Co je chyba NET::ERR_CERT_AUTHORITY_INVALID?
Pokud při pokusu o otevření webové stránky v prohlížeči Google Chrome narazíte na chybové hlášení NET::ERR_CERT_AUTHORITY_INVALID, znamená to, že prohlížeč nedokáže ověřit platnost SSL certifikátu dané stránky. SSL certifikát slouží k šifrování přenosu dat mezi vaším zařízením a serverem a zároveň potvrzuje, že web skutečně patří tomu, za koho se vydává.
K této chybě dochází, když certifikační autorita (CA), která certifikát vydala, není v prohlížeči označena za důvěryhodnou. V praxi to znamená, že řetězec důvěry mezi certifikátem webu a kořenovým certifikátem v úložišti prohlížeče je přerušený. Web sice může být zcela bezpečný, ale prohlížeč ho považuje za nedůvěryhodný, protože nemůže jednoznačně určit, kdo certifikát podepsal. Tento problém postihuje nejčastěji Google Chrome, ale může se objevit i v jiných prohlížečích založených na jádru Chromium.
Chyba NET::ERR_CERT_AUTHORITY_INVALID není útokem ani bezpečnostním incidentem – jde o provozní problém, který brání prohlížeči v navázání šifrovaného spojení. Pokud se s ním setkáte na vlastním webu, je nutné certifikát zkontrolovat a v případě potřeby nahradit certifikátem od uznávané certifikační autority. Pokud se chyba objevuje jen u vás na počítači, může za ní stát nesprávné systémové datum nebo rušení ze strany antivirového programu.

Hlavní příčiny vzniku chyby
Příčin, proč prohlížeč zobrazí chybu NET::ERR_CERT_AUTHORITY_INVALID, může být několik. Níže uvádíme nejčastější scénáře, se kterými se můžete setkat jak na straně správce webu, tak na straně běžného návštěvníka.
- Samopodepsaný certifikát – Web používá certifikát, který si sám vygeneroval, místo aby jej nechal podepsat důvěryhodnou certifikační autoritou. Prohlížeč takový certifikát standardně odmítá, protože nezná jeho vydavatele.
- Prošlý certifikát – Každý SSL certifikát má omezenou dobu platnosti. Pokud datum vypršelo, prohlížeč přestane certifikát uznávat a zobrazí chybu.
- Chybějící zprostředkující certifikáty – Správce serveru nainstaloval pouze samotný certifikát, ale ne přidružené zprostředkující certifikáty (intermediate certificates), které propojují certifikát webu s kořenovým certifikátem. Bez nich není řetězec důvěry úplný.
- Nedůvěryhodná certifikační autorita – Certifikační autorita, která certifikát vydala, není v prohlížeči zařazena mezi důvěryhodné zdroje. K tomu dochází například u malých nebo nových autorit, které neprošly auditem CA/Browser Fora.
Každá z těchto příčin vyžaduje jiný přístup k řešení. U samopodepsaných certifikátů je jedinou možností nákup certifikátu od renomované autority. U prošlých certifikátů stačí obnova. Chybějící zprostředkující certifikáty je nutné doinstalovat na server, a pokud je problém v certifikační autoritě, je třeba zvolit jiného vydavatele.
Běžné místní spouštěče na straně uživatele
Ne vždy musí chyba znamenat, že je na vině webová stránka. Velmi často ji způsobují nastavení nebo software na vašem vlastním zařízení. Následující tabulka shrnuje nejčastější lokální příčiny a jejich stručné řešení.

| Spouštěč | Popis | Doporučené řešení |
|---|---|---|
| Nesprávné systémové datum a čas | Pokud je na počítači nastaveno špatné datum (například starší než platnost certifikátu), prohlížeč považuje certifikát za neplatný. | Nastavte automatickou synchronizaci času se serverem NTP nebo ručně upravte datum a čas. |
| Antivirový software s SSL filtrací | Některé antiviry (např. Avast, Kaspersky) kontrolují SSL připojení a mohou nahradit původní certifikát svým vlastním, který není důvěryhodný. | Dočasně vypněte SSL skenování v nastavení antiviru nebo zkuste prohlížeč bez antiviru. |
| VPN připojení | VPN služba může přesměrovávat provoz a vkládat vlastní certifikáty, čímž naruší důvěryhodnost. | Odpojte VPN nebo zkuste otevřít web bez VPN. Pokud chyba zmizí, problém je na straně VPN. |
| Poškozená mezipaměť prohlížeče nebo rozšíření | Staré záznamy v cache nebo podezřelé rozšíření mohou blokovat správné ověření certifikátu. | Vymažte cache a soubory cookie, spusťte Chrome v anonymním režimu nebo deaktivujte všechna rozšíření. |
Pokud se chyba NET::ERR_CERT_AUTHORITY_INVALID zobrazuje jen při přístupu z jednoho konkrétního zařízení, je velmi pravděpodobné, že problém leží právě na této straně. V takovém případě není nutné kontaktovat správce webu – stačí provést výše uvedené kroky.
Jak chybu opravit – postup pro běžného uživatele
Pokud jste běžný návštěvník a chyba se objevila na webu, který běžně používáte, zkuste následující jednoduché kroky. Většinou postačí jeden z nich.
Nejprve zkontrolujte datum a čas v operačním systému. Klikněte na ikonu hodin v pravém dolním rohu a ujistěte se, že je nastaveno správné pásmo a že je aktivní automatická synchronizace. Pokud je datum výrazně odlišné (například rok 2020), prohlížeč certifikát automaticky zamítne.

Dále otevřete stránku v anonymním režimu (Ctrl+Shift+N). Pokud v anonymním režimu chyba zmizí, je pravděpodobné, že ji způsobuje některé rozšíření nebo stará cache. V takovém případě vymažte historii prohlížení a soubory cookie (Nastavení -> Ochrana soukromí a zabezpečení -> Vymazat údaje o prohlížení). Poté restartujte prohlížeč a zkuste web znovu.
Pokud používáte antivirový program, zkuste dočasně vypnout jeho SSL/HTTPS skenování. Tuto funkci najdete obvykle v sekci „Webová ochrana“ nebo „Pokročilé nastavení“. Po vypnutí uložte změny a znovu načtěte stránku. Pokud chyba zmizí, víte, že problém je v konfiguraci antiviru – můžete buď skenování nechat vypnuté, nebo přidat daný web do výjimek.
Posledním krokem je kontrola VPN. Odpojte se od VPN sítě a zkuste stránku otevřít bez ní. Pokud se chyba neobjeví, je VPN příčinou. Některé VPN služby používají vlastní certifikáty, které nejsou v prohlížeči důvěryhodné. Můžete zkusit změnit server VPN nebo kontaktovat podporu VPN.

V případě, že žádný z těchto tipů nefunguje, zkuste prohlížeč aktualizovat na nejnovější verzi nebo jej dokonce přeinstalovat. Někdy pomůže i obnovení výchozího nastavení prohlížeče.
Jak chybu opravit – postup pro vlastníky webu
Pokud provozujete web a na něm se zobrazuje chyba NET::ERR_CERT_AUTHORITY_INVALID, musíte ji řešit na straně serveru. Prvním krokem je zjistit, zda certifikát nevypršel. To snadno ověříte pomocí online nástrojů, například SSL Labs nebo pomocí příkazu openssl. Pokud je certifikát prošlý, je nutné jej obnovit u vaší certifikační autority a nový certifikát nainstalovat.
Pokud certifikát platný je, zkontrolujte, zda jste na server nahráli všechny potřebné certifikáty. Ke každému certifikátu od důvěryhodné autority patří kromě samotného certifikátu také zprostředkující certifikáty a někdy i kořenový certifikát. Bez nich nelze vytvořit úplný řetězec. Postup instalace se liší podle webového serveru – u Apache se obvykle certifikáty spojí do jednoho souboru, u Nginx se uvádějí zvlášť. Podrobné instrukce najdete v dokumentaci vašeho hostingu nebo vašeho serveru.

Další možností je, že certifikát pochází od certifikační autority, která není široce uznávaná. Mezi důvěryhodné autority patří například Let's Encrypt, DigiCert, Comodo, Sectigo nebo GlobalSign. Pokud jste certifikát získali od méně známé nebo zdarma nabízené autority, může být problém v tom, že ji Chrome nepovažuje za důvěryhodnou. Řešením je přejít na certifikát od renomované autority – Let's Encrypt poskytuje certifikáty zdarma a je plně uznávaný všemi moderními prohlížeči.
Chybu může způsobit i samopodepsaný certifikát, který je běžný při testování lokálních projektů. Pro veřejný web je samopodepsaný certifikát nepřijatelný – musíte jej nahradit řádným certifikátem. Pokud spravujete interní firemní server, můžete certifikát nainstalovat do úložiště důvěryhodných certifikátů na všech klientských počítačích, ale pro veřejný web to není vhodné.
Pokud jste si jisti, že certifikát je platný a správně nainstalovaný, ale chyba přetrvává, zkuste použít online testovací nástroj, který vám přesně řekne, kde je problém. Například nástroj SSL Labs vám zobrazí celý řetězec a upozorní na chybějící certifikáty. Doporučujeme také zkontrolovat konfiguraci serveru, zda neblokuje přístup k seznamu odvolaných certifikátů (CRL) nebo OCSP.
Dalším častým přehlédnutím je použití nesprávného typu certifikátu pro danou doménu. Pokud například používáte certifikát pro www.domena.cz, ale uživatelé přistupují na domena.cz (bez www), může dojít k neshodě názvu. V tom případě buď získejte certifikát pokrývající obě varianty, nebo nastavte přesměrování.
Je tato chyba nebezpečná?
Mnoho uživatelů se při zobrazení této chyby obává, že byl jejich počítač napaden nebo že web obsahuje malware. Ve skutečnosti chyba NET::ERR_CERT_AUTHORITY_INVALID neznamená, že by šlo o útok. Je to pouze indikátor toho, že prohlížeč nemůže potvrdit identitu webu, protože certifikát není podepsán důvěryhodnou autoritou. Samotné spojení může být i nadále šifrované, ale bez záruky, že komunikujete se skutečným serverem.
Z hlediska bezpečnosti byste na webech s touto chybou neměli zadávat žádné citlivé údaje, jako jsou hesla, platební údaje nebo osobní informace. Pokud se jedná o stránku, kterou znáte a důvěřujete jí (například interní firemní portál), můžete chybu obejít kliknutím na tlačítko „Pokračovat na stránku“ (v Chrome v rozšířeném nastavení). Tento krok byste ale měli provádět jen výjimečně a pouze u důvěryhodných zdrojů.
Pro vlastníky webu je chyba varováním, že jejich certifikační infrastruktura není v pořádku. Ignorování probl





