Librerial Librerial
  1. Etusivu
  2. Verkko, internet ja tietoturva
  3. net::err_cert_authority_invalid: mitä virhe tarkoittaa ja miten se korjataan

net::err_cert_authority_invalid: mitä virhe tarkoittaa ja miten se korjataan

Kirjoittanut stefano-barcellos Jun 23, 2026 Verkko, internet ja tietoturva

Mitä net::err_cert_authority_invalid tarkoittaa

Virhe net::err_cert_authority_invalid kertoo, että selain ei luota sivuston SSL- tai TLS-sertifikaatin myöntäneeseen varmentajaan. Käytännössä selain yrittää varmistaa, että verkkosivusto on aidosti se palvelu, johon se väittää olevansa yhteydessä, mutta sertifikaattiketjusta puuttuu luotettava lenkki tai varmentaja ei ole selaimen luottamien tahojen joukossa. Tämän vuoksi yhteys estetään tai siitä varoitetaan, jotta käyttäjä ei päätyisi väärälle tai mahdollisesti vaaralliselle sivulle.

Vaikka virhe näyttää tekniseltä, sen perusajatus on yksinkertainen: selaimen mielestä yhteyttä ei voida vahvistaa turvalliseksi. Syynä voi olla itse sivuston sertifikaatti, palvelimen väärä asetus, välivarmenne, vanhentunut juurivarmenteen luottamus, yritysverkon tarkastusratkaisu tai jopa käyttäjän laitteen virheellinen aika ja päiväys. Siksi ongelmaa kannattaa tarkastella sekä käyttäjän että ylläpitäjän näkökulmasta.

Yleisimmät syyt virheeseen

Yksi tavallisimmista syistä on itse allekirjoitettu sertifikaatti tai sertifikaatti, jonka on myöntänyt tuntematon varmentaja. Jos sivusto käyttää sertifikaattia, jota selain ei pidä luotettavana, yhteys ei läpäise tarkistusta. Tämä on tavallista kehitysympäristöissä, sisäisissä järjestelmissä tai väärin konfiguroiduissa palveluissa.

Toinen yleinen syy on puuttuva sertifikaattiketju. Sertifikaatin lisäksi palvelimen pitäisi lähettää myös tarvittavat välivarmenteet, jotta selain voi rakentaa luottamuspolun juurivarmenteeseen. Jos ketju on epätäydellinen, selain voi tulkita sertifikaatin epäluotettavaksi, vaikka varsinainen pääsertifikaatti olisi sinänsä kunnossa.

Virhe voi johtua myös vanhentuneesta sertifikaatista. Kun sertifikaatin voimassaolo päättyy, selain ei enää pidä sitä turvallisena. Sama pätee tilanteeseen, jossa varmenne on myönnetty väärälle verkkotunnukselle. Jos osoite ei vastaa sertifikaatin nimeä, luottamus katkeaa.

Myös laitteen väärä kellonaika tai aikavyöhyke voi aiheuttaa ongelmia. SSL- ja TLS-sertifikaateissa voimassaoloaika on tarkka, ja jos koneen aika on hyvin väärässä, selain voi luulla sertifikaattia vanhentuneeksi tai ei vielä voimassa olevaksi. Lisäksi yritysverkot, palomuurit, välityspalvelimet ja tietoturvaohjelmistot voivat tarkastaa HTTPS-liikennettä omilla varmenteillaan, mikä voi aiheuttaa tämän virheilmoituksen, jos juurivarmenne puuttuu laitteelta.

Miten käyttäjä voi ratkaista ongelman

Jos kohtaat virheen tavallisena käyttäjänä, aloita tarkistamalla laitteen päivämäärä, kellonaika ja aikavyöhyke. Tämä kuulostaa yksinkertaiselta, mutta väärä aika on yllättävän usein syy sertifikaattivirheisiin. Kun aika on korjattu, päivitä sivu ja kokeile uudelleen.

Seuraavaksi kannattaa tyhjentää selaimen välimuisti tai avata sivu yksityisessä selaustilassa. Joskus selain voi käyttää vanhentunutta tietoa aiemmasta yhteydestä, mikä hämärtää vianetsintää. Myös selaimen päivittäminen uusimpaan versioon on järkevää, sillä vanhat selaimet eivät välttämättä tunnista uusia varmentajia tai modernia TLS-käytäntöä.

Jos käytät työpaikan tai koulun verkkoa, ongelma voi johtua verkon tietoturvakerroksista. Kokeile tarvittaessa toista verkkoa, kuten mobiilidataa, jotta näet liittyykö virhe tiettyyn reititykseen tai tarkastusjärjestelmään. Jos sivusto avautuu toisessa verkossa, vika ei välttämättä ole itse sivussa vaan verkon välissä.

Älä ohita varoitusta kevyesti, jos sivusto käsittelee salasanoja, maksutietoja tai henkilökohtaisia tietoja. Vaikka virhe voi joskus olla harmiton konfiguraatio-ongelma, se voi myös viitata aidosti epäluotettavaan yhteyteen. Turvallisin eteneminen on odottaa, että sivuston ylläpitäjä korjaa ongelman, tai varmistaa erikseen palvelun luotettavuus ennen kuin jatkat.

Miten sivuston ylläpitäjä korjaa virheen

Palvelimen ylläpitäjän näkökulmasta ensimmäinen tarkistus on sertifikaatin tila. Varmista, että varmenne on voimassa, että se on myönnetty oikealle verkkotunnukselle ja että uusiminen on tehty ajoissa. Monet nykyiset sertifikaatit uusitaan automaattisesti, mutta automaatio voi epäonnistua esimerkiksi DNS-ongelmien, käyttöoikeusvirheiden tai palvelimen muutosten vuoksi.

Toinen tärkeä askel on sertifikaattiketjun tarkistaminen. Palvelimen tulisi toimittaa koko ketju oikein, mukaan lukien välivarmenne. Jos käytät yleisiä web-palvelimia, kuten Nginx tai Apache, oikea ketju pitää usein määrittää erikseen. Puutteellinen asetus voi johtaa siihen, että osa selaimista hyväksyy sivun ja osa näyttää virheen.

Kannattaa myös tarkistaa, ettei palvelimella ole vanhentuneita tai väärin kohdistettuja sertifikaatteja. Jos useita verkkotunnuksia tai aliverkkotunnuksia palvellaan samalla IP-osoitteella, väärä oletussertifikaatti voi latautua pyynnön yhteydessä. Tällöin SNI-asetukset, virtuaalipalvelimet ja konfiguraatiot on syytä käydä läpi huolellisesti.

Jos sivusto käyttää sisäistä PKI-infrastruktuuria tai omaa varmentajaa, selainten ja päätelaitteiden luottamusketju pitää asentaa oikein. Yritysympäristössä tämä tarkoittaa usein juurivarmenteen jakamista hallitusti laitteille. Ilman tätä käyttäjät näkevät helposti virheitä, vaikka infrastruktuuri olisi muuten teknisesti toimiva.

Palvelin- ja selainasetusten tarkistuslista

Hyvä käytännön tarkistuslista auttaa paikantamaan ongelman nopeasti. Aloita siitä, että varmistat verkkotunnuksen, sertifikaatin nimen ja voimassaolon vastaavan toisiaan. Tarkista sen jälkeen, että palvelin lähettää täydellisen ketjun eikä ohita välivarmennetta. Varmista myös, että TLS-versio on ajan tasalla ja että palvelimella ei ole pakotettuja, vanhentuneita salausasetuksia.

Selainpuolella tarkista, että käytössä on uusin versio ja että mahdolliset laajennukset eivät häiritse yhteyttä. Tietoturvaan liittyvät lisäosat, mainostenesto tai verkkoliikenteen suodatus voivat joskus muuttaa pyyntöjä tavalla, joka häiritsee sertifikaatin tarkistusta. Myös laitteeseen asennetut VPN- tai suojausohjelmistot kannattaa testata pois päältä, jos se on turvallisesti mahdollista.

Palvelinpuolella lokit ovat usein paras ystävä. Sertifikaatin uusimisen, HTTPS-kuuntelun ja web-palvelimen virhelokit paljastavat usein, onko ongelma ketjussa, nimeämisessä vai käyttöoikeuksissa. Lisäksi ulkoiset tarkistustyökalut voivat näyttää, miten sertifikaatti näkyy julkisesti internetiin päin. Näin näet nopeasti, onko kyse vain yhdestä selaimesta vai koko palvelun laajuisesta ongelmasta.

Milloin virhe liittyy välityspalvelimeen tai yritysverkkoon

Monessa organisaatiossa HTTPS-liikennettä tarkastetaan keskitetysti. Tämä tarkoittaa, että yritysverkko voi purkaa ja uudelleensalata yhteyden omalla sertifikaatillaan tietoturvasyistä. Jos päätelaitteeseen ei ole asennettu kyseisen tarkastusratkaisun juurivarmennetta, selain tulkitsee yhteyden epäluotettavaksi ja näyttää virheen net::err_cert_authority_invalid kaltaisesti.

Sama voi tapahtua koulun verkossa, julkisessa Wi-Fi-ympäristössä tai kun käytössä on VPN, joka ohjaa liikenteen yrityksen porttien ja suodattimien kautta. Tällaisissa tilanteissa vika ei välttämättä liity sivustoon lainkaan. Jos sama sivu toimii kotiverkossa mutta ei työverkossa, ongelma on usein verkon sertifikaattipolitiikassa tai päätepisteen luottamusasetuksissa.

Ylläpitäjien kannattaa dokumentoida, miten välityspalvelin tai tarkastusratkaisu jakaa oman juurivarmenteensa. Jos työntekijöitä on paljon, epäselvät ohjeet johtavat helposti toistuviin tukipyyntöihin. Selkeä käyttöönotto, automaattinen hallinta ja testaus eri laitteilla vähentävät katkoja merkittävästi.

Miten estää virheen toistuminen

Paras tapa ehkäistä net::err_cert_authority_invalid-ongelmia on pitää sertifikaattien elinkaari hallinnassa. Se tarkoittaa automaattista uusintaa, seurantaa ennen vanhenemista ja hälytyksiä, jos uusiminen epäonnistuu. Kun sertifikaattien umpeutuminen havaitaan ajoissa, palvelun katkokset voidaan välttää.

Lisäksi konfiguraatiot kannattaa dokumentoida. Kun palvelimia on useita, on helppo unohtaa, missä ketju määritellään ja mikä sertifikaatti kuuluu mihinkin verkkotunnukseen. Yhtenäinen käytäntö nopeuttaa vianetsintää ja vähentää inhimillisiä virheitä. Samalla on hyvä testata HTTPS-asetukset jokaisen merkittävän muutoksen jälkeen.

Myös päätelaitteiden hallinta on tärkeää, jos ympäristössä käytetään omia varmenteita. Uudet laitteet, uudelleenasennukset ja käyttöjärjestelmäpäivitykset voivat poistaa tai vanhentaa luottamusketjun. Säännöllinen hallinta varmistaa, että käyttäjien selaimet tunnistavat organisaation varmenteet oikein.

Jos ylläpidät julkista verkkosivustoa, panosta tunnettuun, luotettavaan varmentajaan ja varmista, että DNS, CDN, kuormantasaajat ja web-palvelimet kaikki toimivat samassa ketjussa. Monimutkaisissa ympäristöissä pienikin ristiriita eri kerrosten välillä voi tuottaa käyttäjälle näkyvän sertifikaattivirheen, vaikka ongelma näyttäisi ensin satunnaiselta.

Usein kysytyt tilanteet

Jos virhe ilmestyy vain yhdellä laitteella, syy on usein kyseisen laitteen aika-asetuksissa, selaimessa tai asennetussa suojausohjelmistossa. Jos virhe näkyy vain tietyssä verkossa, ongelma on todennäköisesti välityspalvelimessa, palomuurissa tai verkon juurivarmenteessa. Jos virhe näkyy kaikilla laitteilla ja verkoilla, ongelma on lähes varmasti palvelimen sertifikaatissa tai sen ketjussa.

Joskus käyttäjät luulevat, että virhe liittyy vain Chromeen, mutta sama perusongelma voi näkyä myös muissa selaimissa. Selainten viestit voivat poiketa toisistaan, mutta taustalla on usein sama luottamusongelma varmenteessa. Siksi kannattaa tarkistaa sekä selaimen ilmoitus että palvelimen sertifikaattitiedot ennen kuin tekee johtopäätöksiä.

Jos sivusto on uusi tai siirretty toiselle palvelimelle, DNS-propagaatio voi myös aiheuttaa väliaikaisia eroja. Tällöin osa käyttäjistä saattaa päätyä vanhaan palvelimeen, osa uuteen, ja sertifikaatin tiedot voivat näyttää ristiriitaisilta. Tällaisessa tilanteessa odottaminen, DNS-asetusten varmistus ja palvelinympäristön tarkka testaus ovat usein oikea ratkaisu.

Yhteenveto

Virhe net::err_cert_authority_invalid tarkoittaa, että selain ei luota sertifikaatin myöntäneeseen varmentajaan tai ei pysty rakentamaan luotettavaa sertifikaattiketjua. Ongelma voi johtua vanhentuneesta varmenteesta, puuttuvasta välivarmenteesta, väärästä kellonajasta, yritysverkon tarkastuksesta tai palvelimen virheellisistä asetuksista. Usein ratkaisu löytyy perusteellisesta tarkistuksesta eikä monimutkaisesta korjauksesta.

Käyttäjän kannattaa aloittaa laitteen ajasta, selaimen versiosta ja verkkoympäristöstä. Ylläpitäjän kannattaa tarkistaa varmenteen voimassaolo, ketju, verkkotunnuksen vastaavuus, palvelimen konfiguraatio ja mahdolliset välityspalvelimet. Kun nämä kohdat ovat kunnossa, HTTPS-yhteys palautuu yleensä normaaliksi ja sivusto avautuu turvallisesti.

Mozilla Developer Network: SSL- ja TLS-sertifikaatteja koskeva dokumentaatio sekä selainten luottamusmallit tarjoavat hyvän teknisen lähtökohdan virheen ymmärtämiseen.

Google Chrome Help: Selaimen virheilmoitukset ja yhteysongelmat auttavat hahmottamaan, milloin ongelma liittyy sertifikaattiin, verkkoon tai laitteeseen.

Let’s Encrypt Documentation: Sertifikaattien uusiminen, ketjun toiminta ja yleiset käyttöönotto-ongelmat on kuvattu käytännönläheisesti.

RFC 5280: X.509 Public Key Infrastructure Certificate and Certificate Revocation List tunnetaan keskeisenä määrittelynä sertifikaattien toiminnalle ja luottamusketjuille.

sertifikaatit SSL TLS selain HTTPS tietoturva vianmääritys verkkosivusto
Vastuuvapauslauseke Tämä sisältö on tarkoitettu yleiseksi tiedoksi eikä korvaa asiantuntijan tekemää tietoturva- tai järjestelmäarviota. Jos kyseessä on liiketoimintakriittinen palvelu, tarkista asetukset ja sertifikaatit ammattilaisen kanssa.