Как исправить ошибку SSL (например, curl: (60) SSL certificate problem: unable to get local issuer certificate)?

Ошибка возникает из-за разрыва цепочки доверия. Решение включает два основных пути: 1) Обновить хранилище корневых сертификатов (CA bundle) на клиенте. Для Linux обновите пакет ca-certificates, для Windows задайте переменную CURL_CA_BUNDLE, для PHP укажите openssl.cafile в php.ini. 2) Для временного обхода в разработке можно использовать флаг -k в cURL или CURLOPT_SSL_VERIFYPEER=false в PHP, но это небезопасно для продакшена.

Как исправить ошибку SSL при подключении по HTTPS: пошаговый гайд для разработчиков (2026)

Ошибка SSL при подключении по HTTPS - это не катастрофа, а техническая проблема с чётким алгоритмом решения. В 2026 году большинство таких ошибок возникает из-за разрыва в цепочке доверия между клиентом и сервером: устаревшее хранилище корневых сертификатов на локальной машине, некорректная конфигурация веб-сервера или вмешательство корпоративного прокси. Эта статья - практический гайд, который поможет вам за 15 минут диагностировать источник проблемы с помощью cURL и устранить её, будь то настройка Apache/Nginx, исправление кода на PHP/Java или обход сетевых ограничений. Мы разберём реальные команды, готовые конфигурации и свяжем корректную работу HTTPS с ростом доверия поисковых систем к вашему сайту.

Ошибка SSL - не приговор: как быстро определить источник проблемы

SSL-ошибка в контексте HTTPS сигнализирует о нарушении процесса проверки цифрового сертификата. Цепочка доверия от вашего приложения до конечного удостоверяющего центра (CA) прервана. Не тратьте время на догадки - сразу переходите к диагностике с помощью cURL. Этот инструмент покажет, где именно произошёл сбой: на удалённом сервере или в вашей локальной среде.

Первая команда для диагностики: что покажет cURL

Выполните команду с флагом -v (verbose) для детального просмотра SSL handshake:

curl -v https://example.com

В выводе ищите строки, связанные с сертификатом. Типичные ошибки и их значение:

curl: (60) SSL certificate problem: unable to get local issuer certificate - локальная система не знает корневой или промежуточный сертификат, который подписал представленный сервером. Проблема на стороне клиента.
curl: (60) SSL certificate problem: certificate has expired - сертификат сервера просрочен. Проблема на стороне сервера.
curl: (60) SSL certificate problem: self signed certificate - сервер использует самоподписанный сертификат, не доверенный публичными центрами.

Для проверки с конкретным набором CA используйте опцию --cacert:

curl --cacert /etc/ssl/certs/ca-certificates.crt https://example.com

Если с указанным файлом цепочки запрос проходит, а без него - нет, причина в устаревшем или отсутствующем хранилище корневых сертификатов на вашей машине.

Сервер или клиент? Быстрая проверка источника ошибки SSL

Чтобы локализовать проблему, сравните результаты запроса с разных точек.

Выполните ту же команду cURL с другого, «чистого» сервера (например, в облаке). Если ошибка повторяется - проблема на стороне целевого сервера.
Проверьте сертификат через браузер, перейдя по тому же адресу. Браузеры используют свои хранилища CA. Если в браузере сайт открывается без предупреждений, а cURL выдаёт ошибку - проблема в локальном окружении (cURL, PHP, Java).
Учтите влияние промежуточного ПО. Корпоративные прокси-серверы и некоторые антивирусы с функцией сканирования HTTPS-трафика (MITM) могут подменять сертификаты. Если ошибка возникает только в корпоративной сети, вероятный виновник - прокси.

Этот алгоритм позволяет за 30 секунд понять, где искать решение: обновлять клиентское ПО или править конфигурацию на удалённом хосте.

Практическое решение: исправляем ошибку проверки SSL сертификата (curl: (60))

Разберём пошаговое решение для самой частой ошибки unable to get local issuer certificate. Есть два основных пути: надёжное обновление хранилища CA и временные меры для разработки с пониманием их рисков.

Обновление CA-хранилища: навсегда избавляемся от проблемы

Правильное решение - обеспечить вашу систему актуальным набором корневых сертификатов. Инструкции для разных ОС:

Linux (Debian/Ubuntu): Пакет ca-certificates обновляется автоматически. Принудительно обновите: sudo apt update && sudo apt install --only-upgrade ca-certificates. После этого cURL будет использовать обновлённый файл по пути /etc/ssl/certs/ca-certificates.crt.
Windows: cURL для Windows часто идёт со встроенным файлом curl-ca-bundle.crt. Скачайте актуальный набор CA от Mozilla (например, с сайта curl.se) и укажите путь к нему через переменную окружения: set CURL_CA_BUNDLE=C:\path\to\cacert.pem. Альтернатива - использовать встроенное хранилище Windows, но для этого потребуется скомпилировать cURL с соответствующей опцией.
Для PHP: Укажите путь к актуальному файлу CA в php.ini: openssl.cafile=/etc/ssl/certs/ca-certificates.crt. Для работы cURL в PHP используйте опцию CURLOPT_CAINFO.

Этот метод гарантирует безопасность и стабильность всех исходящих HTTPS-соединений.

Временные меры и их риски: когда можно использовать verify=false

Иногда для быстрого тестирования или работы в изолированной среде требуется временно отключить проверку SSL. Делайте это осознанно:

В cURL: флаг -k или --insecure отключает проверку сертификата. curl -k https://example.com
В PHP (cURL): установите опции CURLOPT_SSL_VERIFYPEER => false и CURLOPT_SSL_VERIFYHOST => 0.
В Java: можно настроить SSLContext с доверяющим всем менеджером (TrustAllManager).

Важно: это отключает шифрование и делает соединение уязвимым для атак «человек посередине». Никогда не используйте такие настройки на боевых серверах или в продакшн-коде. Более безопасная альтернатива для внутренних сервисов - добавить их самоподписанный сертификат в локальное доверенное хранилище.

Надежная настройка HTTPS на сервере: Apache и Nginx без ошибок

Чтобы ошибки SSL не возникали для ваших пользователей, сервер должен быть сконфигурирован корректно. Ключевой момент - правильная установка цепочки сертификатов (Certificate Chain).

Конфиг для Apache: чтобы SSL работал с первого раза

Пример виртуального хоста для Apache 2.4 с комментариями:

<VirtualHost *:443>
    ServerName example.com
    DocumentRoot /var/www/html

    # Основной сертификат сервера
    SSLCertificateFile /etc/ssl/certs/your_domain.crt
    # Файл с приватным ключом
    SSLCertificateKeyFile /etc/ssl/private/your_domain.key
    # Файл с цепочкой промежуточных сертификатов (Intermediate CA)
    SSLCertificateChainFile /etc/ssl/certs/intermediate_bundle.crt

    # Включение HSTS для повышенной безопасности
    Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"

    # Другие настройки SSL...
</VirtualHost>

# Редирект с HTTP на HTTPS
<VirtualHost *:80>
    ServerName example.com
    Redirect permanent / https://example.com/
</VirtualHost>

Убедитесь, что файл intermediate_bundle.crt содержит промежуточные сертификаты в правильном порядке (от серверного к корневому). Его обычно предоставляет ваш CA (Let's Encrypt, Comodo и др.).

Конфиг для Nginx: современная и безопасная конфигурация SSL

Пример server блока для Nginx (актуально на 2026 год):

server {
    listen 443 ssl http2;
    server_name example.com;

    # Основной сертификат и ключ
    ssl_certificate /etc/ssl/certs/your_domain_bundle.crt;
    ssl_certificate_key /etc/ssl/private/your_domain.key;

    # Файл для OCSP Stapling (повышает скорость и приватность)
    ssl_trusted_certificate /etc/ssl/certs/trusted_chain.crt;

    # Современные протоколы и шифры
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256;
    ssl_prefer_server_ciphers off;

    # Включение HSTS
    add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;

    # ... остальные директивы
}

server {
    listen 80;
    server_name example.com;
    return 301 https://$server_name$request_uri;
}

В Nginx файл ssl_certificate должен содержать объединённую цепочку: сначала ваш сертификат, затем промежуточные. Файл для ssl_trusted_certificate включает ту же цепочку и используется для OCSP stapling.

Проверка и аудит: тестируем настройку SSL как профессионалы

После настройки проверьте результат:

Используйте онлайн-инструмент SSL Labs Server Test. Он даст оценку от A+ до F, укажет на устаревшие протоколы, слабые шифры и проблемы с цепочкой.
Локально проверьте цепочку командой openssl:
openssl s_client -connect example.com:443 -showcerts
В выводе убедитесь, что цепочка построена до доверенного корневого сертификата и нет ошибок verify error.
Проверьте редирект HTTP→HTTPS, убедившись, что он работает корректно и не создаёт циклов. Для этого подойдёт наш подробный гайд по 301 редиректу на 2026 год, где разобраны все тонкости настройки для Apache, Nginx и популярных CMS.

SSL в коде приложения: решаем проблемы в PHP, Java и не только

Разработчики часто сталкиваются с SSL-ошибками в скриптах, которые обращаются к внешним HTTPS API. Проблема обычно в том, что среда выполнения использует устаревшее или неполное хранилище CA.

PHP и cURL: гарантированное подключение к HTTPS API

Пример функции для безопасного HTTPS-запроса на PHP с явным указанием CA bundle:

function makeSecureRequest($url) {
    $ch = curl_init($url);
    // Указываем путь к актуальному файлу корневых сертификатов
    curl_setopt($ch, CURLOPT_CAINFO, '/etc/ssl/certs/ca-certificates.crt');
    // Включаем проверку имени хоста в сертификате
    curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, true);
    curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, 2);
    curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);

    $response = curl_exec($ch);
    if ($response === false) {
        // Логируем ошибку cURL
        error_log('CURL Error: ' . curl_error($ch));
    }
    curl_close($ch);
    return $response;
}

Разместите файл cacert.pem (скачанный с curl.se) в директории проекта и укажите к нему относительный путь, если у вас нет прав на системные файлы. Если запрос идёт через прокси, убедитесь, что для него также заданы корректные опции CURLOPT_PROXY и CURLOPT_PROXY_SSL_VERIFYPEER.

Java (Spring Boot): настройка TrustStore для современных сертификатов

Java использует собственное хранилище cacerts в директории JRE. Оно может устаревать.

Обновление системного хранилища: Найдите файл cacerts (например, $JAVA_HOME/lib/security/cacerts). Вы можете импортировать в него новые корневые сертификаты с помощью keytool, но чаще помогает просто обновить JRE до актуальной версии.
Программная настройка SSLContext: Более гибкий способ - создать собственный SSLContext.
Пример для Spring Boot RestTemplate:

@Bean
public RestTemplate restTemplate() throws Exception {
    SSLContext sslContext = SSLContexts.custom()
        .loadTrustMaterial(new File("/path/to/updated/cacerts"), null) // ваш trustStore
        .build();

    HttpClient httpClient = HttpClients.custom()
        .setSSLContext(sslContext)
        .build();

    return new RestTemplate(new HttpComponentsClientHttpRequestFactory(httpClient));
}

Для WebClient настройка аналогична через HttpClient. Также можно указать путь к trustStore через системные свойства при запуске: -Djavax.net.ssl.trustStore=/path/to/cacerts.

За пределами кода: прокси, сети и влияние на SEO

Самые сложные случаи ошибок SSL связаны не с кодом или сервером, а с сетевой инфраструктурой. Кроме того, корректность HTTPS напрямую влияет на видимость сайта в поиске.

Работа через прокси-сервер: почему SSL ломается и как это исправить

Корпоративные прокси-серверы, выполняющие инспекцию трафика (MITM), разрывают исходное SSL-соединение и устанавливают новое со своим сертификатом. Ваше приложение видит сертификат прокси, а не целевого сервера, и, если этот сертификат не доверен, возникает ошибка.

Решение:

Добавьте корневой сертификат вашего корпоративного прокси в доверенное хранилище системы или приложения (как описано в разделах выше).
Настройте переменные окружения для прокси, которые cURL и многие другие инструменты используют автоматически:
export HTTPS_PROXY="https://proxy.company.com:3128"
export SSL_CERT_FILE="/path/to/corporate-ca.pem"
В коде явно укажите параметры прокси для библиотек (например, CURLOPT_PROXY в PHP).

Это позволяет безопасно работать через корпоративную сеть, не отключая проверку SSL полностью.

HTTPS, безопасность и SEO: почему ошибки SSL мешают росту в поиске

Техническая корректность HTTPS - это не только вопрос функциональности. Google с 2014 года использует HTTPS как лёгкий фактор ранжирования. Но важнее косвенное влияние:

Сайты с ошибками SSL (просроченные, недоверенные сертификаты) браузеры помечают как «Небезопасные». Это резко увеличивает процент отказов (Bounce Rate), что негативно сказывается на поведенческих факторах, учитываемых поисковыми системами.
Некорректные редиректы с HTTP на HTTPS или смешанное содержимое (Mixed Content) могут приводить к неполной индексации страниц. Чтобы избежать этого, после перехода на HTTPS обязательно проверьте статус индексации в Google Search Console. Наша инструкция поможет правильно настроить инструмент и отслеживать ошибки сканирования.
Внедрение HSTS (как в конфигах выше) не только повышает безопасность, но и даёт поисковым системам чёткий сигнал о стабильности и серьёзности вашего сайта.

Таким образом, инвестиция времени в правильную настройку SSL - это прямой вклад в рост органического трафика. Решая технические ошибки, вы устраняете барьеры на пути пользователей и роботов, создавая фундамент для стабильного роста позиций. Если вы хотите систематизировать работу над техническим состоянием сайта, обратите внимание на автоматизированные решения, такие как SerpJet. Эта система помогает не только генерировать SEO-контент, но и поддерживать актуальность технической базы проекта.

Регулярный аудит SSL-конфигурации с помощью SSL Labs и Search Console должен стать частью вашей рутины. Это гарантирует, что ваш сайт остаётся безопасным, доступным и продолжает расти в поиске.

Все статьи