста в SAN-списке.
Тестировать исходный IP напрямую и ожидать, что результат честно покажет состояние публичного имени хоста.
Считать, что раз один клиент смог открыть сайт, значит цепочка сертификатов здорова для всех браузеров и устройств.

FAQ: SSL-ошибки в диагностике

Может ли валидный сертификат всё равно давать SSL-предупреждение?

Да. Сертификат может быть действующим по срокам и всё равно ломаться из-за несовпадения имени хоста, неполной цепочки или недоверенного издателя.

Почему одни пользователи видят сайт, а другие нет?

Разные устройства, хранилища доверия, закэшированные промежуточные сертификаты и сетевые пути могут давать разные результаты. Частые причины — неполная цепочка и сертификаты, завязанные на конкретный пограничный слой.

Заменяет ли Проверка SSL браузерное тестирование?

Нет. Она даёт чистый серверный взгляд на сертификат и TLS, но браузер добавляет свои политики, HSTS, собственное хранилище доверия и влияние расширений.

Связанные инструменты

Сайт и SSLПроверка SSLПроверка издателя, владельца, SAN-имён, срока действия, совпадения имени хоста, цепочки сертификатов и видимой поддержки версий TLS из России и Финляндии.Сайт и SSLПроверка сайтаПодробный отчёт по URL с общим вердиктом и результатами из России и Финляндии: DNS-тайминг, время TCP-подключения, TLS-рукопожатие, TTFB, цепочка редиректов, итоговый URL, заголовки ответа и найденные IP-адреса.Сетевой путьПроверка портаБезопасная TCP-проверка публичного порта из России и Финляндии: открыт, отклонён, недоступен по тайм-ауту или закрыт, с явной задержкой и деталями попыток.DNS и именаПроверка DNSA, AAAA, CNAME, MX, TXT, NS, SOA, CAA и PTR-записи с нормализованным выводом, сырыми ответами резолвера, понятными пустыми состояниями и сравнением двух серверных точек там, где ответы зависят от резолвера.Домены и IPДанные доменаРегистратор, даты создания и обновления, срок окончания, статусные значения домена, серверы имён и сырой RDAP-ответ, если реестр это поддерживает.

Связанные руководства

Интерпретация результатаКак читать результат проверки сайтаРазберите вывод проверки сайта в правильном порядке: статус, цепочку редиректов, тайминги, заголовки ответа, разрешённые IP-адреса, предупреждения и разницу между проблемой приложения и сетевым сбоем.Сценарий проверки доступностиКак проверить, действительно ли сайт недоступенПошаговый способ отличить реальную недоступность сайта от проблемы DNS, SSL, закрытого порта или ситуации, когда сайт технически отвечает, но всё равно сломан.Типовые сбоиТипичные проблемы с доступностью сайтаРазберите основные слои, из которых складываются инциденты доступности сайта: ошибки DNS, проблемы SSL, закрытые порты, перегруженные приложения и маршрутные сбои.Интерпретация HTTPЧто означают HTTP-коды в диагностикеПоймите, как правильно читать HTTP-коды в диагностике сайта: редиректы, клиентские ошибки, серверные ошибки и разницу между настоящим HTTP-ответом и сбоем на более низком уровне.

Открыть все руководства