Błąd internetu
Błędy i naprawa

Błąd ERR_CERT_NO_REVOCATION_MECHANISM – przyczyny i naprawa

Mateusz Sobociński
Autor: Mateusz Sobociński - CEO & Red. Nacz. @ asMAX
4 min. czytania

Błąd ERRCERTNOREVOCATIONMECHANISM pojawia się w przeglądarkach internetowych (głównie Google Chrome), gdy certyfikat SSL/TLS nie udostępnia mechanizmu sprawdzania jego unieważnienia (brakuje CRL lub OCSP). Może on zaniepokoić zarówno administratorów stron jak i użytkowników końcowych. Poniżej znajduje się kompleksowy poradnik opisujący przyczyny błędu oraz kroki naprawcze dla webmastera/web dewelopera i użytkownika końcowego.

Spis treści

Czym jest ERRCERTNOREVOCATIONMECHANISM?

ERRCERTNOREVOCATIONMECHANISM sygnalizuje, że przeglądarka nie znalazła mechanizmu służącego do sprawdzania, czy dany certyfikat został unieważniony, czyli:

  • W certyfikacie nie wskazano adresu listy CRL (Certificate Revocation List).
  • Brakuje wsparcia dla OCSP (Online Certificate Status Protocol).
  • Certyfikat jest samopodpisany lub wydany przez lokalne CA bez wsparcia tych mechanizmów.

Przyczyny powstawania błędu

  • Brak informacji o CRL/OCSP w certyfikacie – certyfikat nie posiada pól wskazujących mechanizm odwołania.
  • Certyfikaty wydane przez niepubliczne lub lokalne CA – często ignorują wymóg wprowadzenia CRL lub OCSP.
  • Nieprawidłowa konfiguracja serwera – serwer nie udostępnia informacji o unieważnianiu.
  • Problemy po stronie klienta – używanie przestarzałej przeglądarki lub systemu operacyjnego.

Rozwiązania dla webmastera / web dewelopera

1. Sprawdź zawartość certyfikatu

  • Otwórz certyfikat (np. przy pomocy openssl lub odpowiedniego narzędzia systemowego).
  • Sprawdź sekcje:
  • CRL Distribution Points (powinien wskazywać adres HTTP/HTTPS do listy CRL).
  • Authority Information Access (powinien zawierać adres OCSP).

Przykład sprawdzenia certyfikatu:

openssl x509 -in cert.pem -noout -text

Szukaj sekcji CRL Distribution Points oraz Authority Information Access.

2. Wygeneruj nowy certyfikat z poprawnym mechanizmem odwołania

  • W przypadku korzystania z własnego CA — wygeneruj ponownie certyfikat, dodając pola CRL i/lub OCSP.
  • Jeśli używasz zewnętrznej jednostki certyfikującej — wygeneruj nowy wniosek zawierający żądanie wsparcia CRL/OCSP lub wybierz innego operatora.

3. Skonfiguruj odpowiedni serwer CRL/OCSP

  • Udostępnij pliki CRL pod wskazanym adresem URL (adres może być nawet lokalny w zamkniętych środowiskach).
  • Jeśli to możliwe, skonfiguruj usługę OCSP.

4. Upewnij się, że serwer WWW dostarcza pełny łańcuch certyfikatów

  • Brakujące certyfikaty pośrednie również mogą generować ten błąd w niektórych konfiguracjach.

Instrukcje dla użytkownika końcowego

1. Zaktualizuj przeglądarkę i system operacyjny

  • Upewnij się, że korzystasz z najnowszej wersji przeglądarki oraz systemu – nowsze wersje lepiej obsługują różne mechanizmy PKI.

2. Spróbuj innej przeglądarki

  • Czasem Firefox i Chrome różnie reagują na niektóre błędy certyfikatów.

3. Skontaktuj się z administratorem strony

  • Jeśli błąd występuje wyłącznie na jednej stronie, powiadom właściciela witryny, by wyeliminował problem po swojej stronie.

4. NIE ignoruj ostrzeżeń bezpieczeństwa

  • Unikaj pomijania ostrzeżeń, szczególnie na stronach wymagających logowania, bo brak mechanizmu unieważniania naraża Cię na ryzyko ataku „man-in-the-middle”.

Słownik podstawowych pojęć

  • CRL (Certificate Revocation List) – lista certyfikatów uznanych za nieważne przez wystawcę.
  • OCSP (Online Certificate Status Protocol) – protokół do sprawdzania w czasie rzeczywistym, czy certyfikat jest ważny.
  • Certyfikat samopodpisany – wystawiony i podpisany przez tego samego właściciela, zwykle bez wsparcia mechanizmu odwołania.
  • CA (Certificate Authority) – podmiot wystawiający i podpisujący certyfikaty.

Najczęstsze scenariusze występowania

  • Strony wewnętrzne firm, korzystające z własnego CA.
  • Środowiska testowe i deweloperskie.
  • Strony korzystające z niestandardowych lub przestarzałych rozwiązań bezpieczeństwa.

Podsumowanie

Aby wyeliminować ERRCERTNOREVOCATIONMECHANISM należy zadbać, by każdy certyfikat publikowany na serwerze:

  • Zawierał poprawne odniesienia do CRL i/lub OCSP.
  • Był utrzymywany przez aktualne, zaufane CA.
  • Był testowany w różnych przeglądarkach i środowiskach użytkownika końcowego.

W razie wątpliwości, zawsze warto skorzystać z narzędzi diagnostycznych lub konsultacji z dostawcą usług certyfikacyjnych.

Przeczytaj:

  1. Błąd ERR_CERT_UNABLE_TO_CHECK_REVOCATION – przyczyny i naprawa
  2. Błąd ERR_ADD_USER_CERT_FAILED – przyczyny i naprawa
  3. Błąd ERR_CERT_REVOKED – przyczyny i naprawa
  4. Błąd ERR_CERTIFICATE_TRANSPARENCY_REQUIRED – przyczyny i naprawa
  5. Błąd ERR_CLIENT_AUTH_CERT_TYPE_UNSUPPORTED – przyczyny i naprawa
Podziel się artykułem
Autor:Mateusz Sobociński
CEO & Red. Nacz. @ asMAX
Obserwuj:
Ex-redaktor w GW (Technologie) i ex-PR w koreańskim start-upie technologicznym. Absolwent Imperial College Business School (MBA) i Politechniki Warszawskiej. Od 2025 CEO i redaktor naczelny w asMAX.
Brak komentarzy

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *