Содержание
- Убедитесь, что ваш почтовый сервер поддерживает минимальную версию tls
- Убедитесь, что исходящая почта не блокируется
- Почему система маркировки честный знак не видит укэп
- Что может послужить причиной такой ошибки
- Проблема внезапно началась после обновления до thunderbird версии 78?
- 3.1. Сертификаты в программе Mozilla Thunderbird
- Mozilla thunderbird
- Thunderbird not trusting certificate signed with self-signed authority
- В чём разница
- Если этот список не помогает
- Закрытый ключ не соответствует сертификату, привязать закрытый ключ к сертификату | такском
- Как избежать ошибок при работе с маркировкой
- Как работать с носителями
- Какие могут возникнуть ошибки
- Какие носители бывают
- Настройка по протоколу imap
- Не вставлена флешка с эцп
- Не установлено скзи
- Не установлены сертификаты
- Особенности версий криптопро
- Остальные ошибки при проверке подписи в системе честный знак
- Ошибка 0x80070057: параметр задан неверно
- Ошибка 0x80090008: указан неправильный алгоритм
- Ошибка 0x80090016: набор ключей не существует
- Ошибка 0x8010006e: действие было отменено пользователем
- Ошибки 0x8007054b, 0x800b010a, 0x8010006b, 0x80070490
- Ошибки 0x80090019 и 0x8007000
- Переустановка корневого сертификата
- Проблема 2. при нажатии на кнопку «запросить сертификат» возникают ошибки или не открывается программа криптопро.
- Проблема 3. не удается выполнить запрос на сертификат.
- Проблема 4. при создании запроса на сертификат в криптопро csp отсутствует биологический датчик случайных чисел и не удается сформировать контейнер закрытого ключа. вместо окна биологического датчика случайных чисел открылось окно:
- Проблема 5. ошибки при работе с полученным сертификатом: при подписании или при проверке подлинности сертификата.
- Проблема 6. если вы выпускали электронную подпись до 01.07.2021 и не удается войти в личный кабинет на сайте удостоверяющего центра ооо «программный центр». например, возникает следующая ошибка:
- Проблемы с mozilla thunderbird
- Проверьте ваши настройки smtp исходящей электронной почты
- Решение ошибки: отсутствие электронного сертификата в контейнере закрытого ключа
- Сбросьте пароль smtp
- Удалите пароль smtp
- Установка корневого сертификата
- Часто задаваемые вопросы
Убедитесь, что ваш почтовый сервер поддерживает минимальную версию tls
Thunderbird 78 ожидает более высоких стандартов безопасности для так называемого сетевого протокола шифрования TLS. Если ваш провайдер не поддерживает более новые версии протокола, отправка и получение сообщений может завершиться ошибкой. Вы можете временно опустить планку, чтобы проверить, является ли это причиной вашей проблемы (что, очевидно, снижает безопасность, поэтому это не рекомендуется). Более подробная информация и инструкции здесь:
Часто задаваемые вопросы Thunderbird 78 — После обновления до Thunderbird 78 я не могу получать или отсылать e-mail сообщения
Убедитесь, что исходящая почта не блокируется
Убедитесь, что исходящая почта не блокируется с помощью межсетевого экрана, антивирусного программного обеспечения или вашего поставщика услуг Интернета:
- Попытайтесь на короткое время отключить как антивирусное программное обеспечение, так и межсетевой экран, отправить тестовое письмо, а затем включить их и отправить ещё одно тестовое письмо.
- Многие интернет-провайдеры блокируют исходящую почту на порту 25. Возможно, вам придётся переключиться на другой порт (например, 587 или 465). Обратитесь в службу поддержки вашего провайдера, чтобы проверить, не блокируют ли они исходящий порт электронной почты.
Почему система маркировки честный знак не видит укэп
«Честный Знак» может не находить электронную подпись при регистрации и авторизации в личном кабинете участника оборота. В этом случае в окне входа появится сообщение: «Внимание! Усиленная квалифицированная подпись (УКЭП) не найдена или не настроено программное обеспечение для работы в системе».
Возникать такая ошибка может по нескольким причинам.
Что может послужить причиной такой ошибки
Всплывающее окно со злополучным сообщением об ошибке появляется на экранах пользователей в тех случаях, если система не смогла обнаружить соответствующий ключ на носителе. Такая ситуация происходит при следующих действиях пользователей:
В целях устранения ошибки обычно бывает достаточно произвести корректную ручную переустановку сертификата.
Проблема внезапно началась после обновления до thunderbird версии 78?
Если ваша существующая конфигурация внезапно перестала работать после обновления до Thunderbird 78, это может быть ваш антивирус или брандмауэр, блокирующий новую версию, или ваш провайдер электронной почты, использующий устаревшие протоколы безопасности TLS. Смотрите эти разделы ниже:
3.1. Сертификаты в программе Mozilla Thunderbird
Итак, файл PKCS#12 с клиентским сертификатом severtsev-rv_ deltahw.pl2 у нас имеется. Имеется также в наличии почтовая программа Mozilla Thunderbird, которую мы далее для краткости будем называть просто ТВ, последней на момент написания этих строк версии 12.0.
Первое, что сразу необходимо отметить, — хранилище сертификатов у Thunderbird свое. Собственное, ни с кем не разделяемое. Даже с лучшим другом и союзничком по захвату мира Mozilla Firefox. Поэтому все управление сертификатамм будет делаться исключительно внутри самой программы — больше его просто никак не сделать.
Итак, запускаем ТВ, переходим в Инструменты => Настройки => Дополнительные (Tools => Preferences => Advanced), рис. 4.1.
Рис. 4.1. Настройка сертификатов в Mozilla Thunderbird
Нажимаем Просмотр сертификатов (View certificates), затем нажимаем Импортировать (Import), в открывшемся стандартном диалоге выбираем файл сертификата — появляется запрос пароля. Здесь надо ввести тот самый пароль, который мы задавали при генерации сертификата (рис. 4.2).
Рис. 4.2. Запрос пароля при импорте сертификата в Mozilla Thunderbird
Вводим пароль, получаем сообщение о том, что наши ключи успешно восстановлены. Правда, если вы ошибетесь в пароле, ТВ почему-то сообщит о том, что операция завершилась неуспешно по неизвестной причине.
После установки PKCS#12 у нас должно прибавиться, как обычно, два сертификата — клиентский сертификат, который видно на закладке Ваши сертификаты (Personal certificates), и сертификат СА, который отображается на закладке Центры сертификации (Trusted root certificates).
Переходим на закладку Центры сертификации (Trusted root certificates), выбираем сертификат нашего СА и нажимаем кнопку Изменить доверие (Modify trust), рис. 4.3.
Вот теперь настройка сертификатов закончена, можно переходить к созданию учетных записей в программе ТВ.
Правда, я бы не назвал способ добавления, который используется в ТВ, удобным. Выбираем Инструменты => Параметры учетной записи (Tools => Account settings), внизу нужно нажать на малозаметную кнопочку Действия для учетной записи (Account actions).
Впрочем, пока нет ни одной учетной записи, можно нажать ссылку в основном окне программы Создать учетную запись (Create account). Независимо от того, как вы начинаете создавать учетную запись, вызывается какой-то дурацкий мастер — явная попытка сделать
Рис. 4.3. Изменение доверия к сертификату СА
Рис. 4.4. Добавление учетной записи электронной почты что-то, похожее на мастера создания учетных записей в MS Outlook. В нем нужно указать только Ваше имя (Your name), адрес электронной почты (e-mail address) и пароль (password). Ничтоже сумняше- ся, программа предполагает, что в сети, где она работает, существует только один почтовый сервер и на нем существует учетная запись с именем, равным адресу (рис. 4.5).
Рис. 4.5. Начало создания учетной записи в Mozilla Thunderbird
Ну что ж, указываем имя, адрес и пароль учетной записи, нажимаем Продолжить (Next) и тут же — Настройка вручную (Manual setup). Вот почему бы не сделать эту кнопку доступной с первого диалога? И вот здесь уже указываем имена серверов для входящей и исходящей почты, а также имя учетной записи, которое вполне может и отличаться. Параметры серверов оставляем в Авто (Auto).
Нажимаем кнопку Перетестировать (Test again). Параметр Аутентификация (Authentification) изменяем с Зашифрованный пароль (Encrypted password) на Обычный пароль (Simple password) — здесь под «зашифрованным паролем» имеется в виду digest-md5, а с ним почему-то не работает. И вот только теперь можно нажать кнопку Создать учетную запись (Create account), рис. 4.6.
Рис. 4.6. Создание учетной записи в Mozilla Thunderbird
Уф. Я, конечно, понимаю, что разработчики старались минимизировать действия пользователя, но мне почему-то кажется, что раньше, когда этот непонятный мастер не появлялся, было лучше.
И, кстати сказать, это еще не все. Еще нужно зайти в Инструменты => Параметры учетной записи (Tools => Account Settings), выбрать пункт Защита (Security) и в поле Цифровая подпись (Digital signature) выбрать личный сертификат. Для этого нажать Выбрать (Select) — появится окно со списком сертификатов, будет показан первый.
Список можно раскрыть, в нем отображаются все доступные в данный момент действующие личные сертификаты, поле emailAddress которых равно адресу электронной почты, указанному в настройках. Просроченные сертификаты в этом списке не показываются (рис. 4.7).
Все. Если теперь параллельно с приемом-отправкой запустить wireshark, можно будет увидеть, что команда STARTTLS выполняется и при работе по IMAP, и при отправке по SMTP — сниффите на здоровье!
На всякий случай приведем настройки, которые были установлены в клиенте:
- ? IMAP — порт 143, защита соединения STARTTLS, метод аутентификации — обычный пароль;
- ? SMTP — порт 587, защита соединения STARTTLS, метод аутентификации — обычный пароль.
Из не имеющих отношения к безопасности недостатков стоит отметить тот факт, что ТВ ограниченно можно настроить на использо-
Рис. 4.7. Выбор личного сертификата в Mozilla Thunderbird
ванне AD в качестве LDAP-сервера для адресной книги — адреса из нее подставляются при поиске, но загрузить ее для автономного использования невозможно — постоянно выдается сообщение Ошибка репликации (Replication error).
Что ж, обычных пользователей настроили (все прочие настраиваются одинаково) — идем настраивать тех, кто «равнее других».
источник
Mozilla thunderbird
Чтобы получать почту с помощью Mozilla Thunderbird, необходимо предварительно в настройках вашего почтового ящика включить работу протокола POP3 или IMAP.
Thunderbird not trusting certificate signed with self-signed authority
I have generated a self-signed certificate authority using mydomain.org as the common name.
I imported the public certificate using Thunderbird’s certificate manager under the «Authorities» tab. So far so good.
Next, using this CA, I have generated (and signed) a certificate for mail.mydomain.org, but even though I imported the CA, I keep getting the «Add Security Exception» popup with the message «Unknown Identity» when I’m trying to connect for the first time. Here’s a screenshot that illustrates the situation:
Note: Both the CA and the mail certificate are signed using «SHA-1 With RSA Encryption».
Note 2: I understand that I should get a certificate from a trusted authority, this is a temporary solution.
So my questions are:
1) Is this behavior normal?
2) How do I «convince» Thunderbird that all certificates signed by my CA are trusted?
UPDATE
% openssl s_client -connect mail.mydomain.org:993
CONNECTED(00000003)
depth=1 <snip> CN = mydomain.org, <snip>
verify error:num=19:self signed certificate in certificate chain
verify return:0
---
Certificate chain
0 s:/<snip>/CN=mail.mydomain.org/<snip>
i:/<snip>/CN=mydomain.org/<snip>
1 s:/<snip>/CN=mydomain.org/<snip>
i:/<snip>/CN=mydomain.org/<snip>
---
Server certificate
-----BEGIN CERTIFICATE-----
<BASE64>
-----END CERTIFICATE-----
subject=/<snip>/CN=mail.mydomain.org/<snip>
issuer=/<snip>/CN=mydomain.org/<snip>
---
No client certificate CA names sent
---
SSL handshake has read 2807 bytes and written 567 bytes
---
New, TLSv1/SSLv3, Cipher is AES256-SHA
<long apparently irrelevant output snipped>
Verify return code: 19 (self signed certificate in certificate chain)
---
* OK [CAPABILITY IMAP4rev1 UIDPLUS CHILDREN NAMESPACE THREAD=ORDEREDSUBJECT THREAD=REFERENCES SORT QUOTA IDLE AUTH=PLAIN ACL ACL2=UNION] Courier-IMAP ready. Copyright 1998-2021 Double Precision, Inc. See COPYING for distribution information.
В чём разница
Носители различают по следующим критериям: производитель, внешний вид, аппаратная криптография, объём защищённой памяти, цена, дополнительные опции, поддержка тех или иных операционных систем и необходимое программное обеспечение для работы.
Токены могут различаться также и по максимальному количеству электронных подписей, которые можно на них установить. Например, если размер носителя 64 Кб, то на него можно установить до 8 электронных подписей.
Объём защищённой памяти варьируется от 32 до 128 Kb, в зависимости от производителя. Некоторые модели могут содержать дополнительную flash-память для автоматического запуска необходимого программного обеспечения. Большинство токенов поддерживает множество версий Windows, а также Mac OS X и GNU/Linux.
Несмотря на все отличия, носители служат одной цели. Мы рекомендуем при выборе токена обращать внимание на то, подходит лишь ваша операционная система или нет для работы с данным носителем. При необходимости можно покупать карту с дополнительными опциями.
Если этот список не помогает
Пожалуйста создайте новый запрос в поддержку со скриншотом ваших настроек SMTP со скрытым идентификатором пользователя, содержащий следующую информацию: ваш почтовый оператор (например, Gmail), интернет-провайдер (например, Comcast), версия межсетевого экрана (если таковой имеется), антивирусное программное обеспечение и версия (если таковое имеется), версия операционной системы (например Windows 7 или Mac OS X Mavericks)
Закрытый ключ не соответствует сертификату, привязать закрытый ключ к сертификату | такском
Привязать открытый ключ вашей электронной подписи к закрытому ключу поможет «КриптоПро». Для этого запустите программу, выберите раздел «Сервис» и нажмите на кнопку «Установить личный сертификат».
Теперь кликните на клавишу «Обзор», отметьте в предлагаемом перечне необходимый сертификат и нажмите «Далее». Поставьте галочку против команды «Найти контейнер автоматически» и еще раз нажмите «Далее».
Весь путь пройден успешно. Нужно только кликнуть «Готово».
Как избежать ошибок при работе с маркировкой
Чтобы работа с маркированным товаром была простой, используйте продуманную систему автоматизации маркировки GetMark. Полный набор функций для производителей, импортеров, оптовых компаний, поставщиков маркетплейсов и розницы позволит легко работать с маркировкой Честный ЗНАК.
Облачное решение GetMark упростит рабочий процесс:
- Работать можно на любом устройстве: компьютере, планшете или телефоне.
- Веб-сервис позволит обойтись без дополнительных скачиваний.
- Сервис автоматически взаимодействует с ГИС МТ «Честный ЗНАК».
- Простое управление товарными остатками.
SaaS-сервис GetMark совмещает в одном решении работу с маркировкой, учет товаров, ЭДО и автоматический обмен информацией с системой «Честный ЗНАК». В лицензию включено мобильное приложение со встроенным сканером кода DataMatrix и мобильной УКЭП. Команда технической поддержки на связи с 9 до 21 каждый рабочий день и готова проконсультировать по вопросам маркировки и работы с госсистемой.
Как работать с носителями
Мы говорили об этом раньше, но напомним — токен должен быть сертифицирован ФСТЭК России или ФСБ России. Только на такой носитель УЦ ФНС сможет установить электронную подпись и, соответственно, только с таким носителем сможет работать индивидуальный предприниматель, юридическое лицо или нотариус.
Порядок получения электронной подписи на токен выглядит следующим образом:
- Приобретаем сертифицированный носитель.
- Приходим в операционный зал налогового органа региона.
- Представляем документ, удостоверяющий личность, СНИЛС, токен и документацию к нему.
- Получаем электронную подпись.
Чтобы полноценно работать с установленной на токен электронной подписью, нужно выполнить ещё несколько действий. Главное — на компьютер нужно установить криптопровайдер «КриптоПро CSP», это требование налоговой. Остальное зависит от выбранного носителя: нужно будет установить драйвер для работы с токеном.
Порядок работы с носителями очень прост: в случае с Рутокеном, который является самым распространённым российским носителем, достаточно установить драйвер и воткнуть сам токен в гнездо USB. Настройка носителя осуществляется в специальной панели управления, которая устанавливается вместе с драйвером.
После выполненных действий электронную подпись можно будет использовать по назначению: подписывать электронные документы, работать с государственными порталами и участвовать в закупках.
Какие могут возникнуть ошибки
Во время работы с токеном могут возникать ошибки, которые может исправить либо сам пользователь, либо организация, выдавшая носитель. Рассмотрим основные ошибки, которые возникают при работе с Рутокеном.
Какие носители бывают
Все токены внешне напоминают флешку и выполняют её функции — выступают в качестве носителя. Однако, в отличие от обычной флешки, токены являются защищёнными носителями: на них устанавливается пароль и в них встроены криптографические алгоритмы.
Мы лишь вскользь упомянем о том, что хранить электронную подпись можно и на компьютере, но это небезопасно. В то же время, с 1 января 2022 года, получить подпись для юридических лиц, индивидуальных предпринимателей и нотариусов можно будет только в удостоверяющем центре ФНС. И получатель должен иметь при себе токен, на который и будет загружен ключ.
К носителям выставлены определённые требования: они должны быть сертифицированы и соответствовать формату USB Type-A. К этому типу можно отнести следующие токены:
- JaCarta LT, JaCarta ГОСТ, JaCarta-2 ГОСТ;
- Рутокен Lite, Рутокен ЭЦП 2.0, Рутокен S;
- ESMART Token, ESMART Token ГОСТ.
Вы можете приобрести в нашем магазине: JaCarta LT, Рутокен Lite, Рутокен ЭЦП 2.0.
Настройка по протоколу imap
Нажмите кнопку Продолжить .
Не вставлена флешка с эцп
Файлы электронной подписи хранятся на внешнем устройстве, если оно не подключено — подпись не работает. Проверьте, вставлен ли носитель с электронной подписью в USB-порт компьютера и насколько надежно соединение.
Не установлено скзи
СКЗИ — это специальная программа, которая формирует электронную подпись и отвечает за безопасное шифрование данных. Расшифровывается аббревиатура как средство криптографической защиты информации. Без этой программы работать с подписью не получится. Выберите и установите криптопровайдер с поддержкой алгоритмов шифрования ГОСТ 34.
Не установлены сертификаты
С помощью сертификата подтверждается подлинность электронной подписи и ее владелец. Установите на устройстве, с которого заходите в «Честный Знак», личный и корневые сертификаты.
Особенности версий криптопро
С января 2021 года квалифицированные сертификаты могут выпускаться только по ГОСТ 2021, выпуск по другому ГОСТу прекращен. Мы об этом писали ранее в статье. Важно помнить, что версии криптопро на ГОСТ 2021 работают только с версии 4.0 и выше.
Остальные ошибки при проверке подписи в системе честный знак
Рассмотрим остальные ошибки криптографической цифровой подписи под Честный ЗНАК. Каждая ошибка имеет номер Error number или ErrorCode, по которому ее можно идентифицировать и понять, что стало причиной.
Ошибка 0x80070057: параметр задан неверно
Вероятные причины такой ошибки:
- Всплывает ошибка при входе.
Сверьте данные сертификата и ЕГРЮЛ, скорее всего, один из параметров не совпадает, при сверке данных «Честный Знак» обнаруживает несоответствие и выдает ошибку. - Выдает ошибку при восстановлении доступа.
Если при выборе в поле «Тип операции» параметра «Добавление нового сертификата УКЭП руководителю» возникает ошибка, то такой сертификат уже зарегистрирован в системе МДЛП «Честный ЗНАК» с другим типом, например, «Пользователь». - Если на пользовательском компьютере установлено несколько СКЗИ.
Ошибка возникает из-за конфликта программ криптопровайдеров, например, КриптоПро и VIPNet. Для работы с электронной подписью оставьте на одном устройстве одного криптопровайдера. Если для работы с УКЭП нужны оба криптопровайдера, установите программы на разные устройства.
Если ошибка сохраняется, переустановите сертификаты электронной подписи и плагин КриптоПро ЭЦП Browser Plug-in.
Если описанные в нашей инструкции действия выполнены, но при входе в личный кабинет системы «Честный ЗНАК» по-прежнему возникают ошибки, обратитесь в техническую поддержку разработчика программы криптопровайдера:
На этом всё. Мы постарались привести привели самые распространенные ошибки, с которыми можно столкнуться, если «Честный ЗНАК» не может идентифицировать цифровую подпись УКЭП.
Ошибка 0x80090008: указан неправильный алгоритм
Обычно система выдает такой код ошибки при использовании устаревшей версии КриптоПро CSP. Проверьте актуальность версии криптопровайдера. Если версия старее КриптоПро CSP 4.0 — обновите программу.
Если текущая версия актуальна — переустановите плагин. При сохранении ошибки выполните переустановку сертификатов электронной подписи и плагина КриптоПро ЭЦП Browser Plug-in.
Ошибка 0x80090016: набор ключей не существует
С помощью системного администратора добавьте в браузере сайт личного кабинета «Честный ЗНАК» в надежные узлы, отключите блокировщики рекламы, отключите антивирус. Если после выполненных действий ошибка сохранится, переустановите сертификаты электронной подписи и плагин.
Ошибка 0x8010006e: действие было отменено пользователем
Такой номер ошибки система выдает, если во время входа в «Честный ЗНАК» отменили какое-то действие. Например, нажали «НЕТ» в окне предупреждения о безопасности или при вводе пароля. Войдите в систему заново, нажимая разрешить на всех этапах.
Ошибки 0x8007054b, 0x800b010a, 0x8010006b, 0x80070490
- 0x8007054B Указанный домен не существует или к нему невозможно подключиться;
- 0x800B010A Не удается построить цепочку сертификатов для доверенного корневого центра;
- 0x8010006B Нет доступа к карте. Введен неправильный PIN-код;
- 0x80070490 Подписание не удалось.
Чтобы устранить эти сбои, переустановите сертификаты электронной подписи и плагин для работы с ЭП в браузере — КриптоПро ЭЦП Browser Plug-in. После переустановки компонентов попробуйте заново войти в ГИС МТ.
Ошибки 0x80090019 и 0x8007000
- 0x80090019 Набор ключей не определен;
- 0x8007000. Не удается найти указанный файл.
Работу программы может блокировать установленный на компьютер антивирус — отключите его. Выключите в браузере блокировщики рекламы и другие расширения, мешающие работе программ. Если работаете под учетной записью с ограниченными правами — войдите под правами администратора. Если после указанных действий ошибка сохраняется, переустановите сертификаты ЭП и плагин.
Переустановка корневого сертификата
Откройте файл сертификата на компьютере. Перейдите на вкладку «Состав». В нижнем поле «Доступ к сведениям центра сертификации» найдите ссылку на скачивание корневого сертификата УЦ. Адрес ссылки начинается с «URL=» и заканчивается расширением .crt или .cer. Скопируйте адрес в строку браузера и загрузите файл корневого сертификата.
Откройте загруженный файл и нажмите «Установить сертификат» → «Далее». В появившемся окне «Мастер импорта сертификатов» отметьте пункт «Поместить все сертификаты в следующее хранилище» и укажите папку для сертификата с помощью кнопки «Обзор». Правильная папка для корневого сертификата — «Доверенные корневые центры сертификации». Подтвердите действие.
Проблема 2. при нажатии на кнопку «запросить сертификат» возникают ошибки или не открывается программа криптопро.
Решение:
Если у Вас установлена антивирусная программа «Avast» или «Антивирус Касперского», то данные программы достаточно временно отключить.
Проблема 3. не удается выполнить запрос на сертификат.
Решение: проверьте версию операционной системы (ОС).
Например, в программе «Подпись Про» нажмите кнопку 
О Программе» нажмите кнопку «О системе…»:
Проверьте версию операционной системы:
К сожалению на версии операционной системы отличной от Windows 10 невозможно выполнить запрос на сертификат из программы.
Для продолжения операции выпуска сертификата обратитесь в отдел технической поддержки по номеру 8 (800) 100-58-90.
Также Вы можете обновить свою операционную систему до Windows 10 или воспользоваться другим компьютером с уже установленной версией ОС.
Проблема 4. при создании запроса на сертификат в криптопро csp отсутствует биологический датчик случайных чисел и не удается сформировать контейнер закрытого ключа. вместо окна биологического датчика случайных чисел открылось окно:
Решение: добавить биологический датчик случайных чисел.
Для добавления биологического датчика ДСЧ запустите программу КриптоПро CSP от имени администратора. Перейдите на вкладку «Оборудование» и нажмите кнопку «Настроить ДСЧ»:
- Если в открывшемся окне отсутствует «Биологический ДСЧ», нажмите «Добавить»:
В открывшемся окне нажмите «Далее». В окне «Выбор ДСЧ» выберите «Биологический ДСЧ» и нажмите кнопку «Далее»:
Задайте имя добавляемого ДСЧ или оставьте по умолчанию, нажмите «Далее» и «Готово».
В окне «Управление датчиками случайных чисел» появится «Биологический ДСЧ».
- Если биологический датчик есть в списке, но находится не напервом месте, поднимите его с помощью стрелки вверх.
Проблема 5. ошибки при работе с полученным сертификатом: при подписании или при проверке подлинности сертификата.
Решение:
- Проверьте, действительна ли лицензия на программу КриптоПро CSP.
Запустите программу КриптоПро CSP и на вкладке «Общие» проверьте срок действия.
Если в поле «Срок действия» указано «Истекла», то необходимо приобрести лицензию на программу либо ввести лицензионный ключ при наличии такового.
- Установите корневые сертификаты УЦ:
1. Через модуль «Удостоверяющий центр» или через программу «Подпись Про». Для этого на ленте на вкладке «Главная» нажмите кнопку 
2. Вручную. Для этого:
Проблема 6. если вы выпускали электронную подпись до 01.07.2021 и не удается войти в личный кабинет на сайте удостоверяющего центра ооо «программный центр». например, возникает следующая ошибка:
Решение:
- Используйте браузер Internet Explorer версии 11. При работе в других версиях браузера могут возникать затруднения.
- Добавьте сайт УЦ в надежные сайты.
Проблемы с mozilla thunderbird
Это пошаговое руководство поможет вам решить проблемы, связанные с Яндекс.Почтой и почтовой программой.
Это пошаговое руководство поможет вам решить проблемы, связанные с Почтой в составе Коннекта и почтовой программой.
Какое сообщение вы получили?
Проверьте ваши настройки smtp исходящей электронной почты
- Поищите статью настройки почтового сервера SMTP на сайте почтового провайдера. Как правило, они находятся в разделе поддержки на его сайте; поиск «настройки почты» или «SMTP», как правило, их находит. Убедитесь, что ваши настройки Thunderbird соответствуют указанным настройкам.
Решение ошибки: отсутствие электронного сертификата в контейнере закрытого ключа
Для начала запускаем «КриптоПро» нажатием кнопки «Пуск». Затем выбираем «Настройку», в возникающем на мониторе окне заходим в опцию панели управления, далее «сервис – установить личный сертификат».
Далее, через кнопку «обзор» указываем путь, где сохранен открытый ключ – файл с расширением *.cert или *.crt
Жмём «Далее», в мастере установки сертификата мы увидим путь, который указывали до нашего сертификата.
Нам отображается информация, содержащаяся в открытом ключе на пользователя, жмём «далее»
В следующем окне можно воспользоваться двумя путями поиска нужного контейнера закрытого ключа:
В первом случае КриптоПро на основе данных из открытого ключа подберет закрытый, в случае с ручным поиском нужно будет знать название закрытого ключа, чтобы выбрать его для установки
Самый простой вариант выбрать автоматический поиск, затем после «обнаружения» необходимого контейнера, мы увидим заполненную строчку с его именем и после жмём «Далее»
Личный сертификат пользователя всегда устанавливается в хранилище «Личное», можно выбрать как вручную, так и КриптоПро может сделать это за вас по умолчанию, затем подтверждаем установку цепочки сертификатов и жмём «Далее»
В случае успешной установки КриптоПро выдаст окно с информацией об окончании процедуры и жмём «Готово»
Затем появится окно с подтверждением данной операции, жмём «ДА»
В следующем окне увидим информацию о том, что процесс окончен успешно. Сертификат установлен в контейнер закрытого ключа.
Сбросьте пароль smtp
Попробуйте изменить свой SMTP пароль. Это обычно делается с помощью формы «сброса пароля электронной почты» на веб-сайте поддержки вашего провайдера.
Удалите пароль smtp
Попробуйте удалить ваш пароль для SMTP. Однако не делайте этого в качестве первого шага, особенно если вы не можете отправить сообщения после обновления Thunderbird, если раньше могли это делать. В этом случае обчно ничего с сохранённым паролем для SMTP в Thunderbird не случается (читайте выше).
Установка корневого сертификата
Для установки нужен файл корневого сертификата с расширением .cer. Его можно на сайте удостоверяющего центра, в котором сертификат был получен или запросить в техподдержке.
Откройте сохраненный файл и нажмите «Установить сертификат». Дальше следуйте указаниям мастера установки сертификата. Важно правильно задать область хранения файла — хранилище «Промежуточные центры сертификации», чтобы корректно выстроилась цепочка доверия.
Часто задаваемые вопросы
Типичные ошибки Континент-АП при установке связи с сервером доступа
1. Ошибка «Client cert not found»
Для решения данной проблемы необходимо:
· Проверить, запущен ли процесс eapsigner161.exe;
· Если процесс не запущен, зайти в папку с установленной программой и запустить процесс вручную.
2. Ошибка «Неизвестная ошибка импорта сертификатов»
Для решения данной проблемы необходимо:
· удалить все сертификаты с истекшим сроком действия из хранилища «Личные» локального хранилища сертификатов системы (для этого можно воспользоваться оснасткой «mmc» (выбрав в меню Файл -> Добавить или удалить оснастку -> Сертификаты -> Добавить -> Готово -> Ок) или воспользоваться функционалом браузера Internet Explorer (выбрать в меню Сервис -> Свойства браузера -> Содержание -> Сертификаты));
· удалить из хранилища «Личные» локального хранилища сертификатов системы все сертификаты, которые в своем составе, в поле «Субъект», содержат следующие символы: , ; “ ” « ».
3. Ошибка «Не совпадает подпись открытого эфемерного ключа»
Для решения данной ошибки необходимо при установке личного сертификата выбирать правильный контейнер закрытых ключей. Для этого можете воспользоваться функционалом оснастки КриптоПРО CSP, используя функцию «установить личный сертификат» во вкладке «сервис», которая в своем составе имеет возможность, путем проставления галочки, автоматического поиска соответствия между контейнером закрытых ключей (значением закрытого ключа) и значением открытого ключа, содержащегося в сертификате пользователя.
4. Ошибка «Сервер отказал в доступе пользователю не найден корневой сертификат»
Для решения данной ошибки необходимо:
· проверить издателя сертификата, который используется для установления соединения (сертификат для Континент-АП имеет в качестве издателя Корневой сертификат сервера доступа «ЦС СД Интернет», «4800-sd-01.roskazna.ru» или «4800-sd-02roskazna.ru»);
· проверить наличие в хранилище «Доверенные корневые центры сертификации» локального хранилища сертификатов системы сертификата Корневой сертификат сервера доступа «ЦС СД Интернет», «4800-sd-01.roskazna.ru» или «4800-sd-02roskazna.ru», в случае его отсутствия необходимо заново произвести установку сертификата пользователя.
5. Ошибка «Сервер доступа отказал пользователю в подключении. Причина отказа: Неизвестный клиент»
Для решения данной ошибки необходимо проверить правильность, указанных в Континент-АП, адресов серверов доступа. В УФК по Московской области используются следующие адреса серверов доступа:
4800-sd-01.roskazna.ru или 4800-sd-02.roskazna.ru.
Если в процессе подключения к одному из серверов доступа возникает подобная ошибка, необходимо произвести подключение на другой сервер доступа. В случае, если описанное выше не помогает решить проблему, необходимо позвонить в Управление Федерального казначейства по Московской области (по месту получения сертификата, необходимые контактные данные опубликованы на сайте mo.roskazna.ru в разделе ГИС > Удостоверяющий центр > Континент АП > Контакты).
6. Если после установки Континент-АП произошла потеря интернет соединения необходимо в настройках сетевого адаптера, который используется для выхода в интернет, снять галочку в пункте «Continent 3 MSE Filter».
7. Ошибка «Сервер отказал в доступе пользователю. Причина отказа: многократный вход пользователя запрещен»
Для решения данной ошибки необходимо обратится в УФК по Московской области по месту получения сертификата, необходимые контактные данные опубликованы на сайте mo.roskazna.ru в разделе ГИС > Удостоверяющий центр > Континент АП > Контакты).
8. Ошибка 721 либо 628
· Проверить, работает ли подключение к интернету на АРМ.
· Отключить МСЭ, брандмауэр либо другое ПО которое может блокировать служебные порты/протоколы Континент-АП.
· Исключить проблему в канале провайдера, попробовать использовать другого, к примеру, через 3-g модем. Если с другим провайдером работает — нужно обратиться к своему с запросом на открытие служебных портовпротоколов.
Форум —
Desktop
thunderbird
0
1
Ошибка отправления сообщения.
К сертификату нет доверия, так как он является самоподписанным.
Конфигурация, относящаяся к smtp.ivrossi.su, должна быть исправлена.
Как то проблема совсем не гуглится, может кто знает как убрать? Сертификат в исключения добавлен.
- Ссылка
| ← |
Kubuntu, свежие кеды не приходят! Backports есть! |
|
Как в Arch установить Arcolinux Tweak Tool ? |
→ |
Добавить сертификат этого самозванного центра сертификации в качестве корневого. Это если очень нужен именно самоподписанный сертификат, что само по себе сомнительно. По хорошему нужен нормальный сертификат.
altwazar ★★★
(18.10.20 16:27:33 MSK)
- Показать ответ
- Ссылка
Тебе надо что то типа –no-check-certificate используется для wget , но думаю что он может быть задействован там где нужно обойти
anonymous
(18.10.20 16:34:37 MSK)
- Ссылка
Ответ на:
комментарий
от altwazar 18.10.20 16:27:33 MSK
просто отключил шифрование при подключении к SMTP, для важных сообщений есть VipNet Деловая почта
☆
(18.10.20 17:32:46 MSK)
Последнее исправление: Shulman 18.10.20 17:35:18 MSK
(всего
исправлений: 1)
- Ссылка
Вопрос не совсем по теме: в последней версии они Календарь что ли гвоздями прибили? Совсем охренела Mozilla 
Gonzo ★★★★★
(22.10.20 11:34:08 MSK)
- Ссылка
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
| ← |
Kubuntu, свежие кеды не приходят! Backports есть! |
Desktop
|
Как в Arch установить Arcolinux Tweak Tool ? |
→ |
Похожие темы
-
Новости
LibreSSL 2.5.2 (2017) -
Форум
mod_ssl и сертификат (2002) -
Форум
Сертификат на IP-адрес (2023) -
Новости
Новый плагин усиливает безопасность Firefox (2008) -
Новости
Релиз DeaDBeeF 1.8.0 (2019)
-
Форум
exim4 веста не оптправляются письма (2021) -
Форум
Подпись клиентских сертификатов купленным сертификатом (2013) -
Форум
Вышел PHP 5.3.1 (2009) -
Новости
Релиз SteamOS update 96 (2014) -
Новости
Wing IDE 7.0 (2019)
After upgrading to Thunderbird 102 (from whatever the previous version on the Ubuntu 20.04 repos was), I can no longer connect to the CalDAV server I run. Thunderbird refuses the certificate, claiming it belongs to a different site.
The FQDN by which I connect to the server matches the common name of the certificate, and the certificate has not expired – I have verified both these things.
The certificate was issued by a private CA, whose certificate I added to the store long before the upgrade. I was able to connect to the server before the upgrade.
Even defining a security exception does not work: every time I refresh, I get the same certificate error.
My smartphone has no problems connecting to the same server with DAVx⁵.
If I try to connect to the server with Firefox 105.0, I get a similar error (SSL_ERROR_BAD_CERT_DOMAIN) but can connect after adding a security exception. (Since Firefox shares some code with Thunderbird, they might also share certain bugs or unexpected behavior.)
The certificate does not specify any purposes for key usage – I have seen some other applications have started rejecting certificates because of this, so I am wondering if this could be the issue (in which case the error message would be misleading).
Any ideas?
У меня был подобный опыт, когда диалоговое окно «Добавить исключение безопасности» не исчезало (потому что я подключался к серверу IMAP через туннель SSH).
Раньше я решал эту проблему, нажимая «Получить сертификат», а затем «Подтвердить исключение безопасности», но на этот раз проблема не исчезла (возможно, из-за обновления).
В итоге я перешел в «Настройки» -> «Конфиденциальность и безопасность» -> «Сертификаты» -> «Управление сертификатами» -> «Серверы» и удалил там старые записи. Впоследствии «Добавить исключение безопасности» снова всплыло, когда я снова попытался «получить сообщения», но на этот раз полностью исчезло после очередного цикла «Получить сертификат» / «Подтвердить исключение безопасности».
Итак, в моем случае кажется, что устаревшие записи на вкладке «Диспетчер сертификатов» / «Серверы» были причиной проблемы.
(Если бы это не сработало, окончательным решением было бы вручную изменить исходный код TB на персональном компьютере, чтобы обойти этот проблемный диалог и перекомпилировать, но, к сожалению, с доступными в настоящее время дистрибутивами Linux это может быть очень сложным процессом.)
Dear support,
I experience a very strange problem that I don’t quite understand.
I run an ISP server serving HTTPS and IMAP with TLS/SSL encryption. Both services use the same SSL certificate issued by GeoTrust/RapidSSL for server edward.ennabe.de
When I open a https connection to the server, Firefox correctly resolves the certificate chain and uses the Equifax root CA (which is correct).
However, when I try to connect to a mailbox via Thunderbird, all I get in the Certificate Hierarchy is my server edward.ennabe.de. I don’t think that this is «works as designed», or is it?
Is something wrong with my Thunderbird or my Dovecot configuration? What really strange is that firefox recognizes it properly.
Thank you in advance
Kind Regards
ZeroEnna
Dear support,
I experience a very strange problem that I don’t quite understand.
I run an ISP server serving HTTPS and IMAP with TLS/SSL encryption. Both services use the same SSL certificate issued by GeoTrust/RapidSSL for server edward.ennabe.de
When I open a https connection to the server, Firefox correctly resolves the certificate chain and uses the Equifax root CA (which is correct).
However, when I try to connect to a mailbox via Thunderbird, all I get in the Certificate Hierarchy is my server edward.ennabe.de. I don’t think that this is «works as designed», or is it?
Is something wrong with my Thunderbird or my Dovecot configuration? What really strange is that firefox recognizes it properly.
Thank you in advance
Kind Regards
ZeroEnna
Выбранное решение
In Thunderbird click the ‘Details’ tab in the Certificate Viewer window.
Do you see all CA certificates listed in the ‘Certificate Hierarchy’ field also installed in your Thunderbird certificate store?
When checking that look for the ‘Authorities’ tab.
If there are any certs listed in the chain missing in the Thunderbird certificate store (for whatever reason), you can try to export them in Firefox, and import them into Thunderbird.
Прочитайте этот ответ в контексте
👍 0
Статья обновлена: 02 июня 2020
ID: 14396
Статья относится к:
- Kaspersky Anti-Virus;
- Kaspersky Internet Security;
- Kaspersky Total Security;
- Kaspersky Security Cloud;
- Kaspersky Small Office Security;
- Kaspersky Free.
Если при открытии браузера Mozilla Firefox или Thunderbird появилось уведомление, что защищенный трафик для вашего профиля в браузере не контролируется, SSL-сертификат «Лаборатории Касперского» не был установлен в хранилище браузера.
Причиной может быть:
- Мастер-пароль. Он служит для безопасного хранения паролей на различных сайтах и защищает доступ к вашим сертификатам.
- Более одного профиля в браузере.
- Отключенный формат коротких имен 8dot3name.
- Ошибка установки сертификата.
Как установить сертификат для браузера с мастер-паролем
Как устранить ошибку, возникающую из-за нескольких профилей браузера
Как устранить ошибку, связанную с отключенным форматом коротких имен 8dot3name
Как переустановить сертификат для браузера
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Полезная информация
Пользователи не любят читать документацию. Станьте оригинальным, будьте не как все. Ознакомьтесь с нашей базой знаний.
№106-06-2022 10:03:21
- DS arena
- Участник
- Группа: Members
- Зарегистрирован: 06-06-2022
- Сообщений: 3
- UA:
102.0
Неустранимая ошибка TLC
Добрый день. В почтовом клиенте thunderbird не работает почта. При загрузке сообщений выдает ошибку:
Неустранимая ошибка TLC. Произошла ошибка рукопожатия или, возможно версия TLC или сертификат, используемый сервером imap.yandex.com несовместимы.
Почта на домене яндекса. Входящие и исходящие сервера яндекса. Защита ssltlc. метод аутентификации обычный пароль. Не работает только в клиенте thunderbird. В outlook или через браузер все открывается и работает. thunderbird обновлен до последней версии. В парке 30 машин и все работало, но сейчас уже у 3 перестало работать. На пк windows 10 домашняя лицензия с актуальными обновлениями. переустановка thunderbird не помогла. Изменение параметров security.tls.version.min и security.ssl.enable_ocsp_must_staple = false не дало результатов. Подскажите куда копать?
Добавлено 06-06-2022 10:04:35
Почта imap
Отредактировано DS arena (06-06-2022 10:04:35)
Отсутствует
№206-06-2022 14:08:20
- shadow_user
- Участник
- Группа: Members
- Зарегистрирован: 14-02-2007
- Сообщений: 244
- UA: 101.0
Re: Неустранимая ошибка TLC
DS arena пишет
метод аутентификации обычный пароль.
нужно сменить на OAuth-аутентификацию https://yandex.ru/support/mail/mail-cli … rbird.html , я так думаю.
Отредактировано shadow_user (06-06-2022 14:08:48)
Отсутствует
№306-06-2022 15:32:34
- DS arena
- Участник
- Группа: Members
- Зарегистрирован: 06-06-2022
- Сообщений: 3
- UA: 102.0
Re: Неустранимая ошибка TLC
Пробовал. Способ авторизации по IMAP стоит галочка OAuth токен и портальный пароль. Ошибка сохраняется. Проблема в том, что я захожу на проблемную почту с другого пк через thunderbird и все запускается. Значит дело не в почте а в самом почтовом клиенте, на конкретной машине. Возможно где то политики не работают или в реестре что то, но что конкретно искать?
Отредактировано DS arena (06-06-2022 15:33:20)
Отсутствует
№406-06-2022 16:54:02
- shadow_user
- Участник
- Группа: Members
- Зарегистрирован: 14-02-2007
- Сообщений: 244
- UA: 101.0
Re: Неустранимая ошибка TLC
DS arena пишет
Значит дело не в почте а в самом почтовом клиенте, на конкретной машине. Возможно где то политики не работают или в реестре что то, но что конкретно искать?
Средствами Thunderbird создайте новый профиль, в нем настраивайте проблемный почтовый аккаунт, это все равно, что чистая установка TB. При достижении положительного результата прежний аккаунт удалите. Т.к. у вас IMAP, письма не пострадают. Создание нового профиля обычно решает все проблемы.
Отсутствует
№507-06-2022 13:06:48
- DS arena
- Участник
- Группа: Members
- Зарегистрирован: 06-06-2022
- Сообщений: 3
- UA: 102.0
Re: Неустранимая ошибка TLC
shadow_user пишет
DS arena пишет
Значит дело не в почте а в самом почтовом клиенте, на конкретной машине. Возможно где то политики не работают или в реестре что то, но что конкретно искать?
Средствами Thunderbird создайте новый профиль, в нем настраивайте проблемный почтовый аккаунт, это все равно, что чистая установка TB. При достижении положительного результата прежний аккаунт удалите. Т.к. у вас IMAP, письма не пострадают. Создание нового профиля обычно решает все проблемы.
Такой же профиль по верх старого он мне сделать не дал, но кажется проблему я решил. Удалил профиль почты, удалил Thunderbird через Revo Uninstaller. Установил, подключил почту и все заработало. Пока буду наблюдать.
Добавлено 07-06-2022 13:08:16
DS arena пишет
shadow_user пишет
DS arena пишет
Значит дело не в почте а в самом почтовом клиенте, на конкретной машине. Возможно где то политики не работают или в реестре что то, но что конкретно искать?
Средствами Thunderbird создайте новый профиль, в нем настраивайте проблемный почтовый аккаунт, это все равно, что чистая установка TB. При достижении положительного результата прежний аккаунт удалите. Т.к. у вас IMAP, письма не пострадают. Создание нового профиля обычно решает все проблемы.
Такой же профиль по верх старого он мне сделать не дал, но кажется проблему я решил. Удалил профиль почты, удалил Thunderbird через Revo Uninstaller. Установил, подключил почту и все заработало. Пока буду наблюдать.
Хотя до этого удалял стандартными средствами windows и не помогало.
Отредактировано DS arena (07-06-2022 13:08:16)
Отсутствует
№607-06-2022 14:59:04
- shadow_user
- Участник
- Группа: Members
- Зарегистрирован: 14-02-2007
- Сообщений: 244
- UA: 101.0
Re: Неустранимая ошибка TLC
DS arena пишет
Такой же профиль по верх старого он мне сделать не дал, но кажется проблему я решил.
Он создается не поверх старого, а рядом со старым? или из интерфейса Thunderbird, или его запуском с определенными ключами. Новый профиль равнозначен новой установке Thunderbird. Но это уже не важно, главное, что проблема решена.
Отсутствует
№714-06-2022 13:39:16
- fartigo
- Участник
- Группа: Members
- Зарегистрирован: 14-06-2022
- Сообщений: 1
- UA: 100.0
Re: Неустранимая ошибка TLC
Я решил данную проблему настроив антивирус.
ESET: Дополнительные настройки — Интернет и электронная почта:
— Фильтрация протоколов — Исключённые приложения — (добавить Thunderbird).
— SSL/TLS — Блокировать шифрованные подключения SSL версии 2 — (выключить)
Отсутствует
№814-06-2022 16:19:16
- shadow_user
- Участник
- Группа: Members
- Зарегистрирован: 14-02-2007
- Сообщений: 244
- UA: 101.0
Re: Неустранимая ошибка TLC
fartigo пишет
— Фильтрация протоколов — Исключённые приложения — (добавить Thunderbird).
Так вроде сомнительное решение, что будет, если письмо будет со зловредом? Типа такого будет?
скрытый текст
Отредактировано shadow_user (15-06-2022 08:05:14)
Отсутствует
Статья обновлена: 02 июня 2020
ID: 14396
Статья относится к:
- Kaspersky Anti-Virus;
- Kaspersky Internet Security;
- Kaspersky Total Security;
- Kaspersky Security Cloud;
- Kaspersky Small Office Security;
- Kaspersky Free.
Если при открытии браузера Mozilla Firefox или Thunderbird появилось уведомление, что защищенный трафик для вашего профиля в браузере не контролируется, SSL-сертификат «Лаборатории Касперского» не был установлен в хранилище браузера.
Причиной может быть:
- Мастер-пароль. Он служит для безопасного хранения паролей на различных сайтах и защищает доступ к вашим сертификатам.
- Более одного профиля в браузере.
- Отключенный формат коротких имен 8dot3name.
- Ошибка установки сертификата.
Как установить сертификат для браузера с мастер-паролем
Как устранить ошибку, возникающую из-за нескольких профилей браузера
Как устранить ошибку, связанную с отключенным форматом коротких имен 8dot3name
Как переустановить сертификат для браузера
- Печать
Страницы: [1] Вниз
Тема: Dovecot. Thunderbird(imap). Ошибка авторизации(TLS) при создании ящика. [SOLVED] (Прочитано 7707 раз)
0 Пользователей и 1 Гость просматривают эту тему.
Brunen
« Последнее редактирование: 18 Апреля 2011, 14:06:36 от Brunen »
podkovyrsty
Вы сами то читали то, что пишете?
Проблемный птиц:
2011-04-16 10:26:15 imap-login: Info: Aborted login (no auth attempts): rip=192.168.172.21, lip=192.168.172.100, secured
Беспроблемные птицы:
2011-04-16 10:38:40 imap-login: Info: Login: user=<company-1>, method=PLAIN, rip=192.168.172.250, lip=192.168.172.100, TLS
imap-login: Info: Login: user=<company-3>, method=PLAIN, rip=192.168.172.21, lip=192.168.172.100, secured
auth default {
mechanisms = plain
passdb pam {
}
userdb passwd {
}
user = root
!include_try /etc/dovecot/auth.d/*.auth
}
Вы аутентификацию в первом Птице настраивали?
Шаг за шагом можно достичь цели.
Brunen
Вы аутентификацию в первом Птице настраивали?
Запускаю на машине Thunderbird впервые — спрашивает про имя/ящик/пароль. Вписываю их, птица определяет imap/smtp-сервер правильно. Жму «Продолжить» -> ошибка в логине/пароле.
Т.е. на других машинах ранее настраивал тундербирд именно таким же образом.
podkovyrsty
Вы аутентификацию в первом Птице настраивали?
Запускаю на машине Thunderbird впервые — спрашивает про имя/ящик/пароль. Вписываю их, птица определяет imap/smtp-сервер правильно. Жму «Продолжить» -> ошибка в логине/пароле.
Т.е. на других машинах ранее настраивал тундербирд именно таким же образом.
А тип шифрования и порты такие же?
Тип аутентификации PLAIN ?
Шаг за шагом можно достичь цели.
Brunen
Вы аутентификацию в первом Птице настраивали?
Запускаю на машине Thunderbird впервые — спрашивает про имя/ящик/пароль. Вписываю их, птица определяет imap/smtp-сервер правильно. Жму «Продолжить» -> ошибка в логине/пароле.
Т.е. на других машинах ранее настраивал тундербирд именно таким же образом.
А тип шифрования и порты такие же?
Тип аутентификации PLAIN ?
Да.
Метод аутентификации: Обычный пароль
Защита соединения: STARTTLS
imap: 143
smtp: 25
Пользователь решил продолжить мысль 16 Апреля 2011, 13:02:48:
2011-04-16 15:54:08 imap-login: Info: Aborted login (no auth attempts): rip=192.168.172.42, lip=192.168.172.100
2011-04-16 15:54:08 imap-login: Info: Aborted login (no auth attempts): rip=192.168.172.42, lip=192.168.172.100
2011-04-16 15:54:09 auth(default): Info: new auth connection: pid=3492
« Последнее редактирование: 16 Апреля 2011, 13:02:48 от Brunen »
podkovyrsty
Ну если настройки такие-же как и на других машинах — включайте более глубокий режим дебага в IMAP-сервере и смотрите лог подключения — в каком моменте что-то идет не так.
Шаг за шагом можно достичь цели.
Brunen
Может, как-то можно отключить у dovecot’a проверку на наличие сертификата у клиента-птицы?
Опции в dovecot.conf:
disable_plaintext_auth = noвыставлял, перезапускал довекот, но результат по логам такой же.
ssl = no
Сейчас в dovecot.conf выставил:
mail_debug = yes
auth_debug = yes
auth_verbose = yes
auth_debug_passwords = yes
Красным выделена часть после запуска птицы и попытке добавить существующий ящик. Остальное — запуск птицы, где проблем с аутентификацией нет:
« Последнее редактирование: 16 Апреля 2011, 14:52:23 от Brunen »
podkovyrsty
Logging verbosity
There are several settings that control logging verbosity. By default they’re all disabled, but they may be useful for debugging.
auth_verbose=yes enables logging all failed authentication attempts.
auth_debug=yes enables all authentication debug logging (also enables auth_verbose). Passwords are logged as <hidden>.
auth_debug_passwords=yes does everything that auth_debug=yes does, but it also removes password hiding.
mail_debug=yes enables all kinds of mail related debug logging, such as showing where Dovecot is looking for mails.
verbose_ssl=yes enables logging SSL errors and warnings. Even without this setting if connection is closed because of an SSL error, the error is logged as the disconnection reason (v1.1+).
Шаг за шагом можно достичь цели.
Brunen
Logging verbosity
There are several settings that control logging verbosity. By default they’re all disabled, but they may be useful for debugging.
auth_verbose=yes enables logging all failed authentication attempts.
auth_debug=yes enables all authentication debug logging (also enables auth_verbose). Passwords are logged as <hidden>.
auth_debug_passwords=yes does everything that auth_debug=yes does, but it also removes password hiding.
mail_debug=yes enables all kinds of mail related debug logging, such as showing where Dovecot is looking for mails.
verbose_ssl=yes enables logging SSL errors and warnings. Even without this setting if connection is closed because of an SSL error, the error is logged as the disconnection reason (v1.1+).
Простите, в конфиге не заметил опцию логирования ssl. Вот сам dovecot.conf:
Далее, сам лог:
podkovyrsty
Едрить.
Похоже птиц действительно не делает Attempt чтобы login.
Может запустите птицу через консоль — она туда руганется при попытке коннекта?
Шаг за шагом можно достичь цели.
Brunen
Едрить.
Похоже птиц действительно не делает Attempt чтобы login.Может запустите птицу через консоль — она туда руганется при попытке коннекта?
Пока проблематично запустить — убунтовские клиенты в удалённом офисе выключены, только сам сервер и пара клиентов…виндовых 
Upd.
Обнаружил ещё такое:
В рабочей птице среди сертификатов(Инструменты-Настройки-Дополнительные-Сертификаты-Серверы) фигурирует пара записей моего сервера:
earth.srv:143
earth.srv:25
Удаляю их, заново захожу в птицу — и тут же она мне предлагает эти сертификаты недовернные установить. Устанавливаю — и всё пучком, аутентификация проходит.
В нерабочей же никаких требований не возникает.
AnrDaemon
Тогда сверяйте параметры безопасности.
А вообще это баг NN/Thunderbird, что они не используют системную службу сертификации.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.
Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…
Brunen
Тогда сверяйте параметры безопасности.
А вообще это баг NN/Thunderbird, что они не используют системную службу сертификации.
Тут ситуация такая — все машины в домене(AD_Win2003Server), так что на виндовых(WinXPSP3) клиентах политики одинаковые, как и параметры безопасности. Так что тем более странно наблюдать такую картину с невозможностью аутетификации.
AnrDaemon
Если бы речь шла про Outlook и IE, я бы поверил. Но вы сами сказали, что у вас сторонние программы, которые никаким образом в доменную политику не смотрят вообще.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.
Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…
Brunen
Если бы речь шла про Outlook и IE, я бы поверил. Но вы сами сказали, что у вас сторонние программы, которые никаким образом в доменную политику не смотрят вообще.
Если Вы про параметры безопасности Thunderbird, то везде стоят одинаковые настройки:
https://forum.ubuntu.ru/index.php?topic=147892.msg1087376#msg1087376
Пользователь решил продолжить мысль 16 Апреля 2011, 21:25:24:
Кажется, разобрался: в настройках птицы стояла опция в разделе прокси — «Использовать системные настройки прокси». Поставил «Без прокси».
По крайней мере на виндовых машинах учётки сразу же завелись и по логам довекота аутентификация прошла.
Пользователь решил продолжить мысль 18 Апреля 2011, 14:04:22:
Да, так и есть. В настройках Mozilla Thunderbird стояла галка об использовании прокси. Теперь ящики создаются, почта летает….лепота!!!
Спасибо всем учавствовавшим в дискуссии!
« Последнее редактирование: 20 Апреля 2011, 07:39:25 от Brunen »
- Печать
Страницы: [1] Вверх
If you’ve encountered an error messaging saying “TSL Handshake Failed,” and you’re confused about what to do, you’re not alone. TLS handshake failed is a common error. While it can be a frustrating experience, there are ways to troubleshoot TLS handshake issues and solve them.
In this post, you’ll learn what the TLS Handshake Failed error is and why it occurs. Then you’ll learn how to troubleshoot TLS handshake issues.
Let’s get started!
Understanding TLS/SSL
You need to make your website secure so as to establish secure connections between two servers. To do this, you’ll need to install a Secure Sockets Layer (SSL) certificate — SSL encryption and security protocol — on your site. This will enable your site to use HTTPS to ensure secure connections.
Unfortunately, sometimes things don’t go as planned, and you may encounter a problem when making a connection between your site’s server and a visitor’s browser. The problem can occur as a ‘TLS Handshake Failed’ error or any other issue.
Transport Layer Security (TLS) and Secure Sockets Layer (SSL) are security protocols that provide website encryption and identification. They are used to authenticate data transfers between servers, applications, systems such as browsers, and users.
Simply put, you need TLS/SSL certificates to secure your website using HTTPS.
Understanding TLS/SSL handshake
A TLS handshake is a form of communication and agreement between two servers — your sites’ host and the client’s server. It is the first step in the process of establishing a clear HTTPS connection.
To authenticate and establish a connection, your site’s server and the client’s browser must shake hands, i.e., go through a series of checks (the handshake). This establishes the HTTPS connection parameters.
What does this mean?
The client (usually a browser) typically sends a request to establish a secure connection to the site’s server. The server then sends a public key (protocol) to your device and ensures to check that key against a pre-prepared list of protocols/certificates. The device then generates a key and uses the server’s key to encrypt it.
If this back and forth communication doesn’t yield a positive result, i.e., if the SSL handshake fails between the server and the client, HTTPS won’t generate a secure connection, which will result in a TLS/SSL handshake failure. This error can show in two forms;
- HTTP/1.1 503 Service Unavailable
- Received fatal alert: handshake_failure (Error 525)
Note: You’ll see these error messages following an API call where a TLS handshake failure occurs.
What causes TLS handshake issues
Generally, Error 525 or Error 503 usually means that there’s been a failed TLS handshake. Some of the causes of the failure can include;
On the server-side, the error causes include;
- Protocol mismatch: The server doesn’t support the protocol that the client used.
- Incorrect certificate: The hostname of the client’s URL does not match the hostname in the certificate stored at the server end, or the certificate is incomplete or invalid, or the certificate is incorrect or expired
- Cipher suite mismatch: The server does not support the cipher suite that the client used.
- SNI enabled server: when the back end SNI (Server Name Identification) is enabled, but the client-server cannot communicate with the SNI servers.
On the client’s side, the causes can include;
- If the connection is being intercepted by a third party.
- If the client’s device has a wrong date or time.
- If the client is experiencing an error with the browser configuration.
How to troubleshoot TLS handshake issues
There are several potential causes of the “TLS Handshake issues.” You can use the following solutions to troubleshoot these issues;
Method #1: Update your system’s date and time
A wrong date or time setting is one of the key causes of TLS handshake issues. Because the system time helps to test whether the certificate is valid or expired, a mismatch between your device’s time or date and that of the server can make the certificates look expired.
Fix the time and date by setting it to automatic, then visit the site again and see if the TLS handshake issue has been fixed.
Method #2: Fix your Browser’s configuration to match the Latest TLS Protocol Support
Your browser is the ‘man in the middle’, and it can affect how your device communicates with the server. Any browser misconfiguration can cause TLS issues.
To check if your browser is the problem, try to use another browser to access the site and see if you are encountering the same problem. If the problem is occurring in all sites, then it’s a system problem.
Perhaps there is a browser extension or security software on your device that is intercepting the TLS connections and causing the problematic TLS handshake. In a number of cases, a virus or malware on the system was involved.
To fix this issue:
- You may need to disable the security software or browser extensions on your device, or,
- Reset your browser.
Method #3: Check and Change TLS Protocols [in Windows]
Browser related problems can also be caused by protocol mismatch.
For instance, if the browser is only configured for a specific TLS value, e.g., TLS 1.0 or TLS 1.1, but the server only supports TLS 1.2, then there’s the communication between the two will lack a mutually-supported protocol. This inevitably leads to a TLS handshake failure.
To check this issue in your browser (Google Chrome):
- Open Chrome browser
- Go to Settings > Advanced
- Scroll down open Systems > Open your computer’s proxy settings
- On the new popup Windows select the Advanced tab.
- In the advanced tab, under the Security section, see if the box next to Use TLS 1.2 is selected > check it if its not checked.
- See if the boxes for SSL 2.0 and SSL 3.0 are checked > then uncheck them if so. Do the same for TLS 1.0 and TLS 1.1.
- Click OK, then check to see if this process has resolved the handshake error.
Note: if you’re using Mac Os or Apple Safari, they don’t provide an option to disable or enable TLS/SSL protocols because TLS 1.2 is, by default, automatically enabled.
Method #4: Verify Your Server Configuration [to Support SNI]
Server name indication (SNI) configuration is one of the key causes of TLS issues. For the server to function properly, the SNI enables it to securely host several TLS certificates/protocols for one IP address.
On a server, each website has its own certificate. So, if the server isn’t SNI-enabled, there is a high likelihood of a TLS handshake failure because the server may fail to recognize the present certificate.
To check and see whether the site requires SNI, you can use the Qualys’ SSL Server Test. you’ll only need to input your site’s domain name, then click Submit and wait for the test to generate results.
On the results page, locate the message that reads “This site works only in browsers with SNI support”:
Method #5: Check and ensure that Cipher Suites Match
A Cipher Suites mismatch is also a key cause of TLS handshake issues, especially TLS handshake failure. Cipher suites are just a set of algorithms, including those for bulk encryption, key exchange, and message authentication code, which are used to secure TLS/SSL network connections.
If the server’s cipher suites don’t match with or support those of Cloudflare, there is a higher likelihood of a “TLD Handshake Failed” error.
To check the Cipher Suites configuration, you’ll again use the Qualys’ TLS Server Test. Again, just input your domain, then click Submit and wait for the report.
On the results page, check under the Cipher Suites section to locate the Cipher information.
Be keen on the status such as those written ‘Weak.’ You can then correct them by comparing them with your browser support.
Finally
We believe these tips have been easy to follow and that you were able to resolve the TLS handshake issue you encountered. TLS is an extremely vast topic, and there may be other solutions available.
If you found this useful, you might like our email list. We share many new tips, tricks, troubleshooting, how-to guides, product comparisons, and many more help-centered articles every day. Short, elaborate, sweet, and practical!
Also, Read
> Fixed: potential Windows update database error detected
> What is Windows Service Host SuperFetch, and how do you fix it
> Fixed: Google Chrome is waiting for cache issue on Windows 10
> Solved: Ethernet Doesn’t Have A Valid IP Configuration in Windows 10
If you’ve encountered an error messaging saying “TSL Handshake Failed,” and you’re confused about what to do, you’re not alone. TLS handshake failed is a common error. While it can be a frustrating experience, there are ways to troubleshoot TLS handshake issues and solve them.
In this post, you’ll learn what the TLS Handshake Failed error is and why it occurs. Then you’ll learn how to troubleshoot TLS handshake issues.
Let’s get started!
Understanding TLS/SSL
You need to make your website secure so as to establish secure connections between two servers. To do this, you’ll need to install a Secure Sockets Layer (SSL) certificate — SSL encryption and security protocol — on your site. This will enable your site to use HTTPS to ensure secure connections.
Unfortunately, sometimes things don’t go as planned, and you may encounter a problem when making a connection between your site’s server and a visitor’s browser. The problem can occur as a ‘TLS Handshake Failed’ error or any other issue.
Transport Layer Security (TLS) and Secure Sockets Layer (SSL) are security protocols that provide website encryption and identification. They are used to authenticate data transfers between servers, applications, systems such as browsers, and users.
Simply put, you need TLS/SSL certificates to secure your website using HTTPS.
Understanding TLS/SSL handshake
A TLS handshake is a form of communication and agreement between two servers — your sites’ host and the client’s server. It is the first step in the process of establishing a clear HTTPS connection.
To authenticate and establish a connection, your site’s server and the client’s browser must shake hands, i.e., go through a series of checks (the handshake). This establishes the HTTPS connection parameters.
What does this mean?
The client (usually a browser) typically sends a request to establish a secure connection to the site’s server. The server then sends a public key (protocol) to your device and ensures to check that key against a pre-prepared list of protocols/certificates. The device then generates a key and uses the server’s key to encrypt it.
If this back and forth communication doesn’t yield a positive result, i.e., if the SSL handshake fails between the server and the client, HTTPS won’t generate a secure connection, which will result in a TLS/SSL handshake failure. This error can show in two forms;
- HTTP/1.1 503 Service Unavailable
- Received fatal alert: handshake_failure (Error 525)
Note: You’ll see these error messages following an API call where a TLS handshake failure occurs.
What causes TLS handshake issues
Generally, Error 525 or Error 503 usually means that there’s been a failed TLS handshake. Some of the causes of the failure can include;
On the server-side, the error causes include;
- Protocol mismatch: The server doesn’t support the protocol that the client used.
- Incorrect certificate: The hostname of the client’s URL does not match the hostname in the certificate stored at the server end, or the certificate is incomplete or invalid, or the certificate is incorrect or expired
- Cipher suite mismatch: The server does not support the cipher suite that the client used.
- SNI enabled server: when the back end SNI (Server Name Identification) is enabled, but the client-server cannot communicate with the SNI servers.
On the client’s side, the causes can include;
- If the connection is being intercepted by a third party.
- If the client’s device has a wrong date or time.
- If the client is experiencing an error with the browser configuration.
How to troubleshoot TLS handshake issues
There are several potential causes of the “TLS Handshake issues.” You can use the following solutions to troubleshoot these issues;
Method #1: Update your system’s date and time
A wrong date or time setting is one of the key causes of TLS handshake issues. Because the system time helps to test whether the certificate is valid or expired, a mismatch between your device’s time or date and that of the server can make the certificates look expired.
Fix the time and date by setting it to automatic, then visit the site again and see if the TLS handshake issue has been fixed.
Method #2: Fix your Browser’s configuration to match the Latest TLS Protocol Support
Your browser is the ‘man in the middle’, and it can affect how your device communicates with the server. Any browser misconfiguration can cause TLS issues.
To check if your browser is the problem, try to use another browser to access the site and see if you are encountering the same problem. If the problem is occurring in all sites, then it’s a system problem.
Perhaps there is a browser extension or security software on your device that is intercepting the TLS connections and causing the problematic TLS handshake. In a number of cases, a virus or malware on the system was involved.
To fix this issue:
- You may need to disable the security software or browser extensions on your device, or,
- Reset your browser.
Method #3: Check and Change TLS Protocols [in Windows]
Browser related problems can also be caused by protocol mismatch.
For instance, if the browser is only configured for a specific TLS value, e.g., TLS 1.0 or TLS 1.1, but the server only supports TLS 1.2, then there’s the communication between the two will lack a mutually-supported protocol. This inevitably leads to a TLS handshake failure.
To check this issue in your browser (Google Chrome):
- Open Chrome browser
- Go to Settings > Advanced
- Scroll down open Systems > Open your computer’s proxy settings
- On the new popup Windows select the Advanced tab.
- In the advanced tab, under the Security section, see if the box next to Use TLS 1.2 is selected > check it if its not checked.
- See if the boxes for SSL 2.0 and SSL 3.0 are checked > then uncheck them if so. Do the same for TLS 1.0 and TLS 1.1.
- Click OK, then check to see if this process has resolved the handshake error.
Note: if you’re using Mac Os or Apple Safari, they don’t provide an option to disable or enable TLS/SSL protocols because TLS 1.2 is, by default, automatically enabled.
Method #4: Verify Your Server Configuration [to Support SNI]
Server name indication (SNI) configuration is one of the key causes of TLS issues. For the server to function properly, the SNI enables it to securely host several TLS certificates/protocols for one IP address.
On a server, each website has its own certificate. So, if the server isn’t SNI-enabled, there is a high likelihood of a TLS handshake failure because the server may fail to recognize the present certificate.
To check and see whether the site requires SNI, you can use the Qualys’ SSL Server Test. you’ll only need to input your site’s domain name, then click Submit and wait for the test to generate results.
On the results page, locate the message that reads “This site works only in browsers with SNI support”:
Method #5: Check and ensure that Cipher Suites Match
A Cipher Suites mismatch is also a key cause of TLS handshake issues, especially TLS handshake failure. Cipher suites are just a set of algorithms, including those for bulk encryption, key exchange, and message authentication code, which are used to secure TLS/SSL network connections.
If the server’s cipher suites don’t match with or support those of Cloudflare, there is a higher likelihood of a “TLD Handshake Failed” error.
To check the Cipher Suites configuration, you’ll again use the Qualys’ TLS Server Test. Again, just input your domain, then click Submit and wait for the report.
On the results page, check under the Cipher Suites section to locate the Cipher information.
Be keen on the status such as those written ‘Weak.’ You can then correct them by comparing them with your browser support.
Finally
We believe these tips have been easy to follow and that you were able to resolve the TLS handshake issue you encountered. TLS is an extremely vast topic, and there may be other solutions available.
If you found this useful, you might like our email list. We share many new tips, tricks, troubleshooting, how-to guides, product comparisons, and many more help-centered articles every day. Short, elaborate, sweet, and practical!
Also, Read
> Fixed: potential Windows update database error detected
> What is Windows Service Host SuperFetch, and how do you fix it
> Fixed: Google Chrome is waiting for cache issue on Windows 10
> Solved: Ethernet Doesn’t Have A Valid IP Configuration in Windows 10
Ошибка: «Неустранимая ошибка TLS. Произошла ошибка рукопожатия или, возможно, версия TLS или сертификат, используемые сервером, несовместимы»
Решение: в настройках пролистать до конца, открыть редактор настроек, изменить параметр
security.ssl.enable_ocsp_must_staple = false
