Как исправить ошибки сертификатов Internet Explorer
Иногда при подключении в браузере Internet Explorer к защищённому веб-ресурсу отображается предупреждение об ошибке сертификата безопасности. Возникать эта неполадка может по разным причинам:
- некорректно установлены дата и время в системе (более позднее время, чем срок действительности ключа);
- антивирусная программа, фаервол принимает за ошибочный сертификат доверенный;
- в браузере Интернет Эксплорер открыт мошеннический сайт с фейковым ключом безопасности либо безопасный сайт, но с просроченным сертификатом.
Эта статья поможет вам устранить ошибки сертификатов Internet Explorer. В ней рассматриваются различные способы решения данной проблемы.
Игнорирование предупреждения
Если убрать ошибки защищённого протокола не представляется возможным, а сайт, который вы хотите открыть, относится к доверенным (например, YouTube, Yandex, Google), просто проигнорируйте уведомление:
1. На вкладке, которую заблокировал IE, клацните «Продолжить открытие этого веб-сайта… ».
2. Как только вы пройдёте по ссылке, веб-навигатор откроет содержимое страницы, но при этом предупреждение о неполадке всё равно будет отображаться в верхней панели.
Проверка даты и времени
Проверьте, правильно ли выполнена установка календаря и часов в системе:
1. Щёлкните по часам в трее (в правой части панели задач).
2. Если увидите ошибку, кликните «Изменение настроек… » и задайте правильные значения.
Отключение уведомления
Чтобы полностью отключить функцию уведомления об ошибках сертификатов, в меню браузера сделайте следующее:
1. Кликните кнопку «шестерёнка», перейдите в раздел «Свойства браузера».
2. Клацните по вкладке «Дополнительно».
3. В поле «Параметры» кликом мышки уберите «галочку» возле надстройки «Предупреждать о несоответствии адреса сертификата».
4. Нажмите «Применить» и затем кнопку «OK».
Добавление сертификата
Если у вас есть возможность просмотреть файл-сертификат веб-ресурса или группы веб-ресурсов, которые вы не можете открыть в виду появления ошибки верификации ключа, проигнорируйте уведомления и загрузите его на компьютер (ссылка на скачивание, как правило, размещена в специальных разделах), а затем добавьте в IE. Файл с данными SSL сертификата может иметь расширение .pem, .cer, .crt,.pfx, .der, .pkcs.
Пошагово эта процедура выполняется следующим образом:
1. В меню выберите пункт «Свойства браузера».
2. Кликните вкладку «Содержание».
3. Нажмите кнопку «Сертификаты».
4. Чтобы добавить ключ-файл, в новом окне кликните «Импорт… »
5. В панели «Мастер… » щёлкните «Далее».
6. Щёлкните кнопку «Обзор». Чтобы установить сертификат, в системном окне кликом мышки выделите его (файл) и нажмите «Открыть».
7. Далее задайте настройки размещения ключа:
- клацните кнопку рядом со строкой «Поместить все сертификаты… »;
- в строке «Хранилище… » задайте значение «Доверенные корневые центры… ».
А потом нажмите «Далее».
8. По завершении процедуры отобразятся параметры импорта. Кликните в этом окне «Готово».
9. Если сделали всё правильно и добавленный ключ действительный, появится сообщение «Импорт успешно выполнен».
Каждый из рассмотренных способов целесообразно применять в зависимости от конкретной ситуации — причины возникновения ошибки верификации протокола. Но помните, что незнакомые сайты с подобными неполадками, в особенности те которые предлагают выполнять всевозможные платёжные операции, лучше обходить стороной.
Ошибка «Сертификат безопасности сайта не является доверенным». Как ее исправить?
Доброго дня!
Я думаю, что почти каждый пользователь (особенно в последнее время) сталкивался с ошибкой в браузере о том, что сертификат такого-то сайта не является доверенным, и рекомендацией не посещать его.
С одной стороны это хорошо (все-таки и браузер, и вообще популяризация подобных сертификатов — обеспечивает нашу безопасность), но с другой — подобная ошибка иногда всплывает даже на очень известных сайтах (на том же Google).
Суть происходящего, и что это значит?
Дело в том, что когда вы подключаетесь к сайту, на котором установлен протокол SSL, то сервер передает браузеру цифровой документ ( сертификат ) о том, что сайт является подлинным (а не фейк или клон чего-то там. ). Кстати, если с таким сайтом все хорошо, то браузеры их помечают «зеленым» замочком: на скрине ниже показано, как это выглядит в Chrome.
Однако, сертификаты могут выпускать, как всем известные организации (Symantec, Rapidssl, Comodo и др.) , так и вообще кто-угодно. Разумеется, если браузер и ваша система «не знает» того, кто выпустил сертификат (или возникает подозрение в его правильности) — то появляется подобная ошибка.
Т.е. я веду к тому, что под раздачу могут попасть как совсем белые сайты, так и те, которые реально опасно посещать. Поэтому, появление подобной ошибки это повод внимательно взглянуть на адрес сайта.
Ну а в этой статье я хочу указать на несколько способов устранения подобной ошибки, если она стала появляться даже на белых и известных сайтах (например, на Google, Яндекс, VK и многих других. Их же вы не откажетесь посещать?).
Как устранить ошибку
1) Обратите внимание на адрес сайта
Первое, что сделайте — просто обратите внимание на адрес сайта (возможно, что вы по ошибке набрали не тот URL). Также иногда такое происходит по вине сервера, на котором расположен сайт (возможно, вообще, сам сертификат просто устарел, ведь его выдают на определенное время). Попробуйте посетить другие сайты, если с ними все OK — то вероятнее всего, что проблема не в вашей системе, а у того конкретного сайта.
Пример ошибки «Сертификат безопасности сайта не является доверенным»
Однако, отмечу, что если ошибка появляется на очень известном сайте, которому вы (и многие другие пользователи) всецело доверяете — то высока вероятность проблемы в вашей системе.
2) Проверьте дату и время, установленные в Windows
Второй момент — подобная ошибка может выскакивать, если у вас в системе неверно задано время или дата. Для их корректировки и уточнения достаточно щелкнуть мышкой по «времени» в панели задач Windows (в правом нижнем углу экрана). См. скрин ниже.
Настройка даты и времени
После установки правильного времени, перезагрузите компьютер и попробуйте заново открыть браузер и сайты в нем. Ошибка должна исчезнуть.
Также обращаю внимание на то, что, если у вас постоянно сбивается время — вероятно у вас села батарейка на материнской плате. Представляет она из себя небольшую «таблетку», благодаря которой компьютер помнит введенные вами настройки, даже если вы его отключаете от сети (например, те же дата и время как-то высчитываются?).
Батарейка на материнской плате ПК
3) Попробуйте провести обновление корневых сертификатов
Еще один вариант, как можно попробовать решить эту проблему — установить обновление корневых сертификатов. Обновления можно просмотреть на сайте Microsoft для разных ОС. Для клиентских ОС (т.е. для обычных домашних пользователей) подойдут вот эти обновления: https://support.microsoft.com/
4) Установка «доверенных» сертификатов в систему
Этот способ хоть и рабочий, но хотелось бы предупредить, что он «может» стать источником проблем в безопасности вашей системы. По крайней мере, прибегать к этому советую только для таких крупных сайтов как Google, Яндекс и т.д.
Для избавления от ошибки, связанной с недостоверностью сертификата, должен подойти спец. пакет GeoTrust Primary Certification Authority .
Кстати, на этой страничке расположено еще несколько сертификатов, их также можно до-установить в систему.
Кстати, чтобы просмотреть GeoTrust Primary Certification Authority:
- нажмите правой кнопкой мышки по ссылке download и выберите вариант «сохранить ссылку как. «;
Сохранить ссылку как.
далее укажите папку на диске, куда будет скачан сертификат. Это будет файл формата PEM.
Файл с расширением PEM
Теперь необходимо скачанный сертификат установить в систему. Как это делается, по шагам расскажу чуть ниже:
- сначала нажимаем сочетание кнопок Win+R, и вводим команду certmgr.msc, жмем OK;
- должен открыться центр сертификатов в Windows. Необходимо раскрыть вкладку «Доверенные корневые центры сертификации/сертификаты», щелкнуть по ней правой кнопкой мышки и выбрать «Все задачи — импорт».
далее запустится мастер импорта сертификатов. Просто жмем «Далее».
Мастер импорта сертификатов
после нажмите кнопку «Обзор» и укажите ранее загруженный нами сертификат. Нажмите «Далее» (пример показан ниже);
Указываем сертификат, который загрузили
в следующем шаге укажите, что сертификаты нужно поместить в доверенные центры сертификации и нажмите «Далее».
Поместить сертификаты в доверенные. Далее
5) Обратите внимание на антивирусные утилиты
В некоторых случаях эта ошибка может возникать из-за того, что какая-нибудь программа (например, антивирус) проверяет https трафик. Это видит браузер, что пришедший сертификат не соответствует адресу, с которого он получен, и в результате появляется предупреждение/ошибка.
Поэтому, если у вас установлен антивирус/брандмауэр, проверьте и на время отключите настройку сканирования https трафика (см. пример настроек AVAST на скрине ниже).
Avast — основные настройки (отключение сканирование https трафика)
На этом у меня всё.
За дополнения по теме — отдельное мерси!
Срок действия сертификата истек, что делать? Общие сведения о сертификатах безопасности
Многие пользователи браузеров сталкиваются с проблемой, когда истекает срок действия сертификата безопасности. Диалоговое окно сообщает о произошедшем и предлагает совершить некоторые действия, чтобы восстановить работоспособность.
Однако для большинства рядовых пользователей проблема с сертификатами кажется трудноразрешимой. В результате ошибки в браузере они не могут нормально им пользоваться. Порой такая ошибка может и вовсе оттолкнуть от использования определенного браузера, при этом предпочтение будет отдано другому продукту для обзора интернета. Они задают вопрос: «Когда срок действия сертификата истек, что делать?»
Что такое сертификат безопасности
Он является электронным документом, который предоставляет тот или иной веб-ресурс в доказательство надежности своего содержимого. То есть, переходя на тот или иной сайт, браузер запрашивает его индивидуальный сертификат, тем самым защищая пользователя от попадания на сайты, содержащие вредоносные материалы.
Сертификаты устанавливаются не только для сайтов, но и для приложений, использующих браузер. Если истек срок действия сертификата, что делать, подскажет диалоговое окно, появляющееся в результате данной ошибки.
Почему заканчивается срок их действия
Сертификаты являются доказательством безопасности содержащегося на сайте контента, указывают на защищенность пользовательских данных. К тому же, благодаря им, администраторы сайтов получают доступ к индексации в поисковиках, то есть возможность продвигать сайт.
Документ в электронной форме тоже требует обновления — необходимо постоянно держать сайт и его содержимое в безопасности. Действует такой же принцип, как и у кредитных карт, которые имеют ограниченный срок действия. Что делать — срок действия сертификата истек, а получить доступ к сайту очень нужно? Возможно, проблема кроется в обслуживающем персонале сайта, который не предоставил необходимые сведения для продления сертификата вовремя.
Где используются сертификаты безопасности
Использование электронных документов для верификации сайта или приложения — обязательное условие для благоприятного продвижения продукта. Поэтому для администраторов веб-сайтов является важным присутствие данного ресурса — он позволяет им развивать свое творение. Если сайт не отвечает требуемым условиям безопасности, и срок действия сертификата истек, что делать? «Опера» на компе, впрочем, как и другие программы для обзора Интернета, оповещают пользователя соответствующим сообщением, предупреждая его о ненадежности ресурса.
Сертификаты могут быть использованы не только в браузерах, таких как «Опера» и «Хром», но и в электронных устройствах вроде смартфонов. Производители современной электротехники заботятся о работоспособности своих устройств, вкладывая массу усилий в разработку программного обеспечения для них. Те, кто предлагают пользователям дополнительный контент для их смартфонов, должны предварительно договориться с производителем устройства и ПО для него. Делается это также с помощью сертификатов безопасности.
Если появилось сообщение «срок действия сертификата истек», что делать, необходимо узнать в службе поддержки разработчика соответствующего ПО, которое ответственно за проверку этих данных.
Какие бывают сертификаты безопасности
Сертификаты для приложений и сайтов содержатся в специальной базе. Каждый раз, когда пользователь заходит на сайт, к последнему направляется запрос на идентификацию его уникального сертификата.
Бывает два вида сертификатов, которые используют обозреватели Интернета. Они различаются по способу их лицензирования, т. е. подтверждения. Дело в том, что каждый из них имеет цифровую подпись, выдаваемую доверенным агентом-гарантом веб-сайту, который запросил его.
Большинство сетевых ресурсов сертифицировано сторонним агентом, который признает их безопасным (например, это компания Thawte).
Если подпись не найдена в базе, то срок действия сертификата истек. Что делать? Opera использует свой собственный центр сертификатов, где имеются сведения обо всех подписях. Отсутствие последних в базе является признаком ненадежности сайта.
Бывают также и самоподписные сертификаты. Они являются безопасными, так как подписываются лицензированными лицами и организациями, которые сами берут на себя ответственность за содержимое их ресурсов.
Если сертификат отсутствует или просрочен, как получить доступ?
Когда электронные продукты не отвечают требованиям, появляется сообщение о том, что срок действия сертификата истек. Что делать владельцу сайта в таком случае? Однозначно, искать пути решения этой проблемы, иначе веб-обозреватель будет информировать пользователей сети о недоверии к данному ресурсу. Окончательно запретить доступ к ресурсу нельзя, однако при перемещении по страницам сайта пользователь будет видеть информацию об отсутствии сертификата.
Наиболее тщательно из всех веб-обозревателей к регистрации и обслуживанию сертификатов относится Opera. В основном именно с этим браузером связана большая часть жалоб на истекшие сертификаты и вызванные ими проблемы.
Почему в «Опере» возникает ошибка действительности сертификатов
Браузер «Опера» является одним из самых популярных у участников Всемирной паутины, в то же время отличается высокой степенью внимательности к проверкам безопасности сайтов и приложений, расположенных в интернете. К примеру, «Гугл Хром» более лоялен к безопасности, а большую часть процедур по фильтрации надежности сайтов и приложений берут на себя его разработчики. Пользователи практически не жалуются на наличие ошибок, связанных с сертификатами безопасности.
Возникновение данного рода ошибки может быть связано с двумя наиболее распространенными причинами.
Первая из них — действительно, сайт потерял статус безопасного и срок действия сертификата истек. Что делать на компьютере пользователю в этом случае? К сожалению, ничего, так как политика безопасности зависит только от управляющего сайтом персонала.
Вторая категория проблем связана с ошибками в работе компьютера или неверными настройками на нем. При этом необходимо позаботиться о том, чтобы устранить соответствующие причины, иначе использовать «Оперу» будет крайне неудобно.
Срок действия сертификата истек, что делать в «Опере»?
Чтобы понять, в чем кроется причина назойливой ошибки, необходимо проверить работоспособность других сайтов и приложений — если в отношении них ошибка не возникает, то устранить проблему не выйдет. Этим должны заняться администраторы веб-узла. Они точно знают, что делать.
«Срок действия сертификата истек!» — такое сообщение иногда появляется при посещении любой страницы. В этом случае нужно выполнить ряд нехитрых действий:
1. Проверить время и дату операционной системы — часы не должны отставать. Также открыть БИОС и посмотреть его внутренние настройки, если они сбились, то исправить это.
2. Используя антивирус с обновленными до последней версией базами данных, провести глубокое сканирование системы и реестра. Также необходимо проверить файл hosts на предмет внесения в него изменений. После просмотреть и установить браузер с официального сайта.
Как DNSCrypt решил проблему просроченных сертификатов, введя срок действия 24 часа
Раньше сертификаты часто истекали из-за того, что их нужно было обновлять вручную. Люди просто забывали это сделать. С появлением Let’s Encrypt и автоматической процедуры обновления вроде бы проблема должна быть решена. Но недавняя история с Firefox показывает, что на самом деле она по-прежнему актуальна. К сожалению, сертификаты продолжают истекать.
Если кто-то пропустил эту историю, в полночь 4 мая 2019 года внезапно прекратили работать почти все расширения Firefox.
Как выяснилось, массовый сбой возник из-за того, что у Mozilla истёк срок действия сертификата, который использовался для подписи расширений. Поэтому они отмечались как «невалидные» и не проходили проверку (технические детали). На форумах в качестве обходного пути рекомендовали отключить проверку подписей расширений в about:config или переводом системных часов.
Mozilla оперативно выпустила патч Firefox 66.0.4, который решает проблему с невалидным сертификатом, а все расширения возвращаются в нормальный вид. Разработчики рекомендуют установить его и не использовать никакие обходные пути для обхода проверки подписей, потому что они могут конфликтовать с патчем.
Тем не менее, эта история ещё раз показывает, что истечение срока действия сертификатов остаётся актуальной проблемой и сегодня.
В связи с этим интересно посмотреть на довольно оригинальный способ, как с этой задачей справились разработчики протокола DNSCrypt. Их решение можно разделить на две части. Во-первых, это краткосрочные сертификаты. Во-вторых предупреждение пользователей об окончании срока действия долгосрочных.
DNSCrypt
DNSCrypt — протокол шифрования DNS-трафика. Он защищает DNS-коммуникации от перехватов и MiTM, а также позволяет обойти блокировки на уровне DNS-запросов.
Протокол оборачивает DNS-трафик между клиентом и сервером в криптографическую конструкцию, работая по транспортным протоколам UDP и TCP. Чтобы его использовать, и клиент, и DNS-резолвер должны поддерживать DNSCrypt. Например, с марта 2016 года его включил на своих DNS-серверах и в браузере «Яндекс». О поддержке объявили и некоторые другие провайдеры, в том числе Google и Cloudflare. К сожалению, их не так много (на официальном сайте перечислено 152 публичных DNS-сервера). Но программу dnscrypt-proxy можно установить вручную на клиентах под Linux, Windows и MacOS. Есть и серверные имплементации.
Как работает DNSCrypt? Если вкратце, то клиент берёт публичный ключ выбранного провайдера и с его помощью проверяет его сертификаты. Уже там находятся краткосрочные публичные ключи для сессии и идентификатор набора шифров. Клиентам рекомендуется генерировать новый ключ для каждого запроса, а серверам — менять ключи каждые 24 часа. При обмене ключами применяется алгоритм X25519, для подписи — EdDSA, для блочного шифрования — XSalsa20-Poly1305 или XChaCha20-Poly1305.
Один из разработчиков протокола Фрэнк Денис пишет, что автоматическая замена каждые 24 часа решила проблему просроченных сертификатов. В принципе, эталонный клиент dnscrypt-proxy принимает сертификаты с любым сроком действия, но выдаёт предупреждение «Период dnscrypt-proxy ключей для этого сервера слишком велик», если он действителен более 24 часов. Одновременно был выпущен образ Docker, в котором реализовали быструю смену ключей (и сертификатов).
Во-первых, это чрезвычайно полезно для безопасности: если сервер скомпрометирован или ключ утёк, то вчерашний трафик не может быть расшифрован. Ключ уже изменился. Вероятно, это составит проблему для исполнения «закона Яровой», который вынуждает провайдеров хранить весь трафик, в том числе зашифрованный. Подразумевается, что позже его можно будет расшифровать при необходимости, запросив ключ у сайта. Но в данном случае сайт просто не сможет его предоставить, потому что использует кратковременные ключи, удаляя старые.
Но главное, пишет Денис, краткосрочные ключи заставляют серверы с первого дня настроить автоматизацию. Если сервер подключается к сети, а скрипты смены ключей не настроены или не работают, это будет немедленно обнаружено.
Когда автоматизация меняет ключи раз в несколько лет, на неё нельзя положиться, а люди могут забыть об окончании срока действия сертификата. При ежедневной смене ключей это будет обнаружено мгновенно.
В то же время, если автоматизация настроена нормально, то не имеет значения, как часто производится смена ключей: каждый год, каждый квартал или три раза в день. Если всё работает более 24 часов, то будет работать вечно, пишет Фрэнк Денис. По его словам, рекомендация ежесуточной смены ключей во второй версии протокола вместе с готовым образом Docker, реализующим это, эффективно уменьшило количество серверов с истёкшими сертификатами, одновременно улучшив безопасность.
Однако некоторые провайдеры всё-таки решили по каким-то техническим причинам установить срок действия сертификата более 24 часов. Эту проблему в основном решили с помощью нескольких строк кода в dnscrypt-proxy: пользователи получают информационное предупреждение за 30 дней до истечения срока действия сертификата, другое сообщение с более высоким уровнем серьёзности за 7 дней до истечения срока действия и критическое сообщение, если у сертификата осталось менее 24 часов. Это относится только к сертификатам, изначально имеющим длительный срок действия.
Такие сообщения дают пользователям возможность сообщить операторам DNS о предстоящем истечении срока действия сертификата, пока не стало слишком поздно.
Возможно, если бы все пользователи Firefox получили такое сообщение, то уж кто-нибудь наверняка сообщил разработчикам и те бы не допустили истечения срока действия сертификата. «Я не помню ни одного DNSCrypt-сервера из списка общедоступных DNS-серверов, у которых истёк срок действия сертификата за последние два или три года», — пишет Фрэнк Денис. В любом случае, наверное, лучше сначала предупреждать пользователей, а не отключать расширения без предупреждения.