Librerial Librerial
  1. Domů
  2. Sítě, internet a bezpečnost
  3. Net::ERR_CERT_AUTHORITY_INVALID: co znamená chyba certifikátu a jak ji opravit

Net::ERR_CERT_AUTHORITY_INVALID: co znamená chyba certifikátu a jak ji opravit

Autor: stefano-barcellos Jun 23, 2026 Sítě, internet a bezpečnost

Co znamená net::ERR_CERT_AUTHORITY_INVALID

Chyba net::ERR_CERT_AUTHORITY_INVALID patří mezi nejčastější problémy spojené s HTTPS a SSL certifikáty. Obvykle se objeví ve chvíli, kdy prohlížeč nedokáže ověřit, zda je certifikát webu vydaný důvěryhodnou certifikační autoritou. Jinými slovy, váš prohlížeč nevidí jasný a bezpečný řetězec důvěry mezi navštíveným webem a autoritou, která certifikát podepsala.

Pro běžného návštěvníka to může znamenat, že stránka není správně zabezpečená nebo že někdo mezi vámi a webem může připojení narušovat. Pro provozovatele webu je to naopak signál, že je potřeba zkontrolovat konfiguraci certifikátu, serveru i případně lokální prostředí, kde se chyba zobrazuje.

Proč tato chyba vzniká

Důvodů může být hned několik. Nejčastěji jde o certifikát vystavený certifikační autoritou, kterou operační systém nebo prohlížeč nezná nebo jí nedůvěřuje. Může jít také o samopodepsaný certifikát, nesprávně nainstalovaný intermediární certifikát, chybějící řetězec důvěry nebo expirovaný certifikát.

Další častou příčinou je nesoulad mezi názvem domény a údaji uvedenými v certifikátu. Pokud certifikát neplatí pro konkrétní doménu, prohlížeč ho vyhodnotí jako neplatný. Problém může způsobit i firemní proxy, antivirový software s HTTPS inspekcí nebo starý operační systém s neaktuálním seznamem důvěryhodných autorit.

Jak problém poznat z pohledu uživatele

V prohlížeči se chyba obvykle projeví varováním, že připojení není soukromé nebo že certifikát není důvěryhodný. Web se může úplně zablokovat, nebo se zobrazí jen po potvrzení výjimky. To je ale bezpečnostní riziko, a proto je vhodné pokračovat pouze tehdy, pokud přesně víte, proč se chyba zobrazuje a že jde o důvěryhodný zdroj.

Na mobilních zařízeních se může problém objevit méně zřetelně, například jako obecné selhání načtení stránky. I tehdy je příčina často stejná: certifikát není důvěryhodný, není správně navázaný na doménu nebo chybí potřebné certifikáty v řetězci.

Jak postupovat jako návštěvník webu

Pokud se chyba objeví při běžném procházení internetu, je dobré nejdříve zkontrolovat datum a čas zařízení. Nesprávně nastavené systémové hodiny mohou způsobit, že certifikát vypadá jako neplatný, i když je technicky v pořádku. Dalším krokem je vymazání cache prohlížeče nebo otevření stránky v anonymním okně, protože uložená data mohou někdy ovlivnit ověření certifikátu.

Vyplatí se také zkusit jiný prohlížeč nebo jiné připojení k internetu. Pokud chyba zmizí, může být problém v lokálním softwaru, v síťové vrstvě nebo v podnikové síti, která přepisuje HTTPS komunikaci. V případě podezření na bezpečnostní incident je rozumné na web vůbec nevstupovat a kontaktovat správce.

Jak chybu opravit na webu

Pro správce webu je základním krokem kontrola platnosti certifikátu. Je potřeba ověřit datum expirace, správnou doménu, typ certifikátu a to, zda je certifikát vydán důvěryhodnou autoritou. Častým problémem bývá neúplný řetězec certifikátů, kdy server neposílá intermediární certifikáty. V takovém případě prohlížeč nedokáže ověřit důvěru až k hlavní autoritě.

Dále je vhodné zkontrolovat konfiguraci webového serveru. Apache, Nginx, reverse proxy nebo CDN musí být nastaveny tak, aby doručovaly správný certifikát pro konkrétní host name. Při použití více domén na jednom serveru je důležité správně nastavit SNI a ověřit, že každý virtual host používá odpovídající certifikát.

Samopodepsaný certifikát a testovací prostředí

V interních sítích nebo vývojovém prostředí se často používají samopodepsané certifikáty. Ty jsou vhodné pro testování, ale běžné veřejné prohlížeče jim standardně nedůvěřují. Proto se chyba net::ERR_CERT_AUTHORITY_INVALID objevuje velmi často právě při lokálním vývoji nebo na neveřejných testovacích serverech.

Pokud chcete testovat bezpečnější způsobem, je lepší používat lokální důvěryhodnou autoritu nebo nástroje, které vytvoří certifikát a zároveň přidají kořenový certifikát do systému. U veřejných webů je ale vždy nejlepší použít certifikát od známé certifikační autority a pravidelně sledovat jeho obnovu.

Co zkontrolovat v prohlížeči a systému

Než začnete měnit serverové nastavení, ověřte, zda problém není na straně uživatele. Zkontrolujte, jestli je systém aktualizovaný, zda máte správně nastavené datum, čas a časové pásmo a jestli nejsou aktivní rozšíření, která mohou zasahovat do zabezpečeného spojení. Některá rozšíření pro ochranu soukromí, firemní bezpečnostní nástroje nebo antivirus mohou SSL komunikaci skenovat a způsobovat varování.

V některých případech pomůže také obnovit důvěryhodné certifikáty v operačním systému. Starší zařízení mívají zastaralý seznam kořenových autorit, což může vést k tomu, že novější certifikáty vypadají jako nedůvěryhodné. To je typické zejména u starších verzí Androidu, Windows nebo macOS.

Jak správně nastavit SSL certifikát

Správné nastavení SSL certifikátu začíná výběrem vhodné certifikační autority a správnou objednávkou certifikátu pro konkrétní doménu. Je nutné ověřit, zda web používá jednu doménu, více subdomén nebo více samostatných hostů. Podle toho se volí typ certifikátu, například pro jednu doménu, wildcard certifikát nebo více domén v jednom balíčku.

Po vydání certifikátu je klíčové nahrát na server nejen hlavní certifikát, ale také intermediární certifikáty a případně správný chain bundle. Poté je potřeba provést kontrolu pomocí diagnostických nástrojů a otestovat, zda server vrací kompletní certifikační řetězec. Jakmile je řetězec kompletní, většina případů chyby net::ERR_CERT_AUTHORITY_INVALID zmizí.

Role CDN, proxy a load balanceru

Moderní weby často používají CDN, proxy nebo load balancer, které mohou do TLS komunikace zasahovat. Pokud je certifikát správně nainstalovaný na aplikačním serveru, ale ne na vrstvě před ním, prohlížeč může stále hlásit chybu. Stejně tak může být problém v tom, že CDN používá jiný certifikát než originální server nebo že je mezi vrstvami nesprávně nastaveno předávání hlaviček a domén.

U složitějších architektur je vhodné prověřit celou cestu od uživatele až po backend. Každá mezivrstva musí představovat platný a důvěryhodný bod, jinak může důvěryhodnost zaniknout ještě před tím, než se stránka vůbec načte. To je důležité zejména u e-shopů, bankovních aplikací a firemních portálů, kde je bezpečnost kritická.

Jak předcházet opakování chyby

Nejlepší prevence je pravidelný monitoring expirace certifikátu, automatizovaná obnova a kontrola konfigurace po každé změně infrastruktury. Pokud používáte automatické nástroje jako ACME klienty, ujistěte se, že renovace skutečně běží a že po ní server načte nový certifikát. Mnoho výpadků vzniká právě tím, že se certifikát sice obnoví, ale webový server zůstane na staré verzi souboru.

Dobrým zvykem je také testovat konfiguraci po nasazení a sledovat stav HTTPS z hlediska více zařízení a prohlížečů. To pomáhá odhalit problémy dříve, než je zaznamenají návštěvníci nebo zákazníci. U větších projektů se vyplatí používat monitorovací systém, který upozorní na expirovaný certifikát, chybějící chain nebo změnu důvěryhodnosti.

Nejčastější mýty kolem chyby certifikátu

Jedním z častých mýtů je, že každá chyba certifikátu znamená automaticky útok. To není pravda, protože velmi často jde o špatnou konfiguraci nebo prostý problém s důvěryhodností certifikační autority. Na druhou stranu se chyba nikdy nesmí ignorovat, protože skutečný bezpečnostní problém se může tvářit stejně jako obyčejná technická závada.

Další omyl je domněnka, že stačí vypnout varování v prohlížeči. To problém neřeší a naopak zvyšuje riziko, že uživatelé přehlédnou skutečné nebezpečí. Správná cesta vede přes odstranění příčiny, ne přes obcházení ochrany.

Kontrolní seznam pro rychlé řešení

Pokud potřebujete jednat rychle, začněte kontrolou data a času, vyzkoušejte jiný prohlížeč a zkontrolujte, zda chyba přetrvává na jiném zařízení. Poté ověřte platnost certifikátu, doménu, intermediární certifikáty a konfiguraci serveru. Pokud běžíte přes CDN nebo proxy, prověřte i tuto vrstvu.

Jakmile najdete konkrétní příčinu, obnovte certifikát, opravte chain nebo nainstalujte správný důvěryhodný certifikát. Po opravě proveďte test z více lokalit a zařízení. Tím si ověříte, že chyba net::ERR_CERT_AUTHORITY_INVALID skutečně zmizela a že připojení je bezpečné pro všechny návštěvníky.

Referenční nástroje a diagnostika

Pro diagnostiku lze využít systémové nástroje pro zobrazení certifikátu v prohlížeči, testy SSL konfigurace na serveru a online kontroly řetězce důvěry. Tyto nástroje pomohou odhalit, zda je problém v expiraci, v nekompletním chainu, v nesouladu domény nebo v důvěryhodnosti autority. U složitějších případů je užitečné porovnat chování více prohlížečů a více operačních systémů.

Pokud řešíte firemní web, je vhodné mít jednotný postup pro správu certifikátů, přístupové pravomoci a dokumentaci nasazení. Tím snížíte riziko chyb při obnově a zajistíte, že HTTPS zůstane stabilní i při změnách infrastruktury.

Referencie

Dokumentace prohlížečů k ověřování certifikátů a bezpečnému připojení přes HTTPS.

Oficiální doporučení poskytovatelů SSL certifikátů k instalaci, obnově a řetězci intermediárních certifikátů.

Bezpečnostní dokumentace k TLS, certifikačním autoritám a správné konfiguraci webových serverů.

chyba certifikátu SSL HTTPS bezpečnost Chrome webhosting certifikát
Upozornění Tento text má informační charakter a nenahrazuje odbornou bezpečnostní ani systémovou diagnostiku. Při podezření na útok nebo kompromitaci webu postupujte opatrně a kontaktujte správce.