Что делать, если Android блокирует HTTPS‑сайт (ошибка сертификата)
Короткий ответ: проверьте дату/время устройства, сеть (VPN/прокси/корпоративный инспектор), и серверную цепочку сертификатов (нужен fullchain). Если проблема на одном сайте — скорее всего сервер не отдает промежуточные сертификаты; если на многих — скорее дело в устройстве или сети.
Почему появляется ошибка сертификата
- Неверная дата или часовой пояс на устройстве — сертификат считается просроченным или ещё не действительным.
- Сервер не отдает полную цепочку (от leaf до промежуточных) — мобильные клиенты особенно чувствительны.
- Корневой CA отсутствует в старом хранилище Android (особенно на Android ≤7).
- Антивирус/корпоративный прокси ставит свой корневой сертификат и выполняет HTTPS‑инспекцию.
- Подмена DNS/ captive‑portal публичного Wi‑Fi или вредоносная точка доступа — возможная MITM‑угроза.
Не игнорируйте предупреждения при работе с банковскими и важными сайтами. При публичном Wi‑Fi лучше переключиться на мобильные данные или VPN, которому вы доверяете.
Что проверить и сделать обычному пользователю (5–10 минут)
- Включите автоматическую дату и время в настройках устройства.
- Перезагрузите телефон и повторите попытку.
- Попробуйте открыть сайт в другом браузере (например, Firefox на Android часто использует собственный список доверенных CA). Если в другом браузере сайт открывается — проблема в системном хранилище или цепочке.
- Отключите VPN/Proxy и любые приложения для «безопасного интернета» (антивирус с HTTPS‑сканированием) и попробуйте снова.
- Переключитесь на другую сеть (мобильный интернет вместо Wi‑Fi). Если в другой сети всё ок — проблема в текущей сети.
- Очистите кэш браузера или откройте страницу в режиме инкогнито.
- При массовых ошибках на всех сайтах — сделайте сброс сетевых настроек.
Если ошибка видна на всех сайтах и после перезагрузки, вероятно системный ключевой магазин повреждён или приложение добавило недоверенный CA.
Что проверить владельцу сайта / администратору
- Просканируйте домен инструментом проверки SSL — он укажет на неполную цепочку, устаревшие протоколы или проблемы с OCSP.
- Установите и отдавайте fullchain (leaf + все промежуточные сертификаты) в конфигурации сервера (Nginx/Apache). Порядок: сначала сертификат сервера, затем промежуточные. Root обычно не нужен.
- Включите OCSP stapling и убедитесь, что SNI и TLS настроены корректно.
- Проверьте, не отдает ли сервер просроченные или лишние промежуточные сертификаты — это тоже вызывает ошибки у некоторых клиентов.
- Для диагностики используйте команду (на сервере или локально):
openssl s_client -connect yoursite.example:443 -showcerts
— команда покажет цепочку, которую сервер передает. - Учтите несовместимость некоторых цепочек с очень старыми версиями Android; при массовых жалобах от устройств ≤7 рассмотрите альтернативную цепочку или инструкцию для пользователей.
Частые ошибки
- Установлен только leaf‑сертификат, нет промежуточного — мобильные браузеры не могут собрать цепочку доверия.
- В конфиге сервер перечислен неправильный порядок сертификатов.
- Оставлен просроченный промежуточный сертификат в пакете.
- Антивирус или MDM подменили сертификат и не доверяют системному хранилищу.
FAQ
- Можно ли безопасно «продолжить» при ошибке?
Только если вы уверены в сети и причина точно локальна (например, вы меняли дату). В остальных случаях — нет. - Почему сайт работает на ПК, но не на Android?
ПК‑браузеры могут иметь более полный набор доверенных корней или кеш промежуточных сертификатов; мобильные клиенты строго требуют корректной цепочки от сервера. - Что такое fullchain?
Это файл, содержащий сертификат сервера (leaf) и все промежуточные сертификаты в правильном порядке, который должен отдавать веб‑сервер.
Короткий чеклист для быстрого решения: синхронизировать дату/время, сменить сеть, временно отключить VPN/антивирус, проверить сайт через проверку SSL и убедиться, что сервер отдает fullchain. Если хотите — пришлите домен и симптомы, и администратор или специалист может подсказать конкретную правку конфигурации.