Uvod u pogrešku NET::ERR_CERT_AUTHORITY_INVALID
Pogreška NET::ERR_CERT_AUTHORITY_INVALID jedna je od čestih poruka koje korisnici Google Chromea i drugih preglednika vide kada pokušaju pristupiti određenoj web stranici. Pojavljuje se u trenutku kada preglednik ne može potvrditi identitet web stranice zbog problema sa SSL certifikatom. Iako poruka zvuči zabrinjavajuće, u većini slučajeva ne radi se o sigurnosnom napadu, već o tehničkom problemu koji se može riješiti. U ovom članku detaljno ćemo objasniti što uzrokuje ovu pogrešku, kako je prepoznati i na koje načine je moguće otkloniti.

Što znači ova pogreška?
Kada preglednik prikaže poruku NET::ERR_CERT_AUTHORITY_INVALID, to znači da ne vjeruje izdavatelju SSL certifikata koji web stranica koristi. Svaki SSL certifikat mora biti potpisan od strane certifikacijskog tijela (Certificate Authority – CA) koje preglednik prepoznaje kao pouzdano. Ako je certifikat potpisan od strane nepoznatog ili nepouzdanog izdavatelja, preglednik prekida vezu i prikazuje upozorenje. To se događa i kada certifikat nije ispravno instaliran na serveru, primjerice kada nedostaju posrednički certifikati koji povezuju certifikat stranice s korijenskim certifikatom povjerljivog CA. Pogreška ne znači da je web stranica zlonamjerna, već da preglednik ne može jamčiti njezin identitet. Detaljnije objašnjenje možete pronaći na službenoj podršci za Google Chrome.

Glavni uzroci pojave pogreške
Postoji nekoliko ključnih razloga zašto se ova pogreška može pojaviti. U nastavku donosimo popis najčešćih uzroka:

- Samopotpisani certifikat – web stranica koristi certifikat koji je generirala sama, a ne neko od povjerljivih certifikacijskih tijela. Preglednici takvim certifikatima ne vjeruju.
- Istekli certifikat – SSL certifikat ima rok valjanosti. Nakon isteka preglednik ga smatra nepouzdanim.
- Nedostajući posrednički certifikati – na serveru nisu instalirani svi certifikati u lancu koji povezuju certifikat stranice s korijenskim certifikatom.
- Nepovjerljivo certifikacijsko tijelo – izdavatelj certifikata nije član CA/Browser Foruma i preglednici ga ne prepoznaju kao pouzdanog.
Svaki od ovih uzroka zahtijeva drugačiji pristup rješavanju. Kod samopotpisanih certifikata vlasnik stranice mora prijeći na certifikat priznatog CA. Istekli certifikat potrebno je obnoviti, a nedostajuće posredničke certifikate instalirati na poslužitelj. Ukoliko je problem u nepovjerljivom CA, jedino rješenje je promjena izdavatelja.

Uobičajeni lokalni okidači na strani korisnika
Ponekad pogreška nije uzrokovana problemom na web stranici, već postavkama ili stanjem korisničkog uređaja. Najčešći lokalni okidači uključuju netočno podešeno vrijeme i datum na računalu, jer SSL certifikati ovise o točnom vremenu za provjeru valjanosti. Antivirusni programi i vatrozidi koji presreću SSL promet također mogu uzrokovati ovu pogrešku, posebice ako koriste vlastite certifikate koje preglednik ne prepoznaje. VPN usluge ponekad preusmjeravaju promet kroz poslužitelje s nepravilno konfiguriranim certifikatima. Oštećena predmemorija preglednika ili ekstenzije koje mijenjaju sigurnosne postavke također mogu biti krivci. Više informacija o lokalnim uzrocima potražite u vodiču za uklanjanje pogreške na Kinsta blogu.

Kako riješiti pogrešku za korisnike
Ako naiđete na ovu pogrešku kao posjetitelj web stranice, postoji nekoliko koraka koje možete poduzeti prije nego što kontaktirate vlasnika stranice. Prvo provjerite je li vrijeme i datum na vašem uređaju točno. Na Windowsima, macOS-u i Androidu postavke datuma i vremena obično sinkroniziraju automatski, no ponekad je potrebno ručno isključiti i uključiti automatsku sinkronizaciju. Drugo, očistite predmemoriju preglednika i kolačiće, jer oštećeni podaci mogu ometati provjeru certifikata. Treće, pokušajte otvoriti stranicu u anonimnom načinu rada, jer onemogućuje ekstenzije i koristi čistu predmemoriju. Četvrto, privremeno onemogućite antivirusni program ili vatrozid kako biste provjerili utječu li na SSL provjeru. Ako koristite VPN, isključite ga i pokušajte ponovo. Ako ništa od navedenog ne pomogne, ažurirajte preglednik na najnoviju verziju. U rijetkim slučajevima može pomoći i ponovno pokretanje usmjerivača ili računala.
Kako riješiti pogrešku za vlasnike web stranica
Vlasnici web stranica koji primijete ovu pogrešku kod svojih posjetitelja moraju djelovati na razini poslužitelja. Prvi korak je provjera valjanosti SSL certifikata – ako je istekao, potrebno ga je obnoviti kod istog ili novog izdavatelja. Ako je certifikat samopotpisan, treba nabaviti certifikat od priznatog certifikacijskog tijela poput Let's Encrypt, DigiCert, Comodo ili sličnih. Nakon kupnje ili dobivanja besplatnog certifikata, važno je instalirati cijeli lanac certifikata, uključujući sve posredničke certifikate koje je izdavatelj priložio. Mnogi hosting paneli nude alate za automatsku instalaciju, ali ručna provjera je preporučljiva. Također, provjerite je li poslužitelj ispravno konfiguriran za HTTPS (port 443) i da ne postoji mješoviti sadržaj koji bi mogao uzrokovati dodatne sigurnosne upozorenja. Redovito praćenje isteka certifikata i korištenje automatskih obavijesti može spriječiti ponovnu pojavu pogreške.
Sigurnosna napomena
Važno je naglasiti da NET::ERR_CERT_AUTHORITY_INVALID nije pokazatelj sigurnosnog proboja ili napada na web stranicu. To je operativni problem koji se tiče povjerenja u lanac certifikata. Preglednik jednostavno ne može utvrditi tko je izdao certifikat, što ne znači da je stranica zlonamjerna. Ipak, ne preporučuje se zaobići ovo upozorenje ručnim dodavanjem iznimke osim ako ste potpuno sigurni u identitet stranice, primjerice kada je riječ o internoj mreži ili testnom okruženju. Uvijek pokušajte otkloniti uzrok umjesto da ignorirate upozorenje.
Tablica sažetka uzroka i rješenja
Donja tablica prikazuje najčešće uzroke pogreške, preporučena rješenja i tko je odgovoran za njihovo provođenje.
| Uzrok | Rješenje | Odgovornost |
|---|---|---|
| Samopotpisani certifikat | Nabaviti certifikat od priznatog CA | Vlasnik stranice |
| Istekli certifikat | Obnoviti certifikat | Vlasnik stranice |
| Nedostajući posrednički certifikati | Instalirati cijeli lanac certifikata na server | Vlasnik stranice |
| Nepovjerljivo CA | Promijeniti izdavatelja certifikata | Vlasnik stranice |
| Netočno vrijeme/datum na uređaju | Sinkronizirati vrijeme s mrežom | Korisnik |
| Antivirus ili vatrozid | Privremeno onemogućiti ili konfigurirati iznimke | Korisnik |
| VPN preusmjeravanje | Isključiti VPN ili promijeniti poslužitelj | Korisnik |
| Oštećena predmemorija preglednika | Očistiti predmemoriju i kolačiće | Korisnik |
Zaključak
Pogreška NET::ERR_CERT_AUTHORITY_INVALID često izaziva zabrinutost, no u većini slučajeva rješiva je jednostavnim koracima. Bilo da ste korisnik koji pokušava pristupiti stranici ili vlasnik koji želi osigurati povjerenje posjetitelja, ključno je razumjeti zašto se pogreška pojavljuje. Redovito održavanje SSL certifikata, točno podešeno vrijeme na uređaju i provjera sigurnosnog softvera mogu spriječiti većinu neugodnosti. Ako problem potraje, uvijek se obratite stručnjaku ili pružatelju hosting usluga.
Reference
Za izradu ovog članka korištene su sljedeće informacije: Google Chrome Support tema o pogrešci certifikata (dostupno na support.google.com/chrome/thread/2137896), Kinsta blog vodič za NET::ERR_CERT_AUTHORITY_INVALID (kin



