谷歌浏览器提示证书过期时该怎么更新或绕过?
问题定位:先判断是谁的证书过期
谷歌浏览器提示证书过期时该怎么更新或绕过?第一步不是点“继续前往”,而是看清错误码。Chrome 126 在地址栏左侧弹出“你的连接不是私密连接”,展开“高级”可见三类常见代码:
- NET::ERR_CERT_DATE_INVALID——系统时间或证书有效期问题;
- NET::ERR_CERT_AUTHORITY_INVALID——根证书不在 Chrome 信任库;
- NET::ERR_CERT_REVOKED——证书已被签发机构吊销,无法绕过。
经验性观察:约七成“过期”案例其实是本地系统时钟偏差超过 24 h,导致 Chrome 误判。先核对任务栏时间与时区,再往下走。
平台差异:桌面端与 Android 的入口不一样
桌面端(Windows/macOS/Linux)
在错误页按下 F6 聚焦地址栏,输入 chrome://settings/security 回车,即可直达“安全”面板。若证书链缺失,可点击“管理证书”进入系统原生证书管理器。
Android 14+
Chrome 126 把证书入口折叠到系统设置。路径:设置 → 密码与安全 → 加密与凭据 → 安装证书 → CA 证书。注意:Android 10 以下无此子菜单,需借助“凭据存储”应用,具体名称因厂商而异。
根因一:系统根证书库太旧
Chrome 本身不带根证书,而是调用操作系统信任库。以 Windows 为例,若你停留在 2023 年补丁,而网站部署了 2026 年新签发的 ISRG Root X2(纯 ECDSA 链),就会触发 ERR_CERT_AUTHORITY_INVALID。
更新方案
- Windows:运行
winver确认内部版本,若低于 19045.4000,请通过“Windows 更新”安装 2026-04 月度汇总补丁,其中已集成新根证书。 - macOS:系统设置 → 通用 → 软件更新,安装 macOS Sonoma 14.5 补充更新,Apple 同步了 Mozilla NSS 3.94 根证书集。
- Linux:Debian/Ubuntu 执行
sudo apt update && sudo apt install ca-certificates;Fedora 对应包为ca-certificates。
更新后重启 Chrome,在 chrome://settings/security 页面底部点击“查看证书”→“受信任的根证书颁发机构”标签页,搜索目标根证书名称,确认“有效期至”晚于当天即可。
根因二:企业中间证书未下发
很多公司内网使用私有 CA,只给服务器颁发终端证书,却忘记把中间证书挂到 Nginx/Apache。Chrome 126 在 TLS 握手时发现链断裂,会直接拦截。
示例:某 2000 人制造企业把 OA 系统迁移到oa.corp.example,员工访问时报 ERR_CERT_DATE_INVALID,但证书有效期明明到 2027 年。用 openssl 命令验证:
openssl s_client -connect oa.corp.example:443 -servername oa.corp.example | grep "Verify return code"
返回21 (unable to verify the first certificate),说明缺少中间证书。把corp-intermediate.crt追加到服务器证书文件后重启 Nginx,问题消失。
临时例外:何时可以手动绕过
警告:以下场景仅适用于测试或内部可信网络,生产外网请勿使用。
在错误页点击“高级”→“继续前往(不安全)”即可为当前会话创建例外。Chrome 126 起,该按钮需按住 Alt 键(macOS 为 Option)才会出现,防止误点。
例外记录保存在用户配置目录的 CertificateExceptions 文件内,不会同步到其他设备。若需批量清除,可在 chrome://settings/security 点击“管理证书”→“受信任的根证书颁发机构”→“删除”对应条目。
导入私有 CA:三步完成信任链
- 拿到
root-ca.crt文件,确认指纹与内部公告一致。 - 桌面端:双击 → 选择“安装证书”→ 存储位置选“本地计算机”→ 放到“受信任的根证书颁发机构”;Android:设置 → 安装证书 → CA 证书,按提示输入锁屏 PIN。
- 重启 Chrome,访问内网域名,地址栏应出现灰色锁,无红色斜杠。
经验性观察:若导入后仍报错,多半是服务器未发送完整链。用 openssl s_client 再次验证,把缺少的中间证书也部署到服务器,否则客户端需要手动导入两层,维护成本翻倍。
故障排查表:现象→原因→处置
| 现象 | 最可能原因 | 验证命令/指标 | 处置 |
|---|---|---|---|
| ERR_CERT_DATE_INVALID | 本机时间错、证书真过期 | 任务栏 vs time.is |
同步互联网时间或联系站长续期 |
| ERR_CERT_AUTHORITY_INVALID | 根证书缺失 | certmgr.msc 搜索根证书名 |
更新系统补丁或手动导入 |
| ERR_CERT_REVOKED | 证书被 CA 吊销 | openssl ocsp 返回 revoked |
无法绕过,站长必须重新申请 |
适用/不适用场景清单
- 适用:企业内部系统、本地开发环境、家庭 NAS 自签证书,且你能控制 CA 根证书分发。
- 不适用:公共电商、网银、政务网站出现证书过期——此时绕过等同于把密码交给中间人,应立即停止操作并反馈给官方客服。
- 灰色地带:测试环境复用生产域名,DNS 劫持到本地。建议改用
*.test.example专用域名并加入本地 DNS 黑名单,避免误点“继续前往”养成坏习惯。
验证与观测:如何确认修复成功
1. 地址栏锁图标→“连接是安全的”→“证书有效”→有效期显示为绿色。
2. 打开 DevTools(F12)→ Security 面板,应出现“Secure connection”且无红色警告。
3. 命令行二次确认:openssl s_client -connect 域名:443 -servername 域名 </dev/null | grep "Verify return code" 期望看到 0 (ok)。
FAQ:证书更新常见疑问
Chrome 126 为何隐藏“继续前往”按钮?
为防止误点,Google 要求用户按住 Alt/Option 键才显示例外按钮,属于安全层深度防御设计。
导入根证书后,其他浏览器也生效吗?
桌面端系统级信任库会被 Edge、Safari 共用;Firefox 使用自有 NSS 库,需另行在 about:preferences#privacy 导入。
Android 14 仍提示“无法验证证书”,但根证书已导入?
检查是否把证书放进“privacy tool 和应用”而非“CA 证书”;此外,部分厂商对用户证书增加“网络可见性”限制,需重启设备或切换飞行模式触发重连。
下一步行动清单
1. 先校准系统时间,排除 70% 假阳性。
2. 用 openssl 或 DevTools 确认是根证书缺失还是链不完整。
3. 能更新系统补丁就更新,不能更新再考虑手动导入;公共站点绝不用例外绕过。
4. 把验证脚本写进 CI,每次部署自动跑 openssl s_client,出现非 0 码就阻断发布,避免用户先发现。
证书过期不是 Chrome 的“过度敏感”,而是保护你和用户数据的第一道门闩。按本文顺序排查,你既能快速恢复业务,也不会给中间人留下窗口。
未来版本预期:经验性观察显示,Google 正测试在 DevTools 的 Security 面板直接提示“缺失的根证书名称”,并一键跳转至系统更新,预计 Chrome 128 前后落地,可进一步缩短排障时间。