Błąd ERRCLIENTAUTHCERTTYPE_UNSUPPORTED oznacza, że przeglądarka lub serwer odrzuca przedstawiony certyfikat klienta z powodu nieobsługiwanego typu lub nieodpowiednich jego parametrów. Błąd ten może dotyczyć zarówno właścicieli stron, administratorów, jak i końcowych użytkowników, którzy próbują uzyskać dostęp do chronionych (np. firmowych, urzędowych) zasobów przez HTTPS.
Spis treści
Co oznacza błąd ERRCLIENTAUTHCERTTYPE_UNSUPPORTED?
- Błąd sygnalizuje, że typ przedstawionego certyfikatu klienta nie jest wspierany przez daną przeglądarkę, serwer lub protokół bezpieczeństwa (np. TLS/SSL).
- Najczęściej dotyczy zastosowań, gdzie wymagana jest autoryzacja użytkownika przez tzw. client certificate authentication (uwierzytelnienie wzajemne klienta i serwera za pomocą certyfikatów cyfrowych).
Główne przyczyny błędu
- Nieprawidłowy lub nieobsługiwany format certyfikatu klienta (np. przestarzały algorytm podpisu, zły typ klucza).
- Zła konfiguracja serwera – akceptuje tylko określony typ certyfikatów lub błędnie skonfigurowane uprawnienia.
- Nieprawidłowa instalacja certyfikatu po stronie użytkownika (brak certyfikatu w magazynie systemowym lub przeglądarki).
- Brak odpowiednich uprawnień do użycia certyfikatu (np. certyfikat nie ma właściwości „Uwierzytelnianie klienta”).
- Przeglądarka nie obsługuje typu certyfikatu (np. niektóre przeglądarki mogą nie akceptować certyfikatów DSA, tylko RSA lub ECC).
- Wycofane algorytmy lub niskie bezpieczeństwo – certyfikaty wystawione na niebezpiecznych lub przestarzałych algorytmach nie są akceptowane przez współczesne środowiska.
Rozwiązania i instrukcje naprawcze
1. Porady dla webmastera i web developera (strony, serwera)
Sprawdź obsługę certyfikatów klienta po stronie serwera –
- Skonfiguruj serwer (np. Apache, Nginx, IIS) tak, aby akceptował aktualne i bezpieczne typy certyfikatów (najczęściej RSA lub ECC).
- Upewnij się, że lista zaufanych urzędów certyfikacji jest poprawnie skonfigurowana.
- Zweryfikuj, czy serwer SSL/TLS w konfiguracji sslverifyclient (Nginx), SSLVerifyClient (Apache) lub Require Client Certificate (IIS) jest ustawiony prawidłowo.
- W IIS – sprawdź właściwości certyfikatu:
- Otwórz certyfikat w konsoli MMC.
- W zakładce „Szczegóły” wybierz „Edytuj właściwości”.
- Upewnij się, że jest włączona opcja Włącz wszystkie cele oraz na liście znajduje się Uwierzytelnianie klienta.
Wystaw nowy certyfikat, jeśli –
- Certyfikat klienta jest na przestarzałych algorytmach (np. SHA-1, DSA), wycofaj go i wystaw na nowoczesnym standardzie (np. RSA/2048+, ECDSA).
- Certyfikat nie ma celu „Client Authentication” (EKU = Client Authentication / OID: 1.3.6.1.5.5.7.3.2) – należy wystawić poprawny certyfikat.
- Certyfikat używany jest w nieprawidłowej formie (np. PFX zamiast PEM lub odwrotnie).
Zaktualizuj oprogramowanie serwera oraz stosu TLS/SSL, aby korzystać z aktualnych standardów bezpieczeństwa.
Przetestuj stronę narzędziem SSL Labs (np. Qualys SSL Labs) – wykryje problemy z konfiguracją oraz zalecane typy certyfikatów.
2. Instrukcja dla użytkownika końcowego
Kroki naprawcze –
- Sprawdź dostępność i poprawność certyfikatu w przeglądarce/systemie:
- W Chrome: Ustawienia → Prywatność i bezpieczeństwo → Bezpieczeństwo → Zarządzaj certyfikatami.
- W Firefox: Ustawienia → Prywatność i bezpieczeństwo → Certyfikaty → Wyświetl certyfikaty.
- Upewnij się, że wybrany certyfikat posiada właściwość do uwierzytelniania klienta (EKU: Client Authentication).
- Spróbuj wybrać poprawny certyfikat podczas próby logowania (jeśli przeglądarka pyta, który certyfikat chce użyć).
- Zainstaluj certyfikat ponownie korzystając z właściwego formatu (najczęściej .pfx/.p12 dla Windows, .pem dla Linux).
- Jeśli certyfikat jest przestarzały lub nieaktualny – zgłoś się do administratora lub swojego urzędu/do firmy po nowy.
- Zaktualizuj przeglądarkę internetową oraz system operacyjny, aby zapewnić obsługę nowych typów certyfikatów i algorytmów.
Dodatkowe wskazówki –
- Sprawdź datę i godzinę w systemie – jeśli są nieprawidłowe, wiele połączeń SSL/TLS nie będzie działać prawidłowo.
- Usuń pamięć podręczną i pliki cookie przeglądarki – czasem „stare” sesje mogą blokować poprawne uwierzytelnianie.
- Jeżeli masz antywirusa z funkcją „skanowania HTTPS” – tymczasowo go wyłącz i spróbuj ponownie.
Jak zapobiegać błędom certyfikatów klienta?
- Używaj tylko nowoczesnych, wspieranych algorytmów (RSA, ECC) i długości klucza powyżej 2048 bitów.
- Kupuj lub generuj certyfikaty u renomowanych dostawców/krajowych urzędów certyfikacji.
- Zawsze aktualizuj serwer i stos TLS/SSL do najnowszych wersji.
- Wdrażaj testy automatyczne SSL/TLS w cyklu wdrożeniowym.
- Regularnie odnawiaj certyfikaty i usuwaj przeterminowane lub nieużywane.
Najczęstsze błędy i komunikaty z nimi związane
| Błąd | Przyczyna | Sposób naprawy |
|---|---|---|
| ERRCLIENTAUTHCERTTYPE_UNSUPPORTED | Typ certyfikatu klienta nieobsługiwany | Wystaw nowy certyfikat, sprawdź konfigurację serwera/klienta |
| ERRCERTAUTHORITY_INVALID | Niezaufany urząd certyfikacji | Zainstaluj zaufany certyfikat lub popraw konfigurację |
| SSLERRORBADCERTDOMAIN | Certyfikat nie odpowiada domenie | Wystaw certyfikat dla poprawnej domeny |
| ERRCERTDATE_INVALID | Certyfikat wygasł lub nie jest jeszcze ważny | Odnów certyfikat, sprawdź datę w systemie |
Podsumowanie techniczne
Dla webmasterów i web developerów rozwiązanie sprowadza się do przeglądu konfiguracji serwera oraz używanych certyfikatów, a dla użytkownika końcowego – do poprawności instalacji i wyboru certyfikatu klienta oraz aktualizacji przeglądarki i systemu. Źródła potwierdzają, że najczęściej przyczyną są przestarzałe/nieobsługiwane typy certyfikatów lub złe uprawnienia.
