不少人开启AdGuard的HTTPS过滤后，会在浏览器里看到连接不受信任、证书校验失败，甚至个别应用直接打不开网页。根源在于AdGuard为了过滤HTTPS流量，会生成并安装一张专用的根证书，只有当系统或浏览器信任这张证书时，拦截与解密再加密的链路才会被当作正常连接处理。

　　一、adguard证书校验为什么失败

　　证书报错并不等于网站真的不安全，更多时候是信任链断在了本机的证书库或应用的校验规则上。先把触发点分清楚，后续重装和校对才不会反复踩坑。

　　1、浏览器不读取系统证书库或读取不完整

　　部分Firefox系浏览器更依赖自身证书库，系统里已经信任了AdGuard证书，浏览器仍可能报Connection is untrusted，需要在AdGuard里走一次【Reinstall Certificate】或做浏览器侧导入。

　　2、Gecko系浏览器启用了主密码导致证书写入受阻

　　在macOS上，Firefox、Waterfox等如果设置了主密码，AdGuard可能拿不到访问权限，从而需要手动把AdGuard Personal CA导入到浏览器证书库。

　　3、Android应用不信任用户证书导致校验逻辑直接拒绝

　　从Android 7开始，应用需要显式声明是否信任用户安装的证书，某些应用不信任时，AdGuard即便装好证书也可能无法对该应用的HTTPS流量生效，表现为连接异常或无法过滤。

　　4、系统时间不准引发证书有效期判断失败

　　证书还未生效、已过期、或设备时间偏差过大时，客户端会把连接判为不可验证，优先检查系统时间与时区一致性。

　　5、旧证书残留或多份证书并存造成链路错配

　　更换版本、迁移配置、恢复系统后，可能出现旧的AdGuard根证书仍被信任或被部分组件引用，导致同一台机器上出现“装了但仍报错”的状态，通常需要通过AdGuard的【Reinstall Certificate】重新生成并覆盖。

　　6、与其他HTTPS扫描组件冲突

　　部分安全软件也会做SSL扫描或基于系统网络过滤框架拦截HTTPS，和AdGuard同时启用时可能出现证书链混乱、浏览器报错等冲突现象，需要避免双重拦截。

　　二、adguardHTTPS证书应怎样重新安装

　　重装的目标不是“把证书再装一遍”这么简单，而是让证书生成、落库、被信任、被浏览器或应用读取这四件事都顺利走完。按平台拆开做，成功率会高很多。

　　1、Windows端先用AdGuard自带入口重装

　　打开AdGuard，进入【Settings】→【Network】，在相关区域点击【Reinstall Certificate】让程序重新生成并安装根证书，然后重启浏览器再复测。

　　2、Windows端若仍是Firefox报错就走浏览器手动导入

　　在浏览器打开local.adguard.org/cert并点击【Download】下载cert.cer，也可以在AdGuard里通过【Settings】→【Network】→【HTTPS filtering】打开下载入口；回到Firefox进入【Settings】→【Privacy&Security】→【Certificates】→【View Certificates】→【Authorities】→【Import】导入cert.cer，勾选信任网站识别选项后确认并重启浏览器。

　　3、macOS端针对Gecko系浏览器补齐证书库信任

　　打开Firefox类浏览器的【Preferences】进入【Privacy&Security】→【Certificates】→【View Certificates】→【Authorities】→【Import】；选择系统路径中的AdGuard Personal CA.cer文件，路径为/Library/Application Support/AdGuard Software/com.adguard.mac.adguard/AdguardCore/Adguard Personal CA.cer，或在启用HTTPS过滤后用Chromium内核浏览器访问local.adguard.org/cert下载再导入。

　　4、Android 11及以上按官方流程手动安装到用户证书库

　　打开AdGuard，在首页点击【HTTPS filtering is off】；依次点击【Continue】→【Next】→【Save certificate】；在下载目录底部点击【Save】保存证书；回到提示页复制CA Certificate字段内容并点击【Open Settings】；进入系统【设置】后在搜索框输入CA Certificate并进入对应项，出现风险提示时点击【Install anyway】并按要求输入PIN；选择形如adguard_1342_020322.crt的证书文件完成安装。

　　5、Android装完仍显示未启用就做两步回滚

　　先彻底关闭并重启AdGuard，再回到证书安装入口重新安装一次，重点确认安装的是AdGuard Personal CA这张证书，而不是误选了旧文件或其他CA。

　　6、重装后用可验证页面确认链路是否正常

　　完成后可用HTTPS质量检测网站做快速自检，例如SSLLabs的viewMyClient或How’s My SSL、BadSSL一类页面，用来确认浏览器与AdGuard组合后的握手与证书校验是否正常，再回到AdGuard确认HTTPS过滤已开启。

　　三、adguard系统信任链为什么会被打断

　　有些“装好证书仍报错”的情况，本质不是安装问题，而是协议与校验机制在某个环节天然不兼容。把这些边界条件提前识别出来，能避免把时间耗在重复重装上。

　　1、浏览器内置CA名单与安全规则限制

　　Firefox系在某些场景会更严格依赖内置CA列表与校验规则，AdGuard证书不在其内置列表里时，特定行为例如扩展更新会被拦截，因此AdGuard会对部分Mozilla域名做默认排除以减少冲突。

　　2、HTTP3与QUIC带来的过滤路径差异

　　当浏览器优先走HTTP3而过滤侧未覆盖或被关闭时，可能出现访问异常或表现不一致，AdGuard也曾围绕h3相关参数做过兼容性处理，遇到问题时应优先核对HTTP3相关开关与近期更新变更。

　　3、应用侧不信任用户证书或启用了更强校验

　　在Android上，部分应用天然不信任用户证书，或对证书校验更严，结果就是该应用的HTTPS流量无法被过滤，表现为不生效或连接异常，这类情况更适合做应用级分流或对特定应用关闭HTTPS过滤，而不是反复装证书。

　　4、双重中间人组件叠加导致证书链混乱

　　同时启用安全软件的SSL扫描与AdGuard的HTTPS过滤，浏览器可能看到“被替换过两次”的证书链，从而触发校验失败，排查时应先让链路里只保留一个HTTPS拦截组件。

　　5、默认排除与自定义排除导致的误判

　　AdGuard存在内置的HTTPS排除清单与规则语法，当某域名被排除时会出现“这站点正常但过滤不生效”的现象；反过来，当某站点更适合被排除以规避证书冲突时，也可以通过排除机制绕开该域名的HTTPS过滤。

　　总结

　　证书校验失败通常不是单点故障，而是系统证书库、浏览器证书库、Android应用信任策略、协议选择与其他拦截组件叠加共同作用的结果。按平台先用AdGuard入口重装，再针对Firefox类浏览器与Android 11以上走手动导入与系统证书库安装流程，最后用检测页面与日志复核，基本可以把“反复报错却找不到原因”的情况收敛到可定位、可处理的范围内。