err_cert_common_name_invalid: Guia completo para entender, diagnosticar e corrigir o erro de nome comum do certificado

O que é o erro err_cert_common_name_invalid

O erro err_cert_common_name_invalid aparece quando o navegador não confia na correspondência entre o domínio que você está tentando acessar e o certificado TLS apresentado pelo site. Em termos simples, o certificado não corresponde ao host solicitado, seja por discordância entre o nome comum (CN) ou pelos nomes alternativos de assunto (SAN). Esse problema é registrado pelo navegador com mensagens como ERR_CERT_COMMON_NAME_INVALID, indicando que a verificação de identidades falhou. Ajuda a entender que não é apenas uma falha de certificação, mas um desalinhamento entre o domínio de destino e o certificado apresentado pelo servidor.

Err_CERT_COMMON_NAME_INVALID: por que esse erro acontece

O nome comum (CN) de um certificado é tradicionalmente usado para validar o domínio. Hoje, o padrão moderno utiliza também os nomes alternativos de assunto (SAN). Quando o domínio que o usuário digita não está listado entre esses nomes, o servidor está apresentando um certificado para outro domínio. Daí surge o erro err_cert_common_name_invalid ou, em termos de navegador, ERR_CERT_COMMON_NAME_INVALID. Entre as causas mais comuns estão:

• Certificado emitido para um domínio diferente, como certificado para exemplo.com apresentado quando o usuário acessa www.exemplo.com.
• Certificado apenas com CN válido, mas sem SAN cobrindo o domínio atual.
• Certificado para subdomínio diferente ou para um domínio raiz distinto.
• Utilização de redirecionamentos que passam o tráfego por um servidor com certificado incorreto ou desatualizado.
• Proxy ou balanceador de carga que inspeciona TLS e retorna certificado diferente do esperado.
• Problemas de cadeia de certificação onde o certificado intermediário não é fornecido corretamente, gerando falha na validação de confiança.
• Problemas de configuração do SNI (Server Name Indication) em servidores que hospedam vários domínios na mesma IP.

Diferentes formas de ver o err_cert_common_name_invalid nos navegadores

Enquanto o erro aparece com o código ERR_CERT_COMMON_NAME_INVALID na maioria dos navegadores modernos, há variações na mensagem textual dependendo da plataforma e do navegador. Em muitos casos, ao tentar acessar um site com esse erro, o usuário verá avisos como “Este site não é confiável” ou “Nome do certificado inválido”, sempre com a indicação de que o certificado não cobre o domínio requisitado. Em situações corporativas ou de desenvolvimento, o mesmo problema pode surgir como uma exceção de cadeia de confiança ou como aviso de certificado nulo, reforçando que o cerne é a discrepância entre nome do host e os nomes listados no certificado.

Como diagnosticar o erro err_cert_common_name_invalid

Diagnosticar com precisão requer uma combinação de observação visual, verificação de certificados e testes de conectividade. Abaixo estão passos práticos para identificar a raiz do problema:

1. Verifique o domínio que aparece na barra de endereço versus o certificado apresentado pelo site.
2. Inspecione o certificado do servidor para confirmar o CN e os SAN. O CN pode estar correto, mas se SAN não incluir o domínio, o problema persiste.
3. Cheque a data de validade e a cadeia de certificação: certificado expirado ou intermediários ausentes também causam falhas de confiança, ainda que o CN e SAN estejam corretos.
4. Teste a conexão TLS com ferramentas como openssl ou serviços de verificação de TLS, para confirmar quais nomes são contemplados no certificado.
5. Verifique se há proxies, WAFs ou balanceadores de carga entre o usuário e o servidor que possam apresentar um certificado diferente do esperado.
6. Confirme a configuração do SNI no servidor, especialmente em ambientes com várias vhosts no mesmo IP.

Ferramenta prática: diagnóstico com OpenSSL

Use o seguinte comando para conectar ao servidor e obter o certificado apresentado, incluindo CN e SANs:

openssl s_client -connect seu-dominio:443 -servername seu-dominio -showcerts

Substitua seu-dominio pelo domínio real. Verifique no output o CN listado no certificado e os SAN indicados (Subject Alternative Names). Se o domínio desejado não constar entre SANs, o certificado não cobre o site e o erro err_cert_common_name_invalid pode ocorrer.

Verificação do caminho da cadeia de certificados

Além de CN e SAN, é essencial assegurar que o certificado intermediário e a CA raiz estejam presentes no caminho de validação. Um caminho incompleto pode levar a erros de confiança que se misturam com o err_cert_common_name_invalid. Use ferramentas de verificação de cadeia para confirmar que todos os elementos estão disponíveis para o navegador.

Como corrigir o erro err_cert_common_name_invalid

As soluções variam conforme o papel que você desempenha (administrador de servidor, desenvolvedor, equipe de TI) e o ambiente (Apache, Nginx, IIS, etc.). Abaixo estão orientações estruturadas para resolver o problema de forma definitiva.

Verifique o certificado e o SAN

• Assegure-se de que o domínio acessado está incluído no SAN do certificado. Se necessário, emita um novo certificado com SAN abrangente (incluindo o domínio, subdomínios relevantes e domínios de alias).
• Se o CN for usado pelo navegador, certifique-se de que ele também corresponde ao domínio principal. Em certificados modernos, SAN substitui amplamente o CN, mas muitos servidores/clientes ainda verificam ambas as informações.
• Considere usar certificados com wildcard quando apropriado (por exemplo, *.exemplo.com) para cobrir múltiplos subdomínios, desde que a política de segurança da organização permita.

Atualize a cadeia de certificação

• Inclua certificados intermediários necessários no servidor para que o cliente possa construir a cadeia até a raiz confiável.
• Verifique se o certificado raiz não está desatualizado no cliente. Em alguns cenários, clientes antigos podem não reconhecer CA raiz nova.
• Recarregue o serviço após atualizar a cadeia de certificação para que o novo conjunto seja entregue aos clientes.

Corrija o hostname e o SNI

• Garanta que o nome do host utilizado pelo navegador seja exatamente o que está coberto pelo certificado. Pequenas variações (www, sem www, subdomínios) podem provocar erro.
• Se houver vários domínios hospedados no mesmo servidor, assegure-se de que o SNI está configurado corretamente para cada vhost e que o certificado correspondente é apresentado com a respectiva configuração de servidor.

Corrija a hora do sistema

• Certificados dependem de datas de validade. Relógios fora de sincronia no cliente ou no servidor podem originar mensagens de erro confusas. Alinhe a data e hora do sistema com um serviço de tempo confiável (NTP).

Configuração de proxies e middleboxes

• Se um proxy, firewall ou balanceador de carga inspeciona TLS, verifique se o certificado retornado por ele é o esperado para o domínio. Configurações incorretas podem provocar ERR_CERT_COMMON_NAME_INVALID.
• Desative ou ajuste reescritas de cabeçalhos que possam levar o cliente a acreditar que o certificado apresentado não corresponde ao domínio requisitado.

Casos comuns com Let’s Encrypt e outras CA

• Certificados recém emitidos devem incluir SANs atualizados. Em ambientes com múltiplos domínios, revogue certificados errados e emita novos com SAN completo.
• Ao renovar, valide que o domínio não foi alterado ou movido para outra edição de certificado sem atualização da configuração de servidor.

Guia prático por servidor

A seguir, instruções resumidas para corrigir err_cert_common_name_invalid em servidores populares. Adapte as etapas conforme a sua infraestrutura.

Apache

• Verifique a configuração do VirtualHost correspondente ao domínio. Confirme que o certificado e a chave apontados correspondem ao domínio desejado.
• Certifique-se de que o arquivo de certificação contém o certificado intermediário na sequência correta (certificado + intermediários).
• Reinicie o serviço após as alterações (por exemplo, systemctl reload apache2 ou service apache2 reload).
• Considere habilitar o protocolo TLS adequado (TLS 1.2/1.3) e desabilitar suites vulneráveis para reforçar a segurança.

Nginx

• Atualize a diretiva ssl_certificate para apontar ao arquivo que contém o certificado e os intermediários (pode ser um único arquivo concatenado com o certificado e cadeia).
• Verifique a diretiva server_name para cobrir o domínio correto. Em casos com múltiplos domínios, garanta que cada server block tenha o certificado correspondente.
• Reinicie o Nginx após as mudanças (por exemplo, systemctl reload nginx).

IIS (Windows Server)

• Instale o certificado no store adequado e atribua-o ao site correspondente.
• Confirme a ligação entre o site e o certificado no Gerenciador de Serviços IIS.
• Atualize a cadeia de certificação se necessário e reinicie o serviço WWW.

Boas práticas para evitar o err_cert_common_name_invalid no futuro

• Automatize a emissão e renovação de certificados com soluções como Let’s Encrypt, que oferecem validação automática de domínio e renovação periódica.
• Inclua SANs amplos e revise periodicamente os certificados para cobrir novos subdomínios ou domínios paralelos que a organização utilize.
• Implemente monitoração de certificados com alertas de expiração e validação de cadeia, para evitar surpresas de última hora.
• Teste alterações de DNS, proxies e balanceadores em um ambiente de staging antes de aplicar em produção para reduzir o risco de apresentar certificados incorretos.
• Guarde um inventário atualizado dos certificados, suas datas de validade e os domínios cobertos.

Ferramentas úteis para evitar e resolver err_cert_common_name_invalid

• OpenSSL para verificar CN e SAN, além de validação de cadeia.
• Ferramentas de verificação de TLS online para checagem de SAN, cadeia e data de validade.
• Catálogos de CA e listas de revogação para confirmar a confiabilidade da cadeia de certificação.
• Automatizadores de renovação de certificados, como Certbot, que facilita a renovação com Let’s Encrypt.
• Validador de configuração de servidor e testes de SNI para ensure que o certificado certo é apresentado para cada host virtual.

FAQs sobre o err_cert_common_name_invalid

O que significa ERR_CERT_COMMON_NAME_INVALID?

É uma mensagem de erro do navegador indicando que o certificado apresentado não cobre o domínio solicitado, ou seja, o nome comum (CN) ou os SANs não correspondem ao host acessado.

Posso ignorar esse erro?

Não é recomendado ignorá-lo. A ignorância pode expor você a ataques de tipo man-in-the-middle. Corrija a configuração de certificado para garantir a assinatura correta e a cadeia confiável.

Preciso renovar meu certificado?

Se a causa for expiração, sim. Caso contrário, verifique SANs e CN. Em muitos casos, a renovação não resolve automaticamente quando a configuração do servidor permanece desalinhada.

O problema ocorre apenas em determinado navegador?

O problema tende a ocorrer independentemente do navegador, pois está relacionado à validação de certificado pelo TLS. No entanto, a percepção pode variar dependendo da implementação de verificação de cada navegador.

Conclusão

O erro err_cert_common_name_invalid é um sinal claro de que há um desalinhamento entre o domínio solicitado e o certificado apresentado. Resolver esse problema envolve uma combinação de verificação do CN e SAN, validação da cadeia de certificação, confirmação de configuração de servidor e, se aplicável, ajustes de SNI e proxies. Ao seguir as práticas recomendadas — emitir certificados com SAN abrangente, manter a cadeia completa, alinhar o hostname e automatizar renovações — você reduz significativamente a probabilidade de encontrar ERR_CERT_COMMON_NAME_INVALID no seu ambiente, proporcionando uma experiência segura e confiável aos usuários.

Resumo prático

• Verifique CN e SAN do certificado.
• Assegure cadeia de certificação completa com intermediários.
• Confirme que o domínio acessado está coberto pelo certificado.
• Garanta configuração correta de SNI e server_name.
• Use ferramentas como OpenSSL para diagnóstico e iluminação rápida da raiz do problema.
• Adoção de renovação automática e monitoramento evita surpresas futuras.