Внимание:
Если вы технический специалист, не хотите читать ничего лишнего, а просто желаете получить готовое решение, переходите сразу к этому разделу.
Дисклеймер:
Статья сугубо техническая, несмотря на вольный и слегка художественный стиль повествования в самом начале. В ней приводятся несколько проверенных решений реально существующей проблемы, появившейся незадолго до написания статьи и затронувшей миллионы устройств по всему миру.
Эпиграф:
Инженер не должен все знать. Он должен знать, где найти решение.
Итак, свершилось! В очередной раз где-то на неизвестной горе засвистел герой народных присказок, известный как Рак, в то время как другой герой этих же присказок, даже пребывая в жаренном состоянии, начал клевать ягодицы расслабленных пользователей интернета под обеспокоенным взором крестящихся мужиков, напуганных очередным раскатом грома.
Конец света (по мнению многих обывателей) начался буднично. В красивый и приятный осенний день 1 октября 2021 года, который пришелся на всегда ожидаемую из-за предстоящих выходных и слегка сумбурную из-за начала нового месяца пятницу, многочисленные пользователи довольно-таки старых, но все еще бережно хранимых и даже, пусть со скрипом, но вполне себе работающих устройств, вдруг не смогли зайти на свои любимые сайты.
Вот представьте: хотите вы с утра включить онлайн радио и послушать музыку, а взамен получаете сообщение «Ваше подключение не является приватным». Или вам по работе позарез нужно зайти на определенный сайт со своей учетной записью, а вместо этого вы видите на экране «Часы спешат. Не удалось установить защищенное соединение с доменом из-за неверных настроек системных часов и календаря». Вы пытаетесь хотя бы почитать новости, но при попытке открыть сайт по ссылке страница просто не загружается. Как работать в таких условиях? Чем не конец света?
На самом деле причина таких ошибок проста и очевидна: вы используете устаревшую технику и такие же устаревшие технологии. Неважно, почему — у каждого есть свои причины и никто здесь не собирается их оспаривать. Важно, что из-за этого становится недоступной значительная часть информации и невозможной определенная деятельность в сети интернет. Давайте для начала установим причину такого положения дел.
Почему перестали открываться сайты на старых компьютерах и смартфонах?
Начиная с 30 сентября 2021 года миллионы пользователей по всему земному шару больше не могут пользоваться многими интернет-сайтами. В этот день истек срок действия корневого сертификата IdenTrust DST Root CA X3, и это ломает работу интернета на миллионах устройств по всему миру, которые давно не получали обновления своего программного обеспечения. Наиболее часто ошибка отображается как NET::ERR_CERT_DATE_INVALID.
Сертификат IdenTrust DST Root CA X3 выпущен некоммерческим удостоверяющим центром Let’s Encrypt, который предоставляет на безвозмездной основе криптографические сертификаты для TLS-шифрования. Протокол TLS обеспечивает зашифрованную передачу данных между узлами компьютерной сети. Если сертификат TLS на устройстве просрочен, то соединиться с другим узлом сети оно не может.
Сертификат IdenTrust DST Root CA X3 используется на миллионах устройств по всему миру. Это и Android-смартфоны, и техника Apple, и даже игровые приставки, не говоря о компьютерах под управлением Windows. Одних только устройств со старыми и не обновляемыми версиями Android (в основном, это смартфоны и планшеты) сегодня насчитывается более 213 млн. Подробно об этом писали многие издания, например, C-News.
Что делать, если сайт не открывается на старом компьютере или телефоне?
Решить проблему можно или установкой свежего программного обеспечения (ПО), или покупкой современного устройства. Установить свежее ПО на старую технику не всегда возможно, но зато современные устройства под управлением актуальных операционных систем Windows, iOS, Linux, Android не подвержены описываемой проблеме, так как централизованно обновляются и всегда работают с актуальным списком сертификатов безопасности. Так что обновление техники и программного обеспечения — это наилучший способ даже не знать о существовании такой беды, как невозможность открыть некоторый сайт в браузере из-за проблем с сертификатом безопасности. К тому же, обновление всегда дает значительные преимущества в плане скорости и комфорта работы. Но, к сожалению, обновление техники по совершенно разным причинам доступно далеко не каждому.
Конечно, надо понимать, что переход на новую технику и на новые версии ПО — это неизбежность. Ничто не стоит на месте, все в мире развивается, и рано или поздно мы будем использовать все более новые поколения устройств и новые версии программного обеспечения. При этом старое ПО и старая аппаратура с определенного момента перестают быть интересными производителям, и их поддержка прекращается. Как только это случается, все сторонние производители техники и разработчики программ также перестают задумываться о совместимости своих продуктов со старыми моделями и версиями. Более того, многие из них намеренно отключают возможность использования устаревшей техники со своими новыми продуктами, как в целях улучшения безопасности пользователей, так и в своих сугубо коммерческих целях.
К примеру, компания Microsoft прекратила поддержку Windows XP еще в 2005 году (в 2009 году для 64-битной версии, в 2014 — расширенную поддержку, в 2019 — поддержку версии для банкоматов). Поддержка все еще популярной Windows 7 прекращена в 2015 году, расширенная поддержка — в 2020 году.
Это значит, что все эти версии операционной системы уже давно не получают обновления сертификатов. Как следствие всего перечисленного, разработчики ПО отказываются от поддержки старых платформ в целях обеспечения должного уровня защищенности пользователя. Например, практически все банки уже давно не позволяют своим клиентам получать доступ к собственным денежным средствам с устаревших устройств. При этом Windows 7, и даже Windows XP все еще довольно широко распространены на компьютерах как в частном, так и в корпоративном секторе.
Не совсем по теме
К слову сказать, в качестве небольшого отступления, на тех предприятиях, где я занимаюсь обслуживанием компьютерной техники, на данный момент использование компьютеров более чем 10-летней давности доходит местами до 50%, из них почти половина работает под управлением Windows XP. И это если не считать компьютеры в составе технологического оборудования на производстве. В целом, в моей практике, приходится сталкиваться примерно с 20-30% компьютеров под управлением Windows XP, 50-70% — Windows 7 и 20-30% — Windows 10. Иногда встречаются Windows 8 и Windows 8.1, а вот Mac и Linux — реально единицы.
[свернуть]
Как заставить сайты открываться на старых компьютерах и в старых версиях браузеров?
К счастью, есть несколько вариантов, как можно продлить жизнь старым устройствам и заставить их работать в современных реалиях. Сразу скажу, что все эти решения временные и ненадежные. Самым правильным и надежным решением остается обновление техники и используемого ПО.
Как временное решение проблемы с невозможностью открыть сайт из-за проблем с сертификатами можно попробовать обновить списки актуальных и отозванных сертификатов безопасности. На старых устройствах придется делать это вручную. На данный момент существует несколько вариантов обновления сертификатов, все эти варианты мне удалось найти в сети интернет. Конечно, на практике все их опробовать не удалось, но упомянуть даже не опробованные варианты все же стоит.
Ручное обновление корневых сертификатов
Итак, при попытке соединения с сервером по шифрованным протоколам SSL/TLS (то есть, по протоколу HTTPS) может возникать ошибка:
SSL error 0x80090325 Цепочка сертификатов выпущена центром сертификации, не имеющим доверия.
Это лишь вариант описания ошибки, текст сообщения о невозможности установки защищенного соединения может быть и другим. Некоторые сервера, например, пишут о возможном несоответствии системного времени на компьютере с реальным временем. Причина заключается в истечении срока действия корневого цифрового сертификата IdenTrust DST Root CA X3, которым подписаны сертификаты от популярного удостоверяющего центра Let’s Encrypt. Им выпущено множество SSL сертификатов (более чем для 250 миллионов доменных имен) для веб-сайтов, почтовых серверов и других служб.
Для решения проблемы Let’s Encrypt уже более 5 лет использует подпись корневым сертификатом ISRG Root X1, действующим до 2035 года. Однако устройства, программы и операционные системы, не получающие автоматические обновления, не могут сами получить этот сертификат. Например, не обновляются версии:
- Android 7.1.1 и старше;
- Mozilla Firefox до 50.0;
- MacOS 10.12.0 и старше;
- Windows XP (включая Service Pack 3);
- iOS-устройств до версии iOS 10;
- OpenSSL 1.0.2 и ниже;
- Ubuntu до версии 16.04;
- Debian 8 и старше.
Для восстановления возможности работы устаревшего устройства или программного обеспечения следует обновить операционную систему или добавить SSL-сертификат ISRG Root X1 в список доверенных.
Установка корневого сертификата в ОС Windows, iOS, Linux, Android
Итак, вариант первый. Сразу скажу, что этот вариант я пробовал только на виртуальной машине с Windows XP, и он сработал только частично. Описание варианта взято здесь.
Чтобы установить новый корневой сертификат, надо скачать на устройство файл сертификата и импортировать его в список доверенных. В ОС Windows достаточно дважды щелкнуть на файле сертификата, чтобы просмотреть сведения о нем и получить возможность установить сертификат нажатием на соответствую кнопку.
Более сложный способ установки корневого сертификата для Windows XP описан здесь, хотя и не понятно, зачем такие сложности.
В iOS до 10 версии надо перейти в «Настройки» -> «Основные» -> «Профили и управление устройством», выбрать сертификат ISRG Root X1 и нажать «Установить». Затем в разделе «Настройки» -> «Основные» -> «Доверие сертификатов» включить «Доверять корневым сертификатам полностью».
В Linux необходимо сначала удалить старый корневой сертификат DST Root CA X3 из списка доверенных, для чего надо переместить его в директорию /etc/pki/ca-trust/source/blacklist, а затем установить доверие к корневому сертификату ISRG Root X1, для чего перенести его в директорию /etc/pki/ca-trust/source/anchors directory. После этих манипуляций надо обновить списки сертификатов командой update-ca-trust. Это один из способов. Подробности здесь.
Что касается ОС Android до 7.1.1, то Let’s Encrypt удалось договориться с IdenTrust о выпуске на 3 года кросс-подписи истекшего DST Root CA X3. Таким образом, устройства даже с устаревшими версиями Android не будут сообщать об ошибке как минимум до 2024 года. Действий с ними не требуется.
Дополнение: способ обновления сертификатов на телевизорах LG поду управлением WebOS описан в отдельной статье.
Обновление всех сертификатов безопасности на старых версиях Windows
Закончившийся сертификат Let’s Encrypt — далеко не единственный из тех, которые контролируют доступ пользователей к сайтам. Списки актуальных и отозванных сертификатов постоянно изменяются, и современные операционные системы получают эти списки вместе с собственными автоматическими обновлениями. Поэтому лучшим решением (если не считать обновления устройства) будет приведение всего списка сертификатов на устройстве в соответствие с реальным положением вещей.
В случае с Windows это можно сделать несколькими способами. Первый из них заключается в создании списка актуальных сертификатов на любом компьютере, где установлена современная обновляемая система Windows, и последующем импортировании этих сертификатов на компьютер со старой системой.
Сделать это не очень сложно, если почитать описание данного метода на любом подходящем сайте. Например, здесь есть короткое описание, а здесь — более детальное. Это второй вариант устранения ситуации, когда не работает интернет на старом компьютере. Но на самом деле есть еще более удобный и простой способ.
Быстрый и простой способ обновления сертификатов Windows
Третий вариант исправления проблемы с неработающим интернетом самый простой, если воспользоваться готовым инструментом с этого сайта. Данный способ заключается в использовании списков актуальных и отозванных сертификатов с официального сайта Microsoft и последующей установке этих списков в систему при помощи инструментов, также разработанных Microsoft. Правда, эти инструменты уже официально признаны устаревшими и не поддерживаемыми, но по-прежнему успешно справляются с задачей обновления сертификатов.
Описание метода взято с этого ресурса, за что выражаю автору огромную благодарность.
Итак, чтобы обновить сертификаты безопасности на старом устройстве с Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2008 и др., надо скачать и запустить последовательно на выполнение два файла:
- rvkroots_20211001.exe — самораспаковывающийся архив со списком устаревших небезопасных сертификатов, автоматически удаляет эти сертификаты из списка доверенных при запуске файла;
- rootsupd_20211001.exe — самораспаковывающийся архив со списком актуальных сертификатов, автоматически добавляет эти сертификаты в соответствующие хранилища сертификатов при запуске файла.
Списки сертификатов получены с официального сайта Microsoft 1.10.2021 г. (при желании можно распаковать архив без установки и посмотреть содержимое). Для корректного обновления списка сертификатов необходимо запускать файлы от имени пользователя, обладающего правами администратора системы.
Обновление сертификатов проверено на нескольких компьютерах под управлением операционных систем Windos XP SP 3 и Windows 7.
Как еще можно открывать сайты на старых компьютерах и смартфонах?
В отличие от других браузеров, Mozilla Firefox хранит сертификаты в собственном хранилище, не используя для этого хранилище операционной системы. Поэтому на старых устройствах, особенно на смартфонах с Android 5.0 и старше, Let’s Encrypt рекомендует установить браузер Firefox. Что касается Windows XP, то актуальная версия Firefox не поддерживает эту систему, поэтому стоит попробовать скачать и установить более старую версию этого браузера.
Для браузеров на основе движка Chromium (а это почти все популярные браузеры, в том числе Opera, Microsoft Edge, Яндекс Браузер и прочие) в сети встречаются рекомендации по сбросу настроек HSTS для отдельных сайтов. Для этого надо в адресной строке браузера набрать команду chrome://net-internals/#hsts и на открывшейся странице настроек ввести адреса нужных сайтов в раздел Delete domain security policies. На практике эту рекомендацию я не проверял.
Поскольку проблема новая и затрагивает очень большое количество устройств, я буду рад, если описываемые здесь методы решения помогут вам в исправлении проблемы, еще более буду рад распространению ссылок на данный материал. И конечно, можно выразить благодарность даже в материальной форме. Спасибо!
С 1 октября 2021 года закончился срок действия сертификата IdenTrust DST Root CA X3 (одного из основных корневых сертификатов, применяемых в сети), который установлен на многих устройствах.
Из-за этого владельцы ПК на Windows 7, Windows Server 2008 с выключенными обновлениями и Windows XP могут столкнуться с проблемой появления ошибки: «ERR_CERT_DATE_INVALID»,«ERR_DATE_INVALID» и прочими ошибками сертификатов при входе на многие сайты.
Есть два способа решить эту проблему: либо установить новый сертификат, либо установить обновления ОС Windows.
Решение через ручную установку сертификата
Скачать сертификат можно по ссылке: https://letsencrypt.org/certs/isrgrootx1.der / зеркало (.der, 1.35Кб)
Необходимо запустить скачанный файл, на вкладке «Общие» нажать «Установить сертификат».
Выберите расположение «Локальный компьютер» и нажмите «Далее».
Выберите пункт «Поместить все сертификаты в следующее хранилище», нажмите «Обзор», выберите раздел «Доверенные корневые центры сертификации», нажмите «ОК» и «Далее», а в следующем окне – «Готово». При появлении вопросов об установке сертификатов – согласитесь на установку.
После этого перезапустите браузер и вновь попробуйте зайти на необходимый сайт.
Решение через установку обновлений
Для решения ошибки сертификата нужно установить обновления KB3020369 и KB3125574:
- KB3020369 из каталога Центра обновлений Microsoft
- KB3125574 из каталога Центра обновлений Microsoft
Дополнительно
Иногда установка одного лишь IdenTrust DST Root CA X3 может не помочь, так же рекомендуем дополнительно установить следующие корневые сертификаты:
- Go Daddy Root Certificate Authority
- GlobalSign Root CA
Доброго дня!
Я думаю, что почти каждый пользователь (особенно в последнее время) сталкивался с ошибкой в браузере о том, что сертификат такого-то сайта не является доверенным, и рекомендацией не посещать его.
С одной стороны это хорошо (все-таки и браузер, и вообще популяризация подобных сертификатов — обеспечивает нашу безопасность), но с другой — подобная ошибка иногда всплывает даже на очень известных сайтах (на том же Google). 👋
Суть происходящего, и что это значит?
Дело в том, что когда вы подключаетесь к сайту, на котором установлен протокол SSL, то сервер передает браузеру цифровой документ (сертификат) о том, что сайт является подлинным (а не фейк или клон чего-то там…). Кстати, если с таким сайтом все хорошо, то браузеры их помечают «зеленым» замочком напротив URL-строки: на скрине ниже показано, как это выглядит в Chrome.
Однако, сертификаты могут выпускать, как всем известные организации (Symantec, Rapidssl, Comodo и др.), так и вообще кто-угодно. Разумеется, если браузер и ваша система «не знает» того, кто выпустил сертификат (или возникает подозрение в его правильности) — то появляется подобная ошибка.
Т.е. я веду к тому, что под раздачу могут попасть как совсем белые сайты, так и те, которые реально опасно посещать. Поэтому, появление подобной ошибки это повод внимательно взглянуть на адрес сайта.
Ну а в этой статье я хочу указать на несколько способов устранения подобной ошибки, если она стала появляться даже на белых и известных сайтах (например, на Google, Яндекс, ВК и многих других. Их же вы не откажетесь посещать? 😉).
*
Как устранить ошибку
👉 1) Обратите внимание на адрес сайта
Первое, что сделайте — просто обратите внимание на адрес сайта (возможно, что вы по ошибке набрали не тот URL).
Также иногда такое происходит по вине сервера, на котором расположен сайт (возможно, вообще, сам сертификат просто устарел, ведь его выдают на определенное время). Попробуйте посетить другие сайты, если с ними все «OK» — то вероятнее всего, что проблема не в вашей системе, а у того конкретного сайта.
Пример ошибки «Сертификат безопасности сайта не является доверенным»
Однако, отмечу, что если ошибка появляется на очень известном сайте, которому вы (и многие другие пользователи) всецело доверяете — то высока вероятность проблемы в вашей системе…
*
👉 2) Проверьте дату и время, установленные в Windows
Второй момент: подобная ошибка может выскакивать, если у вас в системе неверно задано время или дата. Для их корректировки и уточнения достаточно щелкнуть мышкой по «времени» в панели задач Windows (в правом нижнем углу экрана).
См. скрин ниже. 👇
📌В помощь!
Как настроить дату и время в Windows 10/11: см. пошаговую инструкцию
Настройка даты и времени
После установки правильного времени, перезагрузите компьютер и попробуйте заново открыть браузер и сайты в нем. Ошибка должна исчезнуть.
Также обращаю внимание на то, что, если у вас постоянно сбивается время — вероятно у вас села батарейка на материнской плате. Представляет она из себя небольшую «таблетку», благодаря которой компьютер помнит введенные вами настройки, даже если вы его отключаете от сети (например, те же дата и время как-то высчитываются?).
Батарейка на материнской плате ПК
*
👉 3) Попробуйте провести обновление корневых сертификатов
Еще один вариант, как можно попробовать решить эту проблему — установить обновление корневых сертификатов. Обновления можно скачать на сайте Microsoft для разных ОС. Для клиентских ОС (т.е. для обычных домашних пользователей) подойдут вот эти обновления: https://support.microsoft.com/ (ссылка ну нужную страничку).
Обновление от сент. 2022г.
Зарубежные сертификаты (по всем известным событиям в 2022г.) могут «приказать долго жить» (а для некоторых сайтов их уже отозвали/не продлили)!
В целях подстраховки, конечно, неплохо бы в систему установить рос. сертификаты. О том, как это сделать, расскажет одна из моих заметок (ссылочка ниже). 👇
Как установить сертификаты НУЦ Минцифры России (стало появл. предупреждение на некоторых сайтах)
*
👉 4) Установка «доверенных» сертификатов в систему
Этот способ хоть и рабочий, но хотелось бы предупредить, что он «может» стать источником проблем в безопасности вашей системы. По крайней мере, прибегать к этому советую только для таких крупных сайтов как Google, Яндекс и т.д.
Для избавления от ошибки, связанной с недостоверностью сертификата, должен подойти спец. пакет GeoTrust Primary Certification Authority.
*
Скачать GeoTrust Primary Certification Authority можно с сайта: http://www.geotrust.com/resources/root-certificates/index.html
Кстати, на этой страничке расположено еще несколько сертификатов, их также можно до-установить в систему.
*
Кстати, чтобы скачать GeoTrust Primary Certification Authority:
- нажмите правой кнопкой мышки по ссылке download и выберите вариант «сохранить ссылку как…»;
Сохранить ссылку как…
- далее укажите папку на диске, куда будет скачан сертификат. Это будет файл формата PEM.
Файл с расширением PEM
Теперь необходимо скачанный сертификат установить в систему. Как это делается, по шагам расскажу чуть ниже:
- сначала нажимаем сочетание кнопок Win+R, и вводим команду certmgr.msc, жмем OK;
- должен открыться центр сертификатов в Windows. Необходимо раскрыть вкладку «Доверенные корневые центры сертификации/сертификаты», щелкнуть по ней правой кнопкой мышки и выбрать «Все задачи — импорт».
Импорт сертификата
- далее запустится мастер импорта сертификатов. Просто жмем «Далее».
Мастер импорта сертификатов
- после нажмите кнопку «Обзор» и укажите ранее загруженный нами сертификат. Нажмите «Далее» (пример показан ниже); 👇
Указываем сертификат, который загрузили
- в следующем шаге укажите, что сертификаты нужно поместить в доверенные центры сертификации и нажмите «Далее».
Поместить сертификаты в доверенные. Далее
- в следующем шаге вы должны увидеть, что импорт успешно завершен. Собственно, можно идти проверять, как будет отображаться сайт в браузере (может потребоваться перезагрузка ПК).
*
👉 5) Обратите внимание на антивирусные утилиты
В некоторых случаях эта ошибка может возникать из-за того, что какая-нибудь программа (например, антивирус) проверяет https трафик. Это видит браузер, что пришедший сертификат не соответствует адресу, с которого он получен, и в результате появляется предупреждение/ошибка…
Поэтому, если у вас установлен антивирус/брандмауэр, проверьте и на время отключите настройку сканирования https трафика (см. пример настроек AVAST на скрине ниже). 👇
Avast — основные настройки (отключение сканирование https трафика)
Либо, как вариант, на время удалите его или полностью отключите!
Управление экранами Avast — отключить на 10 минут
*
📌 PS
Чтобы открыть проблемный сайт — загрузите браузер MX5 (я о нем рассказывал в заметке о флеш-играх). При попытке перейти на «проблемный» сайт в нем — он вас предупредит, что это не безопасно, но если вы подтвердите свое намерение — н загрузит страничку!
В общем, рекомендую иметь такой инструмент под-рукой. 👌
*
На этом у меня всё…
За дополнения по теме — отдельное мерси!
Всего доброго!
Первая публикация: 2.05.2018
Корректировка: 9.11.2022
Полезный софт:
-
- Видео-Монтаж
Отличное ПО для создания своих первых видеороликов (все действия идут по шагам!).
Видео сделает даже новичок!
-
- Ускоритель компьютера
Программа для очистки Windows от «мусора» (удаляет временные файлы, ускоряет систему, оптимизирует реестр).
Ошибка «Сертификат безопасности сайта не является доверенным». Как ее исправить?
Доброго дня!
Я думаю, что почти каждый пользователь (особенно в последнее время) сталкивался с ошибкой в браузере о том, что сертификат такого-то сайта не является доверенным, и рекомендацией не посещать его.
С одной стороны это хорошо (все-таки и браузер, и вообще популяризация подобных сертификатов — обеспечивает нашу безопасность), но с другой — подобная ошибка иногда всплывает даже на очень известных сайтах (на том же Google).
Суть происходящего, и что это значит?
Дело в том, что когда вы подключаетесь к сайту, на котором установлен протокол SSL, то сервер передает браузеру цифровой документ ( сертификат ) о том, что сайт является подлинным (а не фейк или клон чего-то там. ). Кстати, если с таким сайтом все хорошо, то браузеры их помечают «зеленым» замочком: на скрине ниже показано, как это выглядит в Chrome.
Однако, сертификаты могут выпускать, как всем известные организации (Symantec, Rapidssl, Comodo и др.) , так и вообще кто-угодно. Разумеется, если браузер и ваша система «не знает» того, кто выпустил сертификат (или возникает подозрение в его правильности) — то появляется подобная ошибка.
Т.е. я веду к тому, что под раздачу могут попасть как совсем белые сайты, так и те, которые реально опасно посещать. Поэтому, появление подобной ошибки это повод внимательно взглянуть на адрес сайта.
Ну а в этой статье я хочу указать на несколько способов устранения подобной ошибки, если она стала появляться даже на белых и известных сайтах (например, на Google, Яндекс, VK и многих других. Их же вы не откажетесь посещать?).
Как устранить ошибку
1) Обратите внимание на адрес сайта
Первое, что сделайте — просто обратите внимание на адрес сайта (возможно, что вы по ошибке набрали не тот URL). Также иногда такое происходит по вине сервера, на котором расположен сайт (возможно, вообще, сам сертификат просто устарел, ведь его выдают на определенное время). Попробуйте посетить другие сайты, если с ними все OK — то вероятнее всего, что проблема не в вашей системе, а у того конкретного сайта.
Пример ошибки «Сертификат безопасности сайта не является доверенным»
Однако, отмечу, что если ошибка появляется на очень известном сайте, которому вы (и многие другие пользователи) всецело доверяете — то высока вероятность проблемы в вашей системе.
2) Проверьте дату и время, установленные в Windows
Второй момент — подобная ошибка может выскакивать, если у вас в системе неверно задано время или дата. Для их корректировки и уточнения достаточно щелкнуть мышкой по «времени» в панели задач Windows (в правом нижнем углу экрана). См. скрин ниже.
Настройка даты и времени
После установки правильного времени, перезагрузите компьютер и попробуйте заново открыть браузер и сайты в нем. Ошибка должна исчезнуть.
Также обращаю внимание на то, что, если у вас постоянно сбивается время — вероятно у вас села батарейка на материнской плате. Представляет она из себя небольшую «таблетку», благодаря которой компьютер помнит введенные вами настройки, даже если вы его отключаете от сети (например, те же дата и время как-то высчитываются?).
Батарейка на материнской плате ПК
3) Попробуйте провести обновление корневых сертификатов
Еще один вариант, как можно попробовать решить эту проблему — установить обновление корневых сертификатов. Обновления можно скачать на сайте Microsoft для разных ОС. Для клиентских ОС (т.е. для обычных домашних пользователей) подойдут вот эти обновления: https://support.microsoft.com/
4) Установка «доверенных» сертификатов в систему
Этот способ хоть и рабочий, но хотелось бы предупредить, что он «может» стать источником проблем в безопасности вашей системы. По крайней мере, прибегать к этому советую только для таких крупных сайтов как Google, Яндекс и т.д.
Для избавления от ошибки, связанной с недостоверностью сертификата, должен подойти спец. пакет GeoTrust Primary Certification Authority .
Кстати, на этой страничке расположено еще несколько сертификатов, их также можно до-установить в систему.
Кстати, чтобы скачать GeoTrust Primary Certification Authority:
- нажмите правой кнопкой мышки по ссылке download и выберите вариант «сохранить ссылку как. «;
Сохранить ссылку как.
далее укажите папку на диске, куда будет скачан сертификат. Это будет файл формата PEM.
Файл с расширением PEM
Теперь необходимо скачанный сертификат установить в систему. Как это делается, по шагам расскажу чуть ниже:
- сначала нажимаем сочетание кнопок Win+R, и вводим команду certmgr.msc, жмем OK;
- должен открыться центр сертификатов в Windows. Необходимо раскрыть вкладку «Доверенные корневые центры сертификации/сертификаты», щелкнуть по ней правой кнопкой мышки и выбрать «Все задачи — импорт».
далее запустится мастер импорта сертификатов. Просто жмем «Далее».
Мастер импорта сертификатов
после нажмите кнопку «Обзор» и укажите ранее загруженный нами сертификат. Нажмите «Далее» (пример показан ниже);
Указываем сертификат, который загрузили
в следующем шаге укажите, что сертификаты нужно поместить в доверенные центры сертификации и нажмите «Далее».
Поместить сертификаты в доверенные. Далее
5) Обратите внимание на антивирусные утилиты
В некоторых случаях эта ошибка может возникать из-за того, что какая-нибудь программа (например, антивирус) проверяет https трафик. Это видит браузер, что пришедший сертификат не соответствует адресу, с которого он получен, и в результате появляется предупреждение/ошибка.
Поэтому, если у вас установлен антивирус/брандмауэр, проверьте и на время отключите настройку сканирования https трафика (см. пример настроек AVAST на скрине ниже).
Avast — основные настройки (отключение сканирование https трафика)
На этом у меня всё.
За дополнения по теме — отдельное мерси!
Источник
(Решено) Возникла проблема с сертификатом безопасности этого веб-сайта – что за ошибка, как исправить
Приветствую!
При открытии сайта в браузере, за место ожидаемого отображения контента сайта, может отобразиться ошибка, гласящая о том, что «Возникла проблема с сертификатом безопасности этого веб-сайта» или подобные ошибки, к примеру: «сертификат безопасности не является доверенным», «сертификат является самоподписанным», «издатель сертификата не известен» и так далее. И в данном материале мы постараемся разобраться в причинах возникновения столь досадной ошибки, которая мешает нормальному открытию сайтов в браузере, и, естественно, приведём действенные меры, позволяющие полностью устранить эту проблему.
Содержание:
Причины ошибки «Возникла проблема с сертификатом безопасности этого веб-сайта»
Если открываемый сайт использует защищённый протокол, при котором все передаваемые и принимаемые данные надёжно шифруются, то неотъемлемым элементом в этом процессе является использование сертификатов безопасности.
Сами сертификаты выдаются персонально для каждого сайта, а организации, которые их выдают – называются корневыми центрами сертификации.
И браузер при открытии сайта, использующего защищённый протокол и соответственно сертификат безопасности, каждый раз проверяет его легитимность (корректность).
Если браузер определяет «проблемный» сертификат, то выдаётся соответствующее сообщение. Однако не всегда проблема может быть именно с сертификатом, существуют и другие причины:
- некорректно выставленное время на компьютере
- использование просроченного сертификата безопасности сайтом
- использование устаревшей версии Интернет-браузера
- отсутствие установленных последних обновлений операционной системы
- деструктивное действие злонамеренных элементов (вирусов, троянов и т.д.)
Давайте рассмотрим, как следует поступить, дабы решить проблему с проверкой сертификата безопасности на легитимность.
Способы исправления ошибки с сертификатом безопасности в браузере
- Самым первым, что необходимо сделать, это проверить корректность выставленного на компьютере времени и даты. Дело в том, что у выдаваемых сертификатов безопасности имеется свой срок работы. И если на компьютере установлена неверная дата и время, то практически гарантированно будут отображаться разбираемые ошибки.
В редких случаях, создатели того или иного сайта, забывают установить актуальный сертификат, взамен устаревшего. В этом случае можно кликнуть по пункту в браузере, который позволяет проигнорировать данное оповещение и продолжить просмотр сайта, но к данному совету необходимо прибегать в крайних случаях.
Проигнорировав ошибку и продолжив просмотр, не вводите на этом сайте никаких конфиденциальных данных, включая логин и пароль.
Помните: на популярных сайтах использование просроченного сертификата практически исключено.
Так что не стоит недооценивать важность установки обновлений для используемой операционной системы.
Некоторые вирусы и трояны пытаются встраиваться в браузер, системный стек, модифицируют Hosts файл и т.д., дабы перехватить трафик, из которого впоследствии извлекаются логины и пароли и другая конфиденциальная и ценная информация, которую можно использовать в злонамеренных целях.
Обязательно проверьте систему антивирусом. Сейчас существует множество бесплатных и эффективных решений для этого. К примеру, антивирусный сканер Dr.Web CureIt!
Заключение
Причин, из-за которых в браузере выводится ошибка с проверкой иили корректностью сертификата безопасности, которая препятствует отображению самого сайта, весьма много. Но при поступательном осуществлении описываемых действий, вполне по силам решить эту проблему даже начинающему пользователю.
В свою очередь, Вы тоже можете нам очень помочь.
Просто поделитесь статьей в социальных сетях и мессенджерах с друзьями.
Поделившись результатами труда автора, вы окажете неоценимую помощь как ему самому, так и сайту в целом. Спасибо!
Источник
Ситуация следующая — есть такая программка для создания запроса на ЭЦП.
В требованиях у этой штуки — .NET FrameWork 3.5 SP1
На семёрке она работает как положено, на XP не хочет.
Я знаю что поддержка XP прекращена, но сменить её нет возможности, это рабочее место в одной не самой богатой гос. конторе.
Автоматическое обновление включено и система обновлена. .NET Framework нужной версии установлен, со всеми хотфиксами.
Разбор логов показал, что не получается создать безопасное подключение с сайтом разработчика, откуда выкачиваются данные или хз что.
Собственно, попытка просто зайти на этот сайт — заканчивается сообщением IE о том, что сертификат не валиден.
Я так понимаю, что это проблема самой XP, она не может удостовериться что сертификат действительный.
Собственно вопрос, как это побороть? Я на данном этапе не пойму в чём конкретно проблема. Нет каких-то новых корневых сертификатов? Отсутствует новый механизм проверки подписей в винде? Или ещё что-то?
 |
От: | wildwind |
| Дата: | 03.11.16 13:02 | |
| Оценка: |
 |
От: | Anton Batenev | https://github.com/abbat |
| Дата: | 03.11.16 17:39 | ||
| Оценка: | +1 |
Здравствуйте, Evgeniy Skvortsov, Вы писали:
ES> Собственно вопрос, как это побороть? Я на данном этапе не пойму в чём конкретно проблема. Нет каких-то новых корневых сертификатов? Отсутствует новый механизм проверки подписей в винде? Или ещё что-то?
Возможно дело в SHA-256 у сертификата (и копать куда-то в эту сторону).
 |
От: | wl. |
| Дата: | 06.11.16 06:36 | |
| Оценка: |
Здравствуйте, Evgeniy Skvortsov, Вы писали:
ES>Я так понимаю, что это проблема самой XP, она не может удостовериться что сертификат действительный.
ES>Собственно вопрос, как это побороть? Я на данном этапе не пойму в чём конкретно проблема. Нет каких-то новых корневых сертификатов? Отсутствует новый механизм проверки подписей в винде? Или ещё что-то?
в качестве безумного предложения могу посоветовать поставить на xp virtual box, а в него семерку. Насколько я помню, неактивированная Win7 может работать бесконечное время, только обои не даст поменять через месяц
 |
От: | Evgeniy Skvortsov |
| Дата: | 06.11.16 21:05 | |
| Оценка: |
Здравствуйте, wl., Вы писали:
wl.>в качестве безумного предложения могу посоветовать поставить на xp virtual box, а в него семерку. Насколько я помню, неактивированная Win7 может работать бесконечное время, только обои не даст поменять через месяц
Там конфигурация компа из прошлого века. Сама семёрка может и будет хоть как-то работать, но в виртуалке точно нет.
| |
От: | Evgeniy Skvortsov |
| Дата: | 06.11.16 21:08 | |
| Оценка: |
Здравствуйте, Anton Batenev, Вы писали:
AB>Возможно дело в SHA-256 у сертификата (и копать куда-то в эту сторону).
О, спасибо. Проверю.
Слышал какой-то звон, но не знал где он 
| |
От: | Evgeniy Skvortsov |
| Дата: | 06.11.16 21:09 | |
| Оценка: |
Здравствуйте, wildwind, Вы писали:
W>Скорее всего. Попробуйте вручную найти и установить нужное обновление. В крайнем случае установите сами нужный сертификат.
Сертификат устанавливал, не помогает. Эта рекомендация первая в результатах поиска.
 |
От: | sn175 |
| Дата: | 07.11.16 11:03 | |
| Оценка: |
Здравствуйте, Evgeniy Skvortsov, Вы писали:
ES>Здравствуйте, wildwind, Вы писали:
W>>Скорее всего. Попробуйте вручную найти и установить нужное обновление. В крайнем случае установите сами нужный сертификат.
ES>Сертификат устанавливал, не помогает. Эта рекомендация первая в результатах поиска.
тогда нужно установить всю цепочку сертификатов.
для перестраховки, руками все добавить в доверенные издатели.
можно попробовать добавить сайт в надежные сайты.
| |
От: | Evgeniy Skvortsov |
| Дата: | 09.11.16 11:16 | |
| Оценка: |
Здравствуйте, Anton Batenev, Вы писали:
AB>Возможно дело в SHA-256 у сертификата (и копать куда-то в эту сторону).
Поставил этот хотфикс, не помогло 
| |
От: | Evgeniy Skvortsov |
| Дата: | 09.11.16 11:23 | |
| Оценка: |
ES>Ситуация следующая — есть такая программка для создания запроса на ЭЦП.
Порылся ещё, обнаружил странную вещь.
При попытке зайти на сайт по адресу https://utils.iitrust.ru (отсюда не получается скачать что-то у программы установки) на XP получаю ошибку «Сертификат безопасности этого веб-узла был выпущен для веб-узла с другим адресом.
»
Нажимаю все равно продолжить и открываю сертификат и там оказывается что он выдан для адреса *.iitrust.cloud
Что за бред?
Если зайти по этому же адресу через 7, то всё нормально, и когда смотришь сертификат то он там выдан для *.iitrust.ru как и положено.
Это как так получается?
Почему от версии ОС меняется сертификат?
| |
От: | Evgeniy Skvortsov |
| Дата: | 09.11.16 11:32 | |
| Оценка: |
Здравствуйте, sn175, Вы писали:
W>>>Скорее всего. Попробуйте вручную найти и установить нужное обновление. В крайнем случае установите сами нужный сертификат.
Прикол оказался в том, что на XP почему-то сертификат оказывается выдан для *.iitrust.cloud, а сайт называется *.iitrust.ru
Поэтому и возникает ошибка.
Но так же прикол одновременно и в том, что если зайти через win7, то с сертификатом всё нормально, он как и положено выдан *.iitrust.ru
| |
От: | Anton Batenev | https://github.com/abbat |
| Дата: | 09.11.16 18:21 | ||
| Оценка: |
Здравствуйте, Evgeniy Skvortsov, Вы писали:
ES> AB>Возможно дело в SHA-256 у сертификата (и копать куда-то в эту сторону).
ES> Поставил этот хотфикс, не помогло
Тогда возможно ОС не поддерживает SNI, т.к. iitrust.cloud и iitrust.ru расположены на одном IP адресе и выбирается первый по умолчанию.
| |
От: | Evgeniy Skvortsov |
| Дата: | 10.11.16 07:20 | |
| Оценка: |
Здравствуйте, Anton Batenev, Вы писали:
AB>Тогда возможно ОС не поддерживает SNI, т.к. iitrust.cloud и iitrust.ru расположены на одном IP адресе и выбирается первый по умолчанию.
Похоже на то. Обнаружил такую вот засаду:
Ни одна из версий Internet Explorer под Windows XP не поддерживает SNI
| |
От: | Anton Batenev | https://github.com/abbat |
| Дата: | 10.11.16 13:07 | ||
| Оценка: |
Здравствуйте, Evgeniy Skvortsov, Вы писали:
ES> Да и хрен бы с ним, но ведь не работающая програмка написана на .NET FW 3.5, а как там реализовано ssl соединение? Может его можно как-то настроить?
Я не знаю, но думаю, что FW использует те же системные библиотеки, что и браузер. Как вариант, написать владельцам сайта о своей беде, возможно они войдут в положение (судя по сайту у них должно быть много таких клиентов). Если есть возможность влезть в программу, то подменить хост/протокол и поставить перед программой любой реверсивный прокси с поддержкой SNI (nginx например) — как я понимаю, речь о безопасности не идет и требуется только формально получить подпись.
Источник
- Информация о материале:
- Опубликовано: 2020-05-23
- Обновлено: 2020-06-22
- Автор: Олег Головский
Не секрет, что Windows XP отправлена на свалку и более не поддерживается разработчиком, а при использовании различных веб-браузеров могут возникать ошибки SSL сертификата: недостаточно информации для проверки этого сертификата.
Ошибка сертификата в Windows XP может проявляться в разных браузерах включая Opera, Chrome и конечно Internet Explorer — все они используют одно хранилище сертификатов, которое разумеется давно устарело и не обновляется по причине отсутствия поддержки Windows XP. Именно по причине устаревших сертификатов мы и наблюдаем в браузерах ошибки типа: «недостаточно информации для проверки этого сертификата».
Как обновить корневые сертификаты Windows XP
Ручками обновить будет довольно проблематично. Официальных пакетов обновляющих корневые сертификаты Windows XP не существует.
На просторах Интернетов был найден один рецепт, состоящий из «заточки» пакета обновления сертификатов от «висты» под «хр», процесс выглядит следующим образом:
1. Скачиваем «rvkroots.exe» Microsoft download (http://www.microsoft.com/download/details.aspx?id=41542 https://web.archive.org/web/20171119114944/http://download.windowsupdate.com/d/msdownload/update/software/secu/2015/03/rvkroots_3f2ce4676450c06f109b5b4e68bec252873ccc21.exe), unzip его в каталог (например с помощью WinRAR), в файле «rvkroots.inf» переменную VERSION устанавливаем «5,0,2195,0» и VER в «005» соответственно. Скачиваем «http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcert.sst» в каталог куда был распакован «rvkroots.exe» с заменой старого файла. После из всего содержимого каталога создаём самораспаковывающийся архив (Create Self-Extracting Archive) WinRAR отметив SFX опцию и добавив следующие SFX-команды (ака комментарий):
TempMode
Silent=1
Overwrite=1
Setup=Rundll32.exe advpack.dll,LaunchINFSection rvkroots.inf,DefaultInstallТеперь мы имеем файл отзывающий все небезопасные (устаревшие) сертификаты!
2. Для обновления корневых сертификатов (Root Certificate Update) скачиваем «rootsupd.exe» (http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/rootsupd.exe https://web.archive.org/web/20170829230259/http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/rootsupd.exe), unzip его в каталог (например с помощью WinRAR), в «rootsupd.inf» значение переменной VERSION ставим «40,0,2195,0» и в VER «040» соответственно, скачиваем в каталог куда был распакован «rootsupd.exe» с заменой старых файлов,
«http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authroots.sst»
«http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/delroots.sst»
«http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/roots.sst»
«http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/updroots.sst»
После из всего содержимого каталога создаём самораспаковывающийся архив (Create Self-Extracting Archive) WinRAR отметив SFX опцию и добавив следующие SFX-команды (ака комментарий):TempMode
Silent=1
Overwrite=1
Setup=Rundll32.exe advpack.dll,LaunchINFSection rootsupd.inf,DefaultInstallТеперь у нас есть файл обновлящий корневые сертификаты!
Эта проблема недавно решалась на удалённой машине Windows XP и уже собраны пакеты для отзыва и обновления корневых сертификатов, кому лень собирать можете скачать уже готовые:
Только после полного отключения блокировщика скриптов и рекламы на этом месте появится полезная подсказка/ссылка/код/пример конфигурации/etc!
Браузер Firefox использует собственное хранилище корневых сертификатов и может работать без обновления корневых сертификатов на Windows XP.
Внимание:
Если вы технический специалист, не хотите читать ничего лишнего, а просто желаете получить готовое решение, переходите сразу к этому разделу.
Дисклеймер:
Статья сугубо техническая, несмотря на вольный и слегка художественный стиль повествования в самом начале. В ней приводятся несколько проверенных решений реально существующей проблемы, появившейся незадолго до написания статьи и затронувшей миллионы устройств по всему миру.
Эпиграф:
Инженер не должен все знать. Он должен знать, где найти решение.
Итак, свершилось! В очередной раз где-то на неизвестной горе засвистел герой народных присказок, известный как Рак, в то время как другой герой этих же присказок, даже пребывая в жаренном состоянии, начал клевать ягодицы расслабленных пользователей интернета под обеспокоенным взором крестящихся мужиков, напуганных очередным раскатом грома.
Конец света (по мнению многих обывателей) начался буднично. В красивый и приятный осенний день 1 октября 2021 года, который пришелся на всегда ожидаемую из-за предстоящих выходных и слегка сумбурную из-за начала нового месяца пятницу, многочисленные пользователи довольно-таки старых, но все еще бережно хранимых и даже, пусть со скрипом, но вполне себе работающих устройств, вдруг не смогли зайти на свои любимые сайты.
Вот представьте: хотите вы с утра включить онлайн радио и послушать музыку, а взамен получаете сообщение “Ваше подключение не является приватным”. Или вам по работе позарез нужно зайти на определенный сайт со своей учетной записью, а вместо этого вы видите на экране “Часы спешат. Не удалось установить защищенное соединение с доменом из-за неверных настроек системных часов и календаря”. Вы пытаетесь хотя бы почитать новости, но при попытке открыть сайт по ссылке страница просто не загружается. Как работать в таких условиях? Чем не конец света?
На самом деле причина таких ошибок проста и очевидна: вы используете устаревшую технику и такие же устаревшие технологии. Неважно, почему — у каждого есть свои причины и никто здесь не собирается их оспаривать. Важно, что из-за этого становится недоступной значительная часть информации и невозможной определенная деятельность в сети интернет. Давайте для начала установим причину такого положения дел.
Почему перестали открываться сайты на старых компьютерах и смартфонах?
Начиная с 30 сентября 2021 года миллионы пользователей по всему земному шару больше не могут пользоваться многими интернет-сайтами. В этот день истек срок действия корневого сертификата IdenTrust DST Root CA X3, и это ломает работу интернета на миллионах устройств по всему миру, которые давно не получали обновления своего программного обеспечения. Наиболее часто ошибка отображается как NET::ERR_CERT_DATE_INVALID.
Сертификат IdenTrust DST Root CA X3 выпущен некоммерческим удостоверяющим центром Let’s Encrypt, который предоставляет на безвозмездной основе криптографические сертификаты для TLS-шифрования. Протокол TLS обеспечивает зашифрованную передачу данных между узлами компьютерной сети. Если сертификат TLS на устройстве просрочен, то соединиться с другим узлом сети оно не может.
Сертификат IdenTrust DST Root CA X3 используется на миллионах устройств по всему миру. Это и Android-смартфоны, и техника Apple, и даже игровые приставки, не говоря о компьютерах под управлением Windows. Одних только устройств со старыми и не обновляемыми версиями Android (в основном, это смартфоны и планшеты) сегодня насчитывается более 213 млн. Подробно об этом писали многие издания, например, C-News.
Что делать, если сайт не открывается на старом компьютере или телефоне?
Решить проблему можно или установкой свежего программного обеспечения (ПО), или покупкой современного устройства. Установить свежее ПО на старую технику не всегда возможно, но зато современные устройства под управлением актуальных операционных систем Windows, iOS, Linux, Android не подвержены описываемой проблеме, так как централизованно обновляются и всегда работают с актуальным списком сертификатов безопасности. Так что обновление техники и программного обеспечения — это наилучший способ даже не знать о существовании такой беды, как невозможность открыть некоторый сайт в браузере из-за проблем с сертификатом безопасности. К тому же, обновление всегда дает значительные преимущества в плане скорости и комфорта работы. Но, к сожалению, обновление техники по совершенно разным причинам доступно далеко не каждому.
Конечно, надо понимать, что переход на новую технику и на новые версии ПО — это неизбежность. Ничто не стоит на месте, все в мире развивается, и рано или поздно мы будем использовать все более новые поколения устройств и новые версии программного обеспечения. При этом старое ПО и старая аппаратура с определенного момента перестают быть интересными производителям, и их поддержка прекращается. Как только это случается, все сторонние производители техники и разработчики программ также перестают задумываться о совместимости своих продуктов со старыми моделями и версиями. Более того, многие из них намеренно отключают возможность использования устаревшей техники со своими новыми продуктами, как в целях улучшения безопасности пользователей, так и в своих сугубо коммерческих целях.
К примеру, компания Microsoft прекратила поддержку Windows XP еще в 2005 году (в 2009 году для 64-битной версии, в 2014 — расширенную поддержку, в 2019 — поддержку версии для банкоматов). Поддержка все еще популярной Windows 7 прекращена в 2015 году, расширенная поддержка — в 2020 году.
Это значит, что все эти версии операционной системы уже давно не получают обновления сертификатов. Как следствие всего перечисленного, разработчики ПО отказываются от поддержки старых платформ в целях обеспечения должного уровня защищенности пользователя. Например, практически все банки уже давно не позволяют своим клиентам получать доступ к собственным денежным средствам с устаревших устройств. При этом Windows 7, и даже Windows XP все еще довольно широко распространены на компьютерах как в частном, так и в корпоративном секторе.
Не совсем по теме
К слову сказать, в качестве небольшого отступления, на тех предприятиях, где я занимаюсь обслуживанием компьютерной техники, на данный момент использование компьютеров более чем 10-летней давности доходит местами до 50%, из них почти половина работает под управлением Windows XP. И это если не считать компьютеры в составе технологического оборудования на производстве. В целом, в моей практике, приходится сталкиваться примерно с 20-30% компьютеров под управлением Windows XP, 50-70% – Windows 7 и 20-30% – Windows 10. Иногда встречаются Windows 8 и Windows 8.1, а вот Mac и Linux – реально единицы.
[свернуть]
Как заставить сайты открываться на старых компьютерах и в старых версиях браузеров?
К счастью, есть несколько вариантов, как можно продлить жизнь старым устройствам и заставить их работать в современных реалиях. Сразу скажу, что все эти решения временные и ненадежные. Самым правильным и надежным решением остается обновление техники и используемого ПО.
Как временное решение проблемы с невозможностью открыть сайт из-за проблем с сертификатами можно попробовать обновить списки актуальных и отозванных сертификатов безопасности. На старых устройствах придется делать это вручную. На данный момент существует несколько вариантов обновления сертификатов, все эти варианты мне удалось найти в сети интернет. Конечно, на практике все их опробовать не удалось, но упомянуть даже не опробованные варианты все же стоит.
Ручное обновление корневых сертификатов
Итак, при попытке соединения с сервером по шифрованным протоколам SSL/TLS (то есть, по протоколу HTTPS) может возникать ошибка:
SSL error 0x80090325 Цепочка сертификатов выпущена центром сертификации, не имеющим доверия.
Это лишь вариант описания ошибки, текст сообщения о невозможности установки защищенного соединения может быть и другим. Некоторые сервера, например, пишут о возможном несоответствии системного времени на компьютере с реальным временем. Причина заключается в истечении срока действия корневого цифрового сертификата IdenTrust DST Root CA X3, которым подписаны сертификаты от популярного удостоверяющего центра Let’s Encrypt. Им выпущено множество SSL сертификатов (более чем для 250 миллионов доменных имен) для веб-сайтов, почтовых серверов и других служб.
Для решения проблемы Let’s Encrypt уже более 5 лет использует подпись корневым сертификатом ISRG Root X1, действующим до 2035 года. Однако устройства, программы и операционные системы, не получающие автоматические обновления, не могут сами получить этот сертификат. Например, не обновляются версии:
- Android 7.1.1 и старше;
- Mozilla Firefox до 50.0;
- MacOS 10.12.0 и старше;
- Windows XP (включая Service Pack 3);
- iOS-устройств до версии iOS 10;
- OpenSSL 1.0.2 и ниже;
- Ubuntu до версии 16.04;
- Debian 8 и старше.
Для восстановления возможности работы устаревшего устройства или программного обеспечения следует обновить операционную систему или добавить SSL-сертификат ISRG Root X1 в список доверенных.
Установка корневого сертификата в ОС Windows, iOS, Linux, Android
Итак, вариант первый. Сразу скажу, что этот вариант я пробовал только на виртуальной машине с Windows XP, и он сработал только частично. Описание варианта взято здесь.
Чтобы установить новый корневой сертификат, надо скачать на устройство файл сертификата и импортировать его в список доверенных. В ОС Windows достаточно дважды щелкнуть на файле сертификата, чтобы просмотреть сведения о нем и получить возможность установить сертификат нажатием на соответствую кнопку.
Более сложный способ установки корневого сертификата для Windows XP описан здесь, хотя и не понятно, зачем такие сложности.
В iOS до 10 версии надо перейти в «Настройки» -> «Основные» -> «Профили и управление устройством», выбрать сертификат ISRG Root X1 и нажать «Установить». Затем в разделе «Настройки» -> «Основные» -> «Доверие сертификатов» включить «Доверять корневым сертификатам полностью».
В Linux необходимо сначала удалить старый корневой сертификат DST Root CA X3 из списка доверенных, для чего надо переместить его в директорию /etc/pki/ca-trust/source/blacklist, а затем установить доверие к корневому сертификату ISRG Root X1, для чего перенести его в директорию /etc/pki/ca-trust/source/anchors directory. После этих манипуляций надо обновить списки сертификатов командой update-ca-trust. Это один из способов. Подробности здесь.
Что касается ОС Android до 7.1.1, то Let’s Encrypt удалось договориться с IdenTrust о выпуске на 3 года кросс-подписи истекшего DST Root CA X3. Таким образом, устройства даже с устаревшими версиями Android не будут сообщать об ошибке как минимум до 2024 года. Действий с ними не требуется.
Дополнение: способ обновления сертификатов на телевизорах LG поду управлением WebOS описан в отдельной статье.
Обновление всех сертификатов безопасности на старых версиях Windows
Закончившийся сертификат Let’s Encrypt — далеко не единственный из тех, которые контролируют доступ пользователей к сайтам. Списки актуальных и отозванных сертификатов постоянно изменяются, и современные операционные системы получают эти списки вместе с собственными автоматическими обновлениями. Поэтому лучшим решением (если не считать обновления устройства) будет приведение всего списка сертификатов на устройстве в соответствие с реальным положением вещей.
В случае с Windows это можно сделать несколькими способами. Первый из них заключается в создании списка актуальных сертификатов на любом компьютере, где установлена современная обновляемая система Windows, и последующем импортировании этих сертификатов на компьютер со старой системой.
Сделать это не очень сложно, если почитать описание данного метода на любом подходящем сайте. Например, здесь есть короткое описание, а здесь — более детальное. Это второй вариант устранения ситуации, когда не работает интернет на старом компьютере. Но на самом деле есть еще более удобный и простой способ.
Быстрый и простой способ обновления сертификатов Windows
Третий вариант исправления проблемы с неработающим интернетом самый простой, если воспользоваться готовым инструментом с этого сайта. Данный способ заключается в использовании списков актуальных и отозванных сертификатов с официального сайта Microsoft и последующей установке этих списков в систему при помощи инструментов, также разработанных Microsoft. Правда, эти инструменты уже официально признаны устаревшими и не поддерживаемыми, но по-прежнему успешно справляются с задачей обновления сертификатов.
Описание метода взято с этого ресурса, за что выражаю автору огромную благодарность.
Итак, чтобы обновить сертификаты безопасности на старом устройстве с Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2008 и др., надо скачать и запустить последовательно на выполнение два файла:
- rvkroots_20211001.exe — самораспаковывающийся архив со списком устаревших небезопасных сертификатов, автоматически удаляет эти сертификаты из списка доверенных при запуске файла;
- rootsupd_20211001.exe — самораспаковывающийся архив со списком актуальных сертификатов, автоматически добавляет эти сертификаты в соответствующие хранилища сертификатов при запуске файла.
Списки сертификатов получены с официального сайта Microsoft 1.10.2021 г. (при желании можно распаковать архив без установки и посмотреть содержимое). Для корректного обновления списка сертификатов необходимо запускать файлы от имени пользователя, обладающего правами администратора системы.
Обновление сертификатов проверено на нескольких компьютерах под управлением операционных систем Windos XP SP 3 и Windows 7.
Как еще можно открывать сайты на старых компьютерах и смартфонах?
В отличие от других браузеров, Mozilla Firefox хранит сертификаты в собственном хранилище, не используя для этого хранилище операционной системы. Поэтому на старых устройствах, особенно на смартфонах с Android 5.0 и старше, Let’s Encrypt рекомендует установить браузер Firefox. Что касается Windows XP, то актуальная версия Firefox не поддерживает эту систему, поэтому стоит попробовать скачать и установить более старую версию этого браузера.
Для браузеров на основе движка Chromium (а это почти все популярные браузеры, в том числе Opera, Microsoft Edge, Яндекс Браузер и прочие) в сети встречаются рекомендации по сбросу настроек HSTS для отдельных сайтов. Для этого надо в адресной строке браузера набрать команду chrome://net-internals/#hsts и на открывшейся странице настроек ввести адреса нужных сайтов в раздел Delete domain security policies. На практике эту рекомендацию я не проверял.
Поскольку проблема новая и затрагивает очень большое количество устройств, я буду рад, если описываемые здесь методы решения помогут вам в исправлении проблемы, еще более буду рад распространению ссылок на данный материал. И конечно, можно выразить благодарность даже в материальной форме. Спасибо!
Нет ничего более неприятного, чем ошибка сертификата SSL, как для владельцев веб-сайтов, так и для пользователей. Если вы уверены, что выполнили все необходимые шаги по установке SSL-сертификата только для того, чтобы Chrome сообщил вам, что что-то не так с безопасностью вашего сайта, у вас может возникнуть соблазн поднять руки и полностью сдаться.
Пользователей раздражает попытка получить доступ к сайту только для того, чтобы получить сообщение «Ваше соединение не защищено» вместе с предупреждением «Небезопасно» в адресной строке. Здесь следует подчеркнуть, что это сообщение предназначено исключительно для вашей защиты и в большинстве случаев является законным. Тем не менее, иногда на стороне пользователя может возникнуть проблема, которая может вызвать это предупреждение. К счастью, решить эти проблемы не так уж сложно. Иногда на самом деле это довольно просто. В этой статье блога вы узнаете, почему в Google Chrome может отображаться сообщение об ошибке сертификата SSL, а также о том, как их исправить, независимо от того, являетесь ли вы владельцем веб-сайта или пользователем.
Исправление ошибок SSL в Google Chrome для владельцев сайтов
Существует ряд причин, по которым SSL-сертификат вашего веб-сайта может считаться недействительным в Google Chrome. Некоторые причины:
- Ошибки в процессе установки сертификата, нехватает промежуточного сертификата, например;
- Срок действия вашего SSL-сертификата истек;
- Ваш SSL-сертификат действителен только для основного домена, а не для поддоменов;
- У вас установлен самозаверенный SSL-сертификат, или вы не приобрели его в доверенном Центре сертификации;
Как исправить ошибки сертификата SSL в Chrome для пользователей
Для тех, кто пытается получить доступ к явно небезопасному веб-сайту, есть несколько вещей, которые вы можете сделать в своем браузере и операционной системе, чтобы решить проблему:
- Проверьте время и дату: нет, только не на ваших наручных часах или календаре, а на операционной системе вашего устройства. Это может показаться незначительным соображением, но если время вашего устройства полностью расходится со сроком действия сертификата SSL, он будет считаться устревшим. Если это проблема, сообщение может также сказать «NET :: ERR_CERT_DATE_INVALID».
- Очистить кеш для этого веб-сайта: файлы cookie веб-сайта могут вызывать появление сообщения об ошибке, если, например, в вашем браузере, есть кэшированный старый сертификат SSL для этого веб-сайта. Вы также можете встретить «ERR_TOO_MANY_REDIRECTS» как часть вашего сообщения об ошибке.
Очистить файлы cookie в Chrome очень просто, нажмите Ctrl + Shift + Del или:
- Откройте Chrome и щелкните меню (три вертикальные точки в правом верхнем углу браузера).
- В раскрывающемся меню щелкните Параметры. В конце страницы нажмите «Дополнительно».
- В поле «Конфиденциальность и безопасность» выберите «Очистить данные просмотра».
- Здесь вы можете удалить все данные о просмотре или только файлы cookie, относящиеся к сайту, который вы пытаетесь посетить.
- Обновите Chrome и вашу операционную систему. Иногда ошибка сертификата SSL может быть просто связана с использованием устаревшей версии Chrome. Чтобы убедиться, что у вас последняя версия, щелкните меню. Если у вас старая версия браузера, вы увидите кнопку «Обновить Google Chrome». Пока вы работаете, убедитесь, что на вашем устройстве установлена самая последняя версия операционной системы, так как это также может способствовать появлению сообщений об ошибках (например, когда не установлены, обновлены корневые сертификаты центров сертификации).
- Отключить расширения Chrome: иногда настройки определенных расширений браузера могут мешать доступу к веб-странице. Чтобы узнать, работает ли это, когда вы отключите свои расширения, снова зайдите в настройки. Щелкните Расширения в меню слева. Отключите ваши расширения и перезапустите браузер.
- Проверьте брандмауэр / антивирусное программное обеспечение: иногда настройки антивирусного программного обеспечения могут рассматривать определенный трафик HTTPS, как подозрительный. Чтобы узнать, не мешает ли это вашему доступу к определенным сайтам, вы можете либо полностью отключить брандмауэр или антивирус, либо (если он имеет этот параметр) отключить сканирование SSL. Этот вариант следует использовать только в том случае, если вы уверены, что веб-сайт, к которому вы пытаетесь получить доступ, действительно безопасен.
Если вы попробовали все эти исправления и ничего не помогло, скорее всего, это реальная проблема с сертификатом SSL самого веб-сайта, как описано в предыдущем разделе. В этом случае вы также можете получить одно из следующих сообщений:
Эта страница недоступна —
-
NET :: ERR_CERT_COMMON_NAME_INVALID;
-
NET :: ERR_CERT_REVOKED;
-
NET :: ERR_CERT_AUTHORITY_INVALID;
-
ERR_SSL_WEAK_EPHEMERAL_DH_KEY;
-
ERR_SSL_VERSION_OR_CIPHER_MISMATCH.
Если вы все еще хотите получить доступ к сайту, у вас есть два варианта:
- Свяжитесь с веб-мастером или владельцем веб-сайта и сообщите им, что с их сертификатом SSL возникла проблема.
- (Мы категорически не рекомендуем этот.) Продолжайте переходить на сайт с небезопасным соединением на свой страх и риск.
ИТОГ
Сообщения об ошибках сертификата SSL Chrome могут быть проблемой, но очень часто можно быстро найти решение, особенно со стороны пользователя. Если вы недавно приобрели и установили SSL-сертификат для своего веб-сайта у нас, который вызывает сообщения об ошибках в Chrome и не можете понять причину, обратитесь в нашу службу технической поддержки.
Как и любой программный продукт, браузер от Google не застрахован от разного рода ошибок, возникающих в процессе использования. Обычно такие ошибки могут возникать из-за неправильных настроек самого браузера или его конфликта с другим программным обеспечением. Иногда пользователи Chrome сталкиваются с проблемой, когда они не могут открыть определенный сайт и у них на экране появляется сообщение: “Сертификат сайта безопасности не является доверенным”. Ниже мы расскажем о причинах возникновения данной ошибки и способах её устранения.
Содержание
- Зачем отключать проверку сертификатов
- Почему возникает ошибка сертификата
- Как отключить проверку безопасности
- Использование командной строки
- Настройка сканирования файлов.
- Настройка сертификатов
Зачем отключать проверку сертификатов
Разработчики браузера Google особое внимание уделяют безопасности пользователей. Поэтому в программном коде обозревателя имеются определённые алгоритмы, которые отслеживают безопасность посещаемых сайтов пользователем.
В тех случаях, когда пользователь планирует перейти на подозрительный сайт, алгоритм безопасности обозревателя блокирует такой переход.
Если вы считаете сайт безопасным, а тревогу ложной – в таком случае нужно отключить проверку сертификатов Chrome, чтобы посетить данный ресурс.
Почему возникает ошибка сертификата
Система сертификации призвана сократить риск потери конфиденциальной информации и заражения ПК вредоносными программами при посещении различных сайтов. Поэтому, если при обращении к серверу и обмене с ним данными браузером обнаруживается отсутствие сертификата на сервере или его несоответствие, то возникает ошибка сертификата.
Причины такой неполадки могут крыться в программном обеспечении сервера или компьютера клиента. Так, у сервера могут возникнуть следующие проблемы:
- Истёк срок годности сертификата. Зачастую сертификат действителен в течение года и его необходимо продлевать, что не каждый владелец сайта своевременно делает;
- Инсталлированный на сервере сертификат выдан ненадёжной организацией или неправильно установлен;
- Технические неполадки. Администрация сайта может проводить профилактические работы или возникнут различные форс-мажорные обстоятельства, при которых интернет-ресурс будет некорректно функционировать.
Вышеперечисленные проблемы случаются не так часто, как проблемы программного обеспечения на клиентских компьютерах. В этих случаях ошибка сертификата в Chrome может быть обусловлена следующими распространёнными причинами:
- Неправильная настройка времени и даты. Довольно часто время и дата на компьютере может сбиться из-за севшей на материнской плате батарейки. Поэтому убедитесь в том, что системное время и дата корректно отображаются в операционной системе. В противном случае установите текущую дату и время.
- Конфликт обозревателя с установленными расширениями, брандмауэром или антивирусным программным обеспечением. Деактивируйте все установленные в вашем браузере расширения и попытайтесь снова получить доступ к проблемному сайту. Если эти действия не помогли решить возникшую проблему, то попробуйте временно отключить брандмауэр и антивирус.
- Устаревшая версия операционной системы и Google Chrome. Установите более позднюю версию операционной системы и обозревателя.
В случае если на вашем ПК всё в порядке, ошибка сертификации может означать проблемы на стороне сервера и/или реальную угрозу безопасности. Отключайте сертификаты на свой страх и риск.
Как отключить проверку безопасности
Многие версии обозревателя Google Chrome разрешают пользователю самостоятельно отключить проверку сертификатов через интегрированные инструменты в самом браузере. Для этого вам необходимо выполнить следующие действия:
- Запустите на своём компьютере Google Chrome;
- В правом верхнем углу браузера нажмите на кнопку с тремя точками;
- В появившемся меню выберите раздел с названием «Настройки»;
- Перейдите в «Конфиденциальность и безопасность» и далее в подраздел «Безопасность»;
- Здесь нажмите на кнопку «Настроить сертификаты»;
- В новом дочернем окне нажмите на кнопку “Дополнительно”.
- Уберите галочку с поля “Проверка подлинности сервера”.
После всех этих действий закройте браузер Google Chrome, затем снова его запустите, и попробуйте получить доступ к тому сайту, у которого при обращении была ошибка сертификатов.
Использование командной строки
Отключить проверку сертификата в Google Chrome можно посредством применения командной строки. Для этого вам необходимо выполнить следующие действия:
- Найдите на своём рабочем столе операционной системы ярлык обозревателя Google Chrome;
- Кликните на нем правой кнопкой мыши;
- В открывшемся меню выберите “Свойства”;
- Найдите строку с названием “Объект”.
- С правой стороны от “Объект” находится символьное поле, в котором указан путь к исполняемому файлу обозревателя;
- Допишите после пути “ —ignore-certificate-errors” (без кавычек);
- Сохраните сделанные изменения, нажав кнопку “Ок”.
После этого браузер будет обращаться к сайтам без проверки сертификата.
Настройка сканирования файлов.
В некоторых случаях при ошибке сертификата возобновить доступ к требуемому интернет-ресурсу можно изменив настройки сканирования файлов в обозревателе.
Для этого вам надо зайти в раздел с названием “Личные данные” и убрать галочку со строки, имеющей название ”Защитить устройство от опасных сайтов”.
Этими действия вы отключили свой обозреватель от функции, выполняющей сканирование файлов и проверку вредоносного программного обеспечения.
Настройка сертификатов
Как отключить проверку https в Google Chrome:
- Скачать с интернета файл с названием Equifax Secure Certificate Authority;
- В обозревателе перейти в “Настройки” – «Конфиденциальность и безопасность» – «Безопасность»;
- В этом разделе нажать на кнопку с названием «Настроить сертификаты»;
- Найти и выделить строку “Доверенные корневые центры сертификации”;
- C помощью правой кнопки мыши вызвать новое контекстное меню и в нём выбрать подпункт с названием “Все задачи”;
- В следующем появившемся меню нажать на “Импорт” и выбрать на своём компьютере скачанный с интернета файл сертификата;
- Пункты 4-6 необходимо повторить с папкой “Сторонние корневые центры сертификации”.
Так можно решить проблему доступа к сайту из-за несоответствия сертификата в обозревателе Google Chrome.
( 2 оценки, среднее 4.5 из 5 )
- Информация о материале:
- Опубликовано: 2020-05-23
- Обновлено: 2020-06-22
- Автор: Олег Головский
Не секрет, что Windows XP отправлена на свалку и более не поддерживается разработчиком, а при использовании различных веб-браузеров могут возникать ошибки SSL сертификата: недостаточно информации для проверки этого сертификата.
Ошибка сертификата в Windows XP может проявляться в разных браузерах включая Opera, Chrome и конечно Internet Explorer — все они используют одно хранилище сертификатов, которое разумеется давно устарело и не обновляется по причине отсутствия поддержки Windows XP. Именно по причине устаревших сертификатов мы и наблюдаем в браузерах ошибки типа: «недостаточно информации для проверки этого сертификата».
Как обновить корневые сертификаты Windows XP
Ручками обновить будет довольно проблематично. Официальных пакетов обновляющих корневые сертификаты Windows XP не существует.
На просторах Интернетов был найден один рецепт, состоящий из «заточки» пакета обновления сертификатов от «висты» под «хр», процесс выглядит следующим образом:
1. Скачиваем «rvkroots.exe» Microsoft download (http://www.microsoft.com/download/details.aspx?id=41542 https://web.archive.org/web/20171119114944/http://download.windowsupdate.com/d/msdownload/update/software/secu/2015/03/rvkroots_3f2ce4676450c06f109b5b4e68bec252873ccc21.exe), unzip его в каталог (например с помощью WinRAR), в файле «rvkroots.inf» переменную VERSION устанавливаем «5,0,2195,0» и VER в «005» соответственно. Скачиваем «http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcert.sst» в каталог куда был распакован «rvkroots.exe» с заменой старого файла. После из всего содержимого каталога создаём самораспаковывающийся архив (Create Self-Extracting Archive) WinRAR отметив SFX опцию и добавив следующие SFX-команды (ака комментарий):
TempMode
Silent=1
Overwrite=1
Setup=Rundll32.exe advpack.dll,LaunchINFSection rvkroots.inf,DefaultInstallТеперь мы имеем файл отзывающий все небезопасные (устаревшие) сертификаты!
2. Для обновления корневых сертификатов (Root Certificate Update) скачиваем «rootsupd.exe» (http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/rootsupd.exe https://web.archive.org/web/20170829230259/http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/rootsupd.exe), unzip его в каталог (например с помощью WinRAR), в «rootsupd.inf» значение переменной VERSION ставим «40,0,2195,0» и в VER «040» соответственно, скачиваем в каталог куда был распакован «rootsupd.exe» с заменой старых файлов,
«http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authroots.sst»
«http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/delroots.sst»
«http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/roots.sst»
«http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/updroots.sst»
После из всего содержимого каталога создаём самораспаковывающийся архив (Create Self-Extracting Archive) WinRAR отметив SFX опцию и добавив следующие SFX-команды (ака комментарий):TempMode
Silent=1
Overwrite=1
Setup=Rundll32.exe advpack.dll,LaunchINFSection rootsupd.inf,DefaultInstallТеперь у нас есть файл обновлящий корневые сертификаты!
Эта проблема недавно решалась на удалённой машине Windows XP и уже собраны пакеты для отзыва и обновления корневых сертификатов, кому лень собирать можете скачать уже готовые:
Только после полного отключения блокировщика скриптов и рекламы на этом месте появится полезная подсказка/ссылка/код/пример конфигурации/etc!
Браузер Firefox использует собственное хранилище корневых сертификатов и может работать без обновления корневых сертификатов на Windows XP.