сертификат сервера устарел что делать
Ошибка «Сертификат безопасности сайта не является доверенным». Как ее исправить?
Доброго дня!
Я думаю, что почти каждый пользователь (особенно в последнее время) сталкивался с ошибкой в браузере о том, что сертификат такого-то сайта не является доверенным, и рекомендацией не посещать его.
Суть происходящего, и что это значит?
Дело в том, что когда вы подключаетесь к сайту, на котором установлен протокол SSL, то сервер передает браузеру цифровой документ ( сертификат ) о том, что сайт является подлинным (а не фейк или клон чего-то там. ). Кстати, если с таким сайтом все хорошо, то браузеры их помечают «зеленым» замочком напротив URL-строки: на скрине ниже показано, как это выглядит в Chrome.
Т.е. я веду к тому, что под раздачу могут попасть как совсем белые сайты, так и те, которые реально опасно посещать. Поэтому, появление подобной ошибки это повод внимательно взглянуть на адрес сайта.
Ну а в этой статье я хочу указать на несколько способов устранения подобной ошибки, если она стала появляться даже на белых и известных сайтах (например, на Google, Яндекс, ВК и многих других. Их же вы не откажетесь посещать? 😉).
Как устранить ошибку
👉 1) Обратите внимание на адрес сайта
Первое, что сделайте — просто обратите внимание на адрес сайта (возможно, что вы по ошибке набрали не тот URL).
Также иногда такое происходит по вине сервера, на котором расположен сайт (возможно, вообще, сам сертификат просто устарел, ведь его выдают на определенное время). Попробуйте посетить другие сайты, если с ними все «OK» — то вероятнее всего, что проблема не в вашей системе, а у того конкретного сайта.
Пример ошибки «Сертификат безопасности сайта не является доверенным»
Однако, отмечу, что если ошибка появляется на очень известном сайте, которому вы (и многие другие пользователи) всецело доверяете — то высока вероятность проблемы в вашей системе.
👉 2) Проверьте дату и время, установленные в Windows
Как настроить дату и время в Windows 10/11: см. пошаговую инструкцию
Настройка даты и времени
После установки правильного времени, перезагрузите компьютер и попробуйте заново открыть браузер и сайты в нем. Ошибка должна исчезнуть.
Батарейка на материнской плате ПК
👉 3) Попробуйте провести обновление корневых сертификатов
👉 4) Установка «доверенных» сертификатов в систему
Этот способ хоть и рабочий, но хотелось бы предупредить, что он «может» стать источником проблем в безопасности вашей системы. По крайней мере, прибегать к этому советую только для таких крупных сайтов как Google, Яндекс и т.д.
Кстати, на этой страничке расположено еще несколько сертификатов, их также можно до-установить в систему.
Кстати, чтобы скачать GeoTrust Primary Certification Authority:
Сохранить ссылку как.
Файл с расширением PEM
Теперь необходимо скачанный сертификат установить в систему. Как это делается, по шагам расскажу чуть ниже:
Мастер импорта сертификатов
Указываем сертификат, который загрузили
Поместить сертификаты в доверенные. Далее
👉 5) Обратите внимание на антивирусные утилиты
В некоторых случаях эта ошибка может возникать из-за того, что какая-нибудь программа (например, антивирус) проверяет https трафик. Это видит браузер, что пришедший сертификат не соответствует адресу, с которого он получен, и в результате появляется предупреждение/ошибка.
Поэтому, если у вас установлен антивирус/брандмауэр, проверьте и на время отключите настройку сканирования https трафика (см. пример настроек AVAST на скрине ниже). 👇
Либо, как вариант, на время удалите его или полностью отключите!
Чтобы открыть проблемный сайт — загрузите браузер MX5 (я о нем рассказывал в заметке о флеш-играх). При попытке перейти на «проблемный» сайт в нем — он вас предупредит, что это не безопасно, но если вы подтвердите свое намерение — н загрузит страничку!
В общем, рекомендую иметь такой инструмент под-рукой. 👌
На этом у меня всё.
Как исправить ошибки безопасности SSL в браузере
При открытии сайтов в браузере иногда возникают ошибки – домен в адресной строке выделяется красным с зачеркиванием или ресурс вообще не открывается. Типовая причина скрывается в сбоях работы сертификата SSL. Исправить их может только администратор сайта, но перед обращением к нему стоит проверить собственный компьютер.
Что такое SSL
Текущие тенденции сайтостроения предполагают высокую безопасность соединения пользователя с веб-ресурсом. Это необходимо для защиты персональных данных, секретных номеров банковских карт и информации о проводимых сделках. Организуется безопасность подключением протокола шифрования Secure Sockets Layer (сокращенно SSL).
Работа сайта возможна и без SSL, но поисковые системы «не доверяют» таким ресурсам и помечают их в браузере как неблагонадежные. Поэтому лучше разобраться, как решить проблему с защитой и полноценно пользоваться протоколом HTTPS. Сертификат актуален на сайтах, где присутствует регистрация, предлагается покупка товаров или онлайн-оплата различных сервисов.
При появлении любых сомнений в исправности защиты регистрироваться на сайте или вводить ранее выданные логин и пароль не рекомендуется. Тем более не стоит осуществлять онлайн-оплату с банковских карт или электронных кошельков, ведь не исключено, что проблема возникла из-за взлома ресурса злоумышленниками.
Причины появления ошибок SSL
Существует всего две причины, почему браузер отображает ошибку сертификата SSL со стороны сервера. Первая заключается в окончании срока активации, вторая – это покупка сертификата у поставщика без достаточных полномочий для выдачи «полноценной защиты». Например, виной может быть выбор самоподписанного сертификата, лишь эмулирующего работу реального протокола.
Остальные проблемы обычно скрываются на локальном компьютере:
Чтобы выяснить настоящую причину, пользователю браузера рекомендуется проверить все перечисленные факторы. При том же заражении компьютерными вирусами возможно проявление сразу нескольких симптомов – от изменения текущего времени и блокировки антивирусом до подключения перенаправления страниц в браузере и других неприятностей.
Изредка встречаются ситуации, когда проблема возникла со стороны администратора, если он ошибся при подключении нового сертификата или забыл продлить его действие. Обычно такие неполадки устраняются быстро, потому что после активации сайт проверяется и, в случае неработоспособности сертификата, проводится повторное подключение вплоть до получения положительного результата.
Время и дата
Сертификат SSL имеет четко обозначенный срок действия с датой активации и деактивации. Такой подход отчасти дает дополнительную защиту, потому что в случае технического сбоя в системных часах компьютера сайты перестают открываться. Сброс времени обычно происходит «назад», на дату изготовления материнской платы, на что и реагирует система.
Варианты исправления ситуации:
Каждый раз после изменения времени рекомендуется ручное обновление страницы или перезапуск браузера. Такой шаг активирует повторное соединение с сервером и позволяет зайти на сайт «с нуля», но уже с правильным временем, соответствующим сроку действия сертификата SSL (после активации и до ее завершения).
Настройки антивируса и брандмауэра
Программы для защиты компьютера от вирусов и хакерских атак иногда блокируют и «полезные» соединения, например, определенные домены или сразу весь протокол HTTPS, используемый при подключении сертификата SSL. Большинство антивирусов и брандмауэров проверяют его работу, и это становится причиной блокировки сайта как «злоумышленника, пытающего украсть данные».
Варианты исправления ситуации:
Функция временного отключения имеется в любой защитной программе, даже интегрированной в операционную систему Windows. Но это не гарантирует полную деактивацию приложения. В этом случае разобраться в ситуации поможет открытие сайта на другом компьютере или запуск безопасного режима (актуально для проводного подключения к интернету).
Браузер и операционная система
Наличие проблемы с браузером проще всего определить открытием сайта на другом устройстве или в другой программе. Иногда решение заключается в банальном обновлении версии приложения до актуальной. То же относится к операционной системе, если используется интегрированный браузер вроде Edge. Пакеты обновлений для того и выпускаются, чтобы устранять неполадки в ПО.
Варианты исправления ситуации:
Остается еще один вариант – сбросить настройки браузера до состояния «по умолчанию». Способ аналогичен переустановке, но экономит время. Правда, он неэффективен, если проблема возникла из-за сбоя в одном из служебных файлов программы. Отдельное внимание стоит уделить расширению, выполняющему функции антивирусной защиты, ведь оно часто блокирует даже безопасное соединение.
Заражение компьютерными вирусами
Выдачей ошибки SSL браузер, вероятно, предупреждает о попытке его подмены, переадресации на сайт-клон или иной угрозе. В это случае рекомендуется провести полную проверку компьютера на наличие вирусов. Если присутствуют другие признаки заражения, стоит скачать парочку программ со свежими антивирусными базами (например, CureIt).
Варианты исправления ситуации:
Выполняются перечисленные действия программами типа CCleaner. Они дают прямой доступ как к автозагрузке операционной системе, так и к списку расширений установленных браузеров. Также в таких программах обычно есть функция удаления ненужных системных файлов, в которых запросто может быть тело компьютерного вируса.
Если предложенные способы устранения ошибки SSL не помогли, остается ждать, пока проблему устранит администратор, или воспользоваться любым другим тематическим сайтом с аналогичным контентом.
Изменение даты истечения срока действия сертификатов, выдавлимые управлением сертификатов
В этой статье описывается изменение срока действия сертификата, выданного Управлением сертификации (CA).
Применяется к: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер КБ: 254632
Сводка
По умолчанию срок службы сертификата, выданного автономным органом сертификации, составляет один год. По истечении одного года срок действия сертификата истекает, и ему не доверяют. Могут возникнуть ситуации, когда необходимо переопредить дату истечения срока действия сертификатов, выдаванных промежуточным или ЦС по умолчанию.
Период действия, определенный в реестре, влияет на все сертификаты, выдавлимые автономными и Enterprise CAs. Для Enterprise CAs параметр реестра по умолчанию составляет два года. Для автономных ЦС параметр реестра по умолчанию составляет один год. Для сертификатов, которые выдают автономные ЦС, срок действия определяется записью реестра, описанной позже в этой статье. Это значение применяется ко всем сертификатам, выданным ЦС.
Для сертификатов, которые выдают Enterprise CAs, срок действия определяется в шаблоне, который используется для создания сертификата. Windows 2000 и Windows Server 2003 выпуск Standard не поддерживают изменение этих шаблонов. Windows Сервер 2003 выпуск Enterprise поддерживает шаблоны сертификатов версии 2, которые можно изменить. Период действия, определенный в шаблоне, применяется ко всем сертификатам, выданным Enterprise центра сертификации в лесу Active Directory. Сертификат, выданный ЦС, действителен как минимум в течение следующих периодов времени:
Период действия реестра, который отмечен ранее в этой статье.
Это относится к автономным сертификатам ca и Subordinate CA, выданным Enterprise CA.
Период действия шаблона.
Это относится к Enterprise CA. Шаблоны, поддерживаемые Windows 2000 и Windows Server 2003 выпуск Standard не могут быть изменены. Шаблоны, поддерживаемые Windows Server выпуск Enterprise (шаблоны версии 2), поддерживают изменение.
Для Enterprise ЦС срок действия выданного сертификата задан как минимум из следующих ниже.
Срок действия сертификата ЦС
ЦС не может выдавать сертификат с более длительным сроком действия, чем его собственный сертификат ЦС.
Имя Атрибут запроса состоит из пар строк значений, сопровождающих запрос и указывавших период действия. По умолчанию это включено параметром реестра только для автономных ЦС.
Изменение даты истечения срока действия сертификатов, выдаванных ЦС
Чтобы изменить параметры периода действия для ЦС, выполните следующие действия.
В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения о том, как создать и восстановить реестр, см. в этой информации, как создать и восстановить реестр в Windows.
Нажмите кнопку Пуск и выберите пункт Выполнить.
В поле Open введите regedit и нажмите кнопку ОК.
Найдите, а затем щелкните следующий ключ реестра:
В правой области дважды щелкните ValidityPeriod.
В поле Данных Value введите одно из следующих значений, а затем нажмите кнопку ОК:
В правой области дважды щелкните ValidityPeriodUnits.
В поле Данных Value введите необходимое численное значение и нажмите кнопку ОК. Например, тип 2.
Остановите, а затем перезапустите службу служб сертификатов. Для этого:
Нажмите кнопку Пуск и затем выберите команду Выполнить.
В поле Открыть введите cmd и нажмите кнопку ОК.
В командной строке введите следующие строки. Нажмите КНОПКУ ВВОД после каждой строки.
Введите выход, чтобы выйти из командной подсказки.
Почему возникают ошибки SSL-соединения и как их исправить?
Зачастую после установки SSL-сертификатов многие пользователи сталкиваются с ошибками, которые препятствуют корректной работе защищенного протокола HTTPS.
Предлагаем разобраться со способами устранения подобных ошибок.
Что такое SSL?
SSL (Secure Socket Layer) — это интернет-протокол для создания зашифрованного соединения между пользователем и сервером, который гарантирует безопасную передачу данных.
Когда пользователь заходит на сайт, браузер запрашивает у сервера информацию о наличии сертификата. Если сертификат установлен, сервер отвечает положительно и отправляет копию SSL-сертификата браузеру. Затем браузер проверяет сертификат, название которого должно совпадать с именем сайта, срок действия сертификата и наличие корневого сертификата, выданного центром сертификации.
Причины возникновения ошибок SSL-соединения
Когда сертификат работает корректно, адресная строка браузера выглядит примерно так:
Но при наличии ошибок она выглядит несколько иначе:
Существует множество причин возникновения таких ошибок. К числу основных можно отнести:
Давайте рассмотрим каждую из них подробнее.
Проблемы с датой и временем
Если на устройстве установлены некорректные дата и время, ошибка SSL-соединения неизбежна, ведь при проверке сертификата происходит проверка срока его действия. Современные браузеры умеют определять такую ошибку самостоятельно и выводят сообщение о неправильно установленной дате или времени.
Для исправления этой ошибки достаточно установить на устройстве актуальное время. После этого необходимо перезагрузить страницу или браузер.
Ненадежный SSL-сертификат
Иногда при переходе на сайт, защищенный протоколом HTTPS, появляется ошибка «SSL-сертификат сайта не заслуживает доверия».
Одной из причин появления такой ошибки, как и в предыдущем случае, может стать неправильное время. Однако есть и вторая причина — браузеру не удается проверить цепочку доверия сертификата, потому что не хватает корневого сертификата. Для избавления от такой ошибки необходимо скачать специальный пакет GeoTrust Primary Certification Authority, содержащий корневые сертификаты. После скачивания переходим к установке. Для этого:
После вышеперечисленных действий можно перезагрузить устройство и проверить отображение сайта в браузере.
Брандмауэр или антивирус, блокирующие сайт
Некоторые сайты блокируются брандмауэром Windows. Для проверки можно отключить брандмауэр и попробовать зайти на нужный сайт. Если SSL-сертификат начал работать корректно, значит дело в брандмауэре. В браузере Internet Explorer вы можете внести некорректно работающий сайт в список надежных и проблема исчезнет. Однако таким образом вы снизите безопасность своего устройства, так как содержимое сайта может быть небезопасным, а контроль сайта теперь отключен.
Также SSL может блокировать антивирусная программа. Попробуйте отключить в антивирусе проверку протоколов SSL и HTTPS и зайти на сайт. При необходимости добавьте сайт в список исключений антивируса.
Включенный экспериментальный протокол QUIC
QUIC — это новый экспериментальный протокол, который нужен для быстрого подключения к интернету. Основная задача протокола QUIC состоит в поддержке нескольких соединений. Вы можете отключить этот протокол в конфигурации вашего браузера.
Показываем как отключить QUIC на примере браузера Google Chrome:
Этот способ работает и в Windows и в Mac OS.
Отсутствие обновлений операционной системы
Проблемы с SSL-сертификатами могут возникать и из-за того, что на вашей операционной системе давно не устанавливались обновлений. Особенно это касается устаревших версий Windows (7, Vista, XP и более ранние). Установите последние обновления и проверьте работу SSL.
Использование SSL-сертификата версии 3.0
Некоторые сайты используют устаревший SSL-протокол версии 3.0, который не поддерживают браузеры. По крайней мере, по умолчанию. Чтобы браузер поддерживал устаревший SSL необходимо сделать следующее (на примере браузера Google Chrome):
Ошибки «Invalid CSR» при генерации сертификата из панели управления облачного провайдера
В процессе активации сертификата можно столкнуться с ошибкой «Invalid CSR». Такая ошибка возникает по следующим причинам:
Устаревшие сертификаты SSL могут отразиться на работе умных устройств
Фото: www.bleepingcomputer.com
Из-за глобального истечения срока действия технического сертификата SSL 30 мая перестали работать некоторые потоковые каналы на платформе Roku. В итоге пострадали пользователи умных устройств.
Компания посоветовала этим клиентам обновить устройства вручную.
В тот же день платежные платформы Stripe и Spreedly переживали сбои. Их причиной назвали истечение срока действия корневых сертификатов Центра сертификации.
As of 10:48 UTC, webhook delivery is failing for some users. We’re investigating and will post updates here.
Чтобы шифрование SSL/TLS работало, сервер предоставляет клиенту сертификат SSL. Если срок действия сертификата сервера приближается к истечению, системный администратор может легко обновить его. Однако для того, чтобы клиент «доверял» любому представленному сертификату как действительному, веб-браузеры, приложения и устройства оснащены набором предустановленных корневых сертификатов, выпущенных центром сертификации.
Эти корневые сертификаты имеют значительно более длительный срок действия, чем серверные — до 20 или 25 лет, но, тем не менее, и их срок действия подходит к концу.
Исследователь безопасности Скотт Хельм сообщил в своем блоге: «Эта проблема была продемонстрирована недавно, 30 мая, в 10:48:38 по Гринвичу, если быть точным. Тогда истекло время действия корневого сертификата AddTrust, и это принесло первые неприятности, которые я уже ожидал в течение некоторого времени».
Автор отмечает, что приближается момент истечения срока действия множества корневых сертификатов CA. Это будет происходить в течение следующих нескольких лет, и будет застигать некоторые организации врасплох.
По мнению Хельме, следующая «потенциально значимая дата» наступит 30 сентября 2021 года. Именно тогда истекает срок действия сертификатов CA, выданных DST Root CA X3. Это означает, что, если клиентские приложения и устройства не будут своевременно обновлены, они не смогут распознать сертификаты Let’s Encrypt, вызывающие проблемы с подключением. Хельме, который предупреждал «об этой надвигающейся проблеме, вероятно, 2 года», предоставил в своем блоге некоторые дополнительные сведения о недавних сертификатах Let’s Encrypt, которые могут быть несовместимы с большинством моделей Smart TV из-за «очень небольшого количества корневых хранилищ», существующих на устройствах.
Хотя регулярное применение обновлений к интеллектуальным устройствам является очевидным решением, конечный пользователь вряд ли видит проблему. Предполагается, что производитель устройств продолжает предоставлять эти обновления, но с исправленными корневыми сертификатами.
В реальности, если срок действия корневого сертификата CA истек для нечасто обновляемого гаджета, когда он находится в автономном режиме, то при включении может возникнуть проблема с повторным подключением к Интернету. Например, умная лампочка может иметь возможность подключения к Интернету, но для этого потребуется безопасное соединение с сервером, прежде чем она сможет получать обновления. Если же эта интеллектуальная лампочка ранее была «отключена» от Интернета в течение нескольких месяцев, и в этот момент истек период обновления ее корневого сертификата CA, то устройство больше не сможет повторно подключиться к Интернету, если не будет обновлено вручную при такой возможности.
Более того, такие устройства, как интеллектуальные лампы, часы или холодильники, не имеют усовершенствованного пользовательского интерфейса, который может дать пользователям достаточно информации о том, что происходит, особенно на техническом уровне. Иногда даже технически подкованному клиенту не удастся диагностировать реальную проблему.
Кроме того, существует очень большой выбор CA, которые могут выдавать корневые сертификаты. Например, BBC недавно обновила свой сертификат SSL, но намеренно выбрала сертификат корневого ЦС, выпущенный в 2012 году, а не в 2020 году. Его срок истечет ранее, но это более старый и широко используемый сертификат. Многие устройства и умные телевизоры, выпущенные в течение нескольких лет после 2012 года, вероятно, относятся к тому же центру сертификации, и, скорее всего, будет совместимы с BBC. Между тем немало устройств все еще не распознает сертификаты, выпущенные в 2012 году.
По словам Хельме, чтобы интеллектуальные устройства и IoT продолжали бесперебойно функционировать, а также для обеспечения бесперебойного взаимодействия с пользователями, представители отрасли должны согласовать стандартный набор практик и соблюдать их.