谷歌浏览器中的 NET::ERR_CERT_AUTHORITY_INVALID 错误

谷歌浏览器中的 NET::ERR_CERT_AUTHORITY_INVALID 错误

该错误表示 Chrome 拒绝信任当前网站的 SSL/TLS 证书，根本原因是证书链中缺少可信的根证书（Root CA）或中间证书（Intermediate CA）未正确部署，导致浏览器无法构建一条可验证至已知信任锚（Trusted Root Store）的完整证书路径。

常见成因包括：服务器未配置完整的证书链（仅部署了域名证书，遗漏中间证书）；使用了私有 CA 或自签名根证书但未被 Chrome 信任；证书由已被 Chrome 移除信任的 CA 签发（如 Symantec 旧根、WoSign/StartCom 系列）；或本地系统时间严重偏差导致证书被认为“尚未生效”或“已过期”。Chrome 自 2018 年起强制要求所有公开信任的证书必须满足 CT（Certificate Transparency）日志记录要求，缺失 SCT（Signed Certificate Timestamp）字段也可能触发此错误（尤其在较新版本中）。

需要注意的情况

• 若网站使用的是 免费ssl证书（如 Let's Encrypt），需确认 Web 服务器（Nginx/Apache）是否已正确合并 fullchain.pem（而非仅 cert.pem），否则中间证书缺失将直接触发该错误。
• 企业内网或测试环境若使用自建 CA，必须将根证书手动导入 Chrome 的「受信任的根证书颁发机构」存储区（chrome://settings/certificates → « Authorities » 标签页 → « Import »），且需对每个用户单独操作（Chrome 不继承系统证书存储）。
• 部分国产 CA（如早期沃通(WoTrus））签发的证书因信任策略变更已被 Chrome 彻底弃用，即使证书未过期也会报此错，此时需更换为仍在 Chrome 根证书计划中的 CA，例如 Sectigo、Digicert 或 Geotrust。
• 若网站启用国密算法，需确保使用符合 GM/T 0024-2014 的 国密SSL证书，并搭配支持 SM2/SM3/SM4 的服务端与客户端（Chrome 原生不支持国密，需依赖国密插件或专用浏览器）。