ERR_CERT_AUTHORITY_INVALID

ERR_CERT_AUTHORITY_INVALID

该错误表示浏览器拒绝信任当前网站的 SSL/TLS 证书，根本原因是证书链中缺失、错序或包含不受信任的根证书（Root CA）或中间证书（Intermediate CA）。它不表示证书已过期或域名不匹配，而是明确指向证书签发机构（CA）未被操作系统或浏览器信任。

常见成因包括：服务器未正确配置中间证书（如仅部署了终端证书，未附带完整的证书链）；使用了私有 CA 或测试 CA（如 mkcert、自签名 CA）签发的证书；证书由已被主流信任库移除的 CA 签发（如部分 Let’s Encrypt 旧根证书在极老系统上失效）；或客户端环境异常（如企业代理强制注入自定义根证书但未同步至系统信任库）。

在实际部署中，可通过 ssl证书工具 输入域名进行证书链完整性检测，确认是否缺失中间证书。Nginx/Apache 配置需确保 ssl_certificate 指向包含终端证书 + 全部中间证书（按顺序拼接）的 PEM 文件；OpenSSL 命令 openssl s_client -connect example.com:443 -showcerts 可直接验证服务端实际返回的证书链。

需要注意的情况

• Windows 7 / macOS 10.12 以下系统对 Let’s Encrypt ISRG Root X1 支持有限，若站点仅提供 X1 链，可能触发此错误；需同时部署兼容旧系统的 X2 链（需 CA 支持，如 Lets Encrypt 提供双链选项）
• 使用国密SSL证书时，若客户端未预置 SM2 根证书（如非国密合规浏览器），同样报 ERR_CERT_AUTHORITY_INVALID，与算法无关，纯属信任链缺失
• 某些安全软件或企业网络设备会劫持 HTTPS 流量并替换证书，此时错误实际源于中间人设备证书未被用户设备信任，而非目标网站配置问题