In this article, we’ll show you how to fix the NET::ERR_SSL_PINNED_KEY_NOT_IN_CERT_CHAIN error in Google Chrome, a pretty rare issue caused by incorrect key pinning. Due to its complexity, only website owners can fix this problem. Moreover, you should be well versed in the key pinning specifics. We highly recommend you stop pinning keys unless you’re an expert.

How to Fix the NET::ERR_SSL_PINNED_KEY_NOT_IN_CERT_CHAIN Error as a Website Owner

For website owners, the best solution to this problem is a preventive one. Don’t pin keys unless you 100% know what you’re doing.

In theory, HTTP public key pinning (HPKP) was a promising security feature, but it failed in practice and has been swiftly removed from many modern browsers. The idea was to link a particular cryptographic public key with a specific server to reduce the risk of man-in-the-middle attacks.

However, pinning the right key to the certificate isn’t straightforward as you have to pin your keys and the keys for the rest of your certificate chain, except the root whose keys are already included in root stores.

When users visit your site, their browsers use the public keys to verify the signature of the primary certificate and trace it back to the intermediate then root certificate to complete the SSL handshake. If just one key is miss-pinned, browsers will display the NET::ERR_SSL_PINNED_KEY_NOT_IN_CERT_CHAIN error for Chrome, and its variants in other browsers.

Unless you work for a technologically advanced organization that pins keys for internal security protocols, the best advice we can give you is to not pin keys. Security experts advise against key pinning, but even if you tried to pin a key and ended up with an error on your website, the fix is simple. Reinstall your SSL certificate the proper way and enjoy bulletproof encryption. With the current SSL validity set at just one year, there’s no need to pin keys.

How to Fix the NET::ERR_SSL_PINNED_KEY_NOT_IN_CERT_CHAIN Error as a Website Visitor

Unfortunately, if you face the NET::ERR_SSL_PINNED_KEY_NOT_IN_CERT_CHAIN error as a user, you can’t do much about it. The best option is to contact the site owner and let them know about the issue. But as we don’t want to leave you without a fix, we’ll present a solution that will require you to submit the domain name that is causing the error to Delete domain security policies in Chrome.

  1. Open your Chrome browser and type chrome://net-internals/

    hsts in the URL box.

  2. Next, scroll down until you see Delete domain security policies.
  3. In the Domain box, submit the domain you can’t access and click delete.
  4. Restart the website and see if it works

Final thoughts

The NET::ERR_SSL_PINNED_KEY_NOT_IN_CERT_CHAIN error is a perfect example of SSL certificate mismanagement. All SSL certs issued by trustworthy Certificate Authorities will work flawlessly if you follow the best installation practices. However, if you begin to tweak critical elements within your certificate, you’re playing with fire and asking for trouble. Key pinning is a complex process that is not worth your time and hassle. The best solution is to avoid key pinning.

Lỗi NET :: ERR_SSL_PINNED_KEY_NOT_IN_CERT_CHAIN ​​(đôi khi được viết là NET ERR_SSL_PINNED_KEY_NOT_IN_CERT_CHAIN ​​hoặc ERR_SSL_PINNED_KEY_NOT_IN_CHIAN) là danh pháp của Google Chrome cho lỗi phía máy chủ – lỗi tương tự cũng xuất hiện dưới dạng MOZILLA_PKIX_ERROR_KEY_PINNING_FAILURE trong trình duyệt Mozilla Firefox.

Nếu trang web của bạn gặp sự cố này, chúng tôi có thể giúp bạn khắc phục nó. Còn nếu bạn chỉ đang cố gắng truy cập trang web và trình duyệt của bạn đang phát sinh lỗi này – hoặc nói cách khác, bạn chỉ là người dùng web chứ không phải chủ sở hữu trang web – bạn sẽ chẳng thể làm được gì nhiều.

Cách khắc phục NET ERR_SSL_PINNED_KEY_NOT_IN_CERT_CHAIN ​​cho người dùng Internet thông thường

Như chúng tôi vừa nói, không có cách nào khắc phục vấn đề này nếu bạn không sở hữu trang web. Điều tốt nhất bạn có thể làm là liên hệ với chủ sở hữu trang web và chờ đợi sự cố được khắc phục. Đừng nhấp qua cảnh báo hoặc kết nối qua HTTP vì điều này khiến bạn gặp rủi ro không đáng có.

Cách khắc phục NET ERR_SSL_PINNED_KEY_NOT_IN_CERT_CHAIN ​​với tư cách là chủ sở hữu trang web

Đây là một lỗi key pinning. Về mặt lý thuyết, HTTP public key pinning (HPKP) là một ý tưởng tuyệt vời, nhưng nó cực kỳ khó khăn đối với tất cả các tổ chức ngoại trừ kỹ thuật và tinh vi nhất. Chủ sở hữu trang web thường xuyên không nên thử nó.

Rất có thể, ai đó đã đề nghị bạn thử ghim khóa, điều này không đúng như kế hoạch. Bản thân lỗi đang thông báo rằng một trong những khóa bạn đã ghim không bị ràng buộc với chứng chỉ mà bạn đã ghim. Các phím này không thể thay thế cho nhau; việc không ghim đúng phím vào chứng chỉ chính xác có thể phá vỡ toàn bộ trang web của bạn. Như bạn vừa làm.

Và nó không chỉ là chìa khóa của riêng bạn mà bạn cần phải ghim; bạn cũng cần ghim các khóa cho phần còn lại của chuỗi chứng chỉ của mình – lưu gốc, có khóa được bao gồm trong các cửa hàng gốc. Hãy nhớ rằng khi khách truy cập đến trang web của bạn, máy chủ lưu trữ trang web của bạn sẽ cung cấp chứng chỉ cho trình duyệt của người dùng. Trình duyệt sử dụng các khóa công khai đó để xác minh chữ ký trên mỗi chứng chỉ và theo dõi nó trở lại chứng chỉ còn lại.

Ngay cả khi bạn ghim chính xác khóa chứng chỉ của mình, việc ghim sai bất kỳ khóa công khai trung gian nào khác vẫn có thể gây ra sự cố này

Cách khắc phục rất đơn giản:

Chỉ cần cài đặt lại chứng chỉ của bạn và bất kỳ trung gian nào theo cách tiêu chuẩn. Điều này có thể yêu cầu bạn xóa cấu hình trước đó, nhưng không nên mất nhiều hơn một hoặc hai phút. Chỉ cần làm theo các hướng dẫn TIÊU CHUẨN và trang web của bạn sẽ hoạt động tốt.