- Что случилось с сайтами
- Компьютер не принимает ssl сертификаты – что делать?
- Получил ssl сертификат, почему доступ по не работает?
- Immuniweb
- Ssl shopper (checker)
- Wormly (web server tester)
- Как пользоваться immuniweb
- Как пользоваться shopper
- Как пользоваться wormly
- Ошибка "сертификат безопасности сайта не является доверенным". как ее исправить?
- При чем здесь корневой сертификат
- Проверка ssl-сертификата онлайн
Что случилось с сайтами
30 сентября 2021 закончился срок действия корневого сертификата IdenTrust DST Root CA X3 от центра Let’s Encrypt. Теперь на устройствах, которые не доверяют корневому сертификату ISRG Root X1, возникает проблема с проверкой сертификата Let’s Encrypt и сайты не открываются.
На каких версиях устройств перестали работать SSL-сертификаты Let’s Encrypt:
- Android версии ниже 2.3.6;
- iOS версии ниже 10;
- macOS версии ниже 10.12.1;
- Windows XP версии ниже SP3;
- Ubuntu версии ниже 12.04;
- Debian версии ниже 6;
- Mozilla Firefox версии ниже 2.0;
- Nintendo версии ниже 3DS;
- PlayStation версии ниже 5.0.
Компьютер не принимает ssl сертификаты – что делать?
Впервые столкнулся с такой проблемой – не грузятся некоторые сайты. На них написано, что подключение не защищено. Все бы ничего, но в числе незагружающихся сайтов Пикабу и Рутрекер, а так же мой собственный проект, где точно знаю, что SSL действительный.
Если говорим браузеру, что на свой страх и риск переходим на небезопасный сайт, то простые сайты типа моего работают полноценно. Например https://doit3d.ru/ или https://prom-kapital.ru/ А вот тот же Пикабу и Рутрекер прогружаются так, но без стилей.
Проблема с загрузкой некоторых сайтов, в том числе упомянутых, возникла еще позавчера. Но тогда просто выскакивала ошибка ERR_TIMED_OUT. Собственно, третий вечер уже голову ломаю. Перепробовал все варианты решения этой ошибки, предлагаемые гуглом. Пропала сама по себе и сменилась проблемой с сертификатами сайтов, где выскакивала..
Сертификат отмечается как недействительный даже у https://cps.letsencrypt.org. Во всех случаях написано, что срок действия сертификата еще не наступил или истек. Хотя фактически указанный соответствует актуальной дате. Обратил внимание, что у всех обнаруженных сайтов с якобы недействительным сертификатом, сертификат от letsencrypt.У работающих нормально сертификаты digicert и sectigo.
Проблема локальная, только на одном ПК. Были мысли, что шалит Comodo Firewall, дошло до удаления, а ничего не поменялось. Перепробовал Хром, Оперу, Лису, Тор – у всех с одними и теми же сайтами. Проверил на ноуте – та же домашняя сеть, тот же хром под моим логином – все отлично работает. Посмотрел сертификаты, сроки действия совпадают. Но на примере того же Пикабу, отличается путь сертификации. На ноуте, где работает, путь начинается с ISRG Root X1. На ПК, где не работает с DST Root CA X3. В обоих случаях далее R 3 и за ним сам сайт.
На обоих устройствах стоят “бесплатные” Win7 Ultimate.
Подскажите, куда копать, что делать? Ладно бы еще сайты прогружались нормально, по необходимости проигнорить отсутствие SSL еще можно, но работать на ресурсе с незагрузившимися стилями, то еще удовольствие.
Получил ssl сертификат, почему доступ по не работает?
Здравствуйте. Получил и установил SSL сертификат. Но при переходе на свой сайт, все равно не подключается по https.
Ubuntu 14.04. Vesta.
В терминале после получения сообщения “Congratulations! You have successfully enabled
https://santria.ml
“, больше ничего не делал. Мб нужно что еще?
По пути: /etc/apache2/sites-available/ создался файл 000-default-le-ssl.conf, не работало, попробовал поменять название на доменное имя-le-ssl.conf не помогло.
При переходе на сайт выдает сообщение ERR_SSL_PROTOCOL_ERROR.
Если проверять по ссылке
https://www.ssllabs.com/ssltest/analyze.html?d=san…
“Assessment failed: No secure protocols supported
Known Problems
There are some errors that we cannot fix properly in the current version. They will be addressed in the next generation version, which is currently being developed.
No secure protocols supported – if you get this message, but you know that the site supports SSL, wait until the cache expires on its own, then try again, making sure the hostname you enter uses the “www” prefix (e.g., “www.ssllabs.com”, not just “ssllabs.com”).
no more data allowed for version 1 certificate – the certificate is invalid; it is declared as version 1, but uses extensions, which were introduced in version 3. Browsers might ignore this problem, but our parser is strict and refuses to proceed. We’ll try to find a different parser to avoid this problem.
Failed to obtain certificate and Internal Error – errors of this type will often be reported for servers that use connection rate limits or block connections in response to unusual traffic. Problems of this type are very difficult to diagnose. If you have access to the server being tested, before reporting a problem to us, please check that there is no rate limiting or IDS in place.
NetScaler issues – some NetScaler versions appear to reject SSL handshakes that do not include certain suites or handshakes that use a few suites. If the test is failing and there is a NetScaler load balancer in place, that’s most likely the reason.
Unexpected failure – our tests are designed to fail when unusual results are observed. This usually happens when there are multiple TLS servers behind the same IP address. In such cases we can’t provide accurate results, which is why we fail.”
Immuniweb
ImmuniWeb — надёжный англоязычный инструмент для проверки SSL-сертификата. С его помощью вы также можете анализировать производительность сайта, настройки безопасности и шифрования.
Ssl shopper (checker)
SSL Shopper — англоязычный инструмент, который быстро анализирует и определяет, можно ли доверять веб-ресурсу. Также в этом сервисе вы сможете узнать IP-адрес и тип сервера. Shopper — простой и понятный сервис анализа.
Wormly (web server tester)
Wormly — популярный англоязычный инструмент для проверки защиты сайтов. Wormly проводит глубокий анализ и выдаёт информацию о настройках безопасности, параметрах производительности и шифрах сайта.
Как пользоваться immuniweb
Введите домен или URL и кликните на иконку Play:
Пролистайте страницу вниз до вкладки «Certificate Analysis» (Анализ). Обратите внимание на графы «Valid Frоm» и «Valid To» — напротив них указаны дата выдачи и срок окончания действия SSL:
Если срок действия закончился, вы увидите примерно такой результат:
Также вы можете изучить другие показатели эффективности интернет-ресурса, просмотрев содержимое остальных вкладок.
Как пользоваться shopper
Введите домен или URL и нажмите Check:
В первую очередь обратите внимание на дату установки сертификата — он не должен быть просрочен. Так выглядит результат проверки защищённого сайта, на котором правильно установлен SSL:
Если в результатах проверки вы видите два восклицательных знака в строках «expired» и два крестика ниже, значит срок действия сертификата закончился:
Результат ниже означает, что установлен сертификат, который был выдан для другого домена:
Также checker может показать, что установлен самоподписанный ssl-сертификат. самоподписанные сертификаты не являются доверенными (выданными аккредитованным центром сертификации), а значит такому ресурсу доверять нельзя:
А такой результат выдачи означает, что цепочка SSL добавлена некорректно и вам нужно заново выполнить этот этап установки:
Как пользоваться wormly
Введите URL и кликните START TEST:
Результат будет показан на вкладке «Certificate Overview» (Обзор). Обратите внимание на графу «Expires» — в ней указана дата окончания действия сертификата:
Если сервис выявит, что сайту нельзя доверять, вы увидите приблизительно такой результат:
Если вы хотите получить более детальный анализ сайта, изучите вкладки «Security» (Безопасность), «Performance» (Производительность) и «Encryption Ciphers» (Шифрование).
Ошибка "сертификат безопасности сайта не является доверенным". как ее исправить?
Доброго дня!
Я думаю, что почти каждый пользователь (особенно в последнее время) сталкивался с ошибкой в браузере о том, что сертификат такого-то сайта не является доверенным, и рекомендацией не посещать его.
С одной стороны это хорошо (все-таки и браузер, и вообще популяризация подобных сертификатов – обеспечивает нашу безопасность), но с другой — подобная ошибка иногда всплывает даже на очень известных сайтах (на том же Google). 👋
Суть происходящего, и что это значит?
Дело в том, что когда вы подключаетесь к сайту, на котором установлен протокол SSL, то сервер передает браузеру цифровой документ (сертификат) о том, что сайт является подлинным (а не фейк или клон чего-то там…). Кстати, если с таким сайтом все хорошо, то браузеры их помечают “зеленым” замочком напротив URL-строки: на скрине ниже показано, как это выглядит в Chrome.
Однако, сертификаты могут выпускать, как всем известные организации (Symantec, Rapidssl, Comodo и др.), так и вообще кто-угодно. Разумеется, если браузер и ваша система “не знает” того, кто выпустил сертификат (или возникает подозрение в его правильности) — то появляется подобная ошибка.
Т.е. я веду к тому, что под раздачу могут попасть как совсем белые сайты, так и те, которые реально опасно посещать. Поэтому, появление подобной ошибки это повод внимательно взглянуть на адрес сайта.
Ну а в этой статье я хочу указать на несколько способов устранения подобной ошибки, если она стала появляться даже на белых и известных сайтах (например, на Google, Яндекс, ВК и многих других. Их же вы не откажетесь посещать? 😉).
*
👉 1) Обратите внимание на адрес сайта
Первое, что сделайте — просто обратите внимание на адрес сайта (возможно, что вы по ошибке набрали не тот URL).
Также иногда такое происходит по вине сервера, на котором расположен сайт (возможно, вообще, сам сертификат просто устарел, ведь его выдают на определенное время). Попробуйте посетить другие сайты, если с ними все “OK” — то вероятнее всего, что проблема не в вашей системе, а у того конкретного сайта.
Однако, отмечу, что если ошибка появляется на очень известном сайте, которому вы (и многие другие пользователи) всецело доверяете — то высока вероятность проблемы в вашей системе…
*
👉 2) Проверьте дату и время, установленные в Windows
Второй момент: подобная ошибка может выскакивать, если у вас в системе неверно задано время или дата. Для их корректировки и уточнения достаточно щелкнуть мышкой по “времени” в панели задач Windows (в правом нижнем углу экрана).
См. скрин ниже. 👇
📌В помощь!
Как настроить дату и время в Windows 10/11: см. пошаговую инструкцию
После установки правильного времени, перезагрузите компьютер и попробуйте заново открыть браузер и сайты в нем. Ошибка должна исчезнуть.
Также обращаю внимание на то, что, если у вас постоянно сбивается время – вероятно у вас села батарейка на материнской плате. Представляет она из себя небольшую “таблетку”, благодаря которой компьютер помнит введенные вами настройки, даже если вы его отключаете от сети (например, те же дата и время как-то высчитываются?).
*
👉 3) Попробуйте провести обновление корневых сертификатов
Еще один вариант, как можно попробовать решить эту проблему – установить обновление корневых сертификатов. Обновления можно скачать на сайте Microsoft для разных ОС. Для клиентских ОС (т.е. для обычных домашних пользователей) подойдут вот эти обновления: https://support.microsoft.com/ (ссылка ну нужную страничку).
*
👉 4) Установка “доверенных” сертификатов в систему
Этот способ хоть и рабочий, но хотелось бы предупредить, что он “может” стать источником проблем в безопасности вашей системы. По крайней мере, прибегать к этому советую только для таких крупных сайтов как Google, Яндекс и т.д.
Для избавления от ошибки, связанной с недостоверностью сертификата, должен подойти спец. пакет GeoTrust Primary Certification Authority.
Скачать GeoTrust Primary Certification Authority можно с сайта: http://www.geotrust.com/resources/root-certificates/index.html
Кстати, на этой страничке расположено еще несколько сертификатов, их также можно до-установить в систему.
*
Кстати, чтобы скачать GeoTrust Primary Certification Authority:
- нажмите правой кнопкой мышки по ссылке download и выберите вариант “сохранить ссылку как…”;
- далее укажите папку на диске, куда будет скачан сертификат. Это будет файл формата PEM.
Теперь необходимо скачанный сертификат установить в систему. Как это делается, по шагам расскажу чуть ниже:
- сначала нажимаем сочетание кнопок Win R, и вводим команду certmgr.msc, жмем OK;
- должен открыться центр сертификатов в Windows. Необходимо раскрыть вкладку “Доверенные корневые центры сертификации/сертификаты”, щелкнуть по ней правой кнопкой мышки и выбрать “Все задачи – импорт”.
- далее запустится мастер импорта сертификатов. Просто жмем “Далее”.
- после нажмите кнопку “Обзор” и укажите ранее загруженный нами сертификат. Нажмите “Далее” (пример показан ниже); 👇
- в следующем шаге укажите, что сертификаты нужно поместить в доверенные центры сертификации и нажмите “Далее”.
- в следующем шаге вы должны увидеть, что импорт успешно завершен. Собственно, можно идти проверять, как будет отображаться сайт в браузере (может потребоваться перезагрузка ПК).
*
👉 5) Обратите внимание на антивирусные утилиты
В некоторых случаях эта ошибка может возникать из-за того, что какая-нибудь программа (например, антивирус) проверяет https трафик. Это видит браузер, что пришедший сертификат не соответствует адресу, с которого он получен, и в результате появляется предупреждение/ошибка…
Поэтому, если у вас установлен антивирус/брандмауэр, проверьте и на время отключите настройку сканирования https трафика (см. пример настроек AVAST на скрине ниже). 👇
Либо, как вариант, на время удалите его или полностью отключите!
*
📌 PS
Чтобы открыть проблемный сайт — загрузите браузер MX5 (я о нем рассказывал в заметке о флеш-играх). При попытке перейти на “проблемный” сайт в нем — он вас предупредит, что это не безопасно, но если вы подтвердите свое намерение — н загрузит страничку!
В общем, рекомендую иметь такой инструмент под-рукой. 👌
*
На этом у меня всё…
За дополнения по теме – отдельное мерси!
Всего доброго!
Первая публикация: 2.05.2021
Корректировка: 9.11.2021
При чем здесь корневой сертификат
Дело в том, что любой телефон, компьютер или планшет хранит корневые сертификаты. Эти сертификаты не выпускаются вместе с сертификатом на домен и хранятся на каждом отдельном устройстве. Обновление корневых сертификатов происходит вместе с обновлением версии устройства.
Корневые сертификаты используются для подписания промежуточных сертификатов. А на основе промежуточных выпускаются сертификаты для доменов. Так создается цепочка доверия сертификатов. Когда браузер проверяет, можно ли доверять сайту, он прослеживает всю цепочку от промежуточного сертификата до одного из корневых сертификатов в своем хранилище.
Корневой сертификат Let’s Encrypt ― ISRG Root X1 изначально не мог быстро попасть в хранилища корневых сертификатов большинства устройств. Поэтому для сертификатов Let’s Encrypt используется цепочка доверия, которая ведет к корневому сертификату DST Root CA X3.
Новые версии устройств уже добавили в хранилище корневой сертификат ISRG Root X1, поэтому не идут дальше по цепочке доверия, чтобы проверить сайт.
Цепочка доверия сертификатов Let’s Encrypt на новых устройствах:
ISRG Root X1 → Let's Encrypt R3 → Конечный сертификат пользователяА старые версии устройств все еще не распознают новый промежуточный сертификат ISRG Root X1, поэтому цепочка проверки для них выглядит так:
IdenTrust’s DST Root CA X3 → ISRG Root X1 → Let's Encrypt R3 → Конечный сертификат пользователяПроверка ssl-сертификата онлайн
Проверку можно сделать с помощью бесплатных онлайн-сервисов. Для этого достаточно знать домен или URL-адрес.