Проверить контрагента | Информационный портал МБКИ

Что такое эцп и сертификат закрытого ключа

Электронная цифровая подпись используется во многих программных продуктах: 1С: Предприятие (и другие программы для ведения хозяйственного или бухгалтерского учёта), СБИС , Контур.Экстерн (и прочие решения для работы с бухгалтерской и налоговой отчётностью) и других. Также ЭЦП нашла применение в обслуживании физических лиц при решении вопросов с государственными органами.

Как и при подписании бумажных документов, процесс подписания электронных носителей информации связан с “редактированием” первичного источника.

Электронная цифровая подпись документов осуществляется путём преобразования электронного документа с помощью закрытого ключа владельца, этот процесс и называется подписанием документа

На сегодняшний день сертификаты закрытого ключа чаще всего распространяются либо на обычных USB-флешках, либо на специальных защищённых носителях с тем же USB интерфейсом (Рутокен, eToken и так далее).

Если вы используете ЭЦП у себя дома, то каждый раз подключать/отключать токен быстро надоедает. Кроме того, носитель будет занимать один USB-порт, которых и так не всегда хватает для подключения всей необходимой периферии.Если же вы используете ЭЦП на работе, то бывает, что ключ удостоверяющим центром выдан один, а подписывать документы должны разные люди.

Кроме того, и дома, и, особенно, на работе, случается, что на одном компьютере необходимо производить действия с использованием сразу нескольких ключей цифровой подписи. Именно в тех случаях, когда использование физического носителя сертификата неудобно, можно прописать ключ ЭЦП в реестр КриптоПро и использовать сертификат, не подключая носитель к USB-порту компьютера.

Что такое корневые сертификаты windows 7, 10 и xp

Сами по себе сертификаты — это меры безопасности. Они показывают, настоящее ли сообщение или запрос пришел пользователю, серверу или же это подделка. Корневые сертификаты являются основными.

Эти записи учитываются в первую очередь при установке связи через Интернет. Они свидетельствуют о том, что сообщение, переданное с одного устройства на другое, настоящее, то есть оно основано на технологии, выдаваемой органом по сертификации. В операционной системе есть список этих самых сертификатов.

Они также служат шифром, когда пользователь передает информацию какому-либо ресурсу. Соответственно, если сертификат недостоверный, то соединение не установится в целях безопасности. Например, определенная группа сертификатов разработана для обмена данными и запросами между браузером и сайтом. С их помощью система шифрует пароли, важные файлы, исходные коды при передаче информации.

Еще одна функция — определение важности установки связи. Система автоматически определяет, для чего сайту нужны какие-либо данные, чтобы разрешить или отказать в доступе. Кстати, некоторые вредоносные программы могут подставлять в список свои договоренности, после чего перенаправить пользователя на вирусный сайт, где успешно украсть его информацию. Поэтому важно не устанавливать сторонний софт и ничего не подтверждать без прочтения.

Следовательно, сертификаты выполняют следующие функции:

Если бы их не существовало вообще, то все устройства доверяли бы друг другу. Из-за этого было бы множество незащищенных соединений и терабайтов перехваченной, украденной информации. Если удалить все нужные сертификаты с компьютера, то в браузере будет написано, что соединение небезопасное.

Убедитесь, что всё нужное под рукой

1) Действующий сертификат Контура или доверенного УЦ с такими же ИНН, ФИО, СНИЛС, как в новой заявке, чтобы подписать заявление в электронном виде. Это позволит быстрее продлить сертификат.

2) Если подходящего сертификата нет, то нужно будет подписать заявление вручную. Для этого понадобится принтер и телефон с камерой / фотоаппарат / цветной сканер. 

В списке сертификатов выберите нужную заявку

Если у вас нет других сертификатов, заявка сразу откроется. Если вы не можете найти заявку в списке, позвоните в Сервисный центр. Возможно, заявка привязана к другому номеру телефона или сотрудник Сервисного центра ещё не создал её.

Проверьте данные сертификата

Эти данные попадут сертификат.

Важно! Проверяйте данные внимательно, потому что если в данных будут ошибки, потребуется перевыпуск сертификата за отдельную плату (если у вас не подключена услуга “Сопровождение сертификата”).— Если название или адрес организации указаны неверно, нажмите ссылку «Обновить по данным ФНС» — мы автоматически актуализируем информацию в соответствии с данными в ЕГРЮЛ.

— Если ИНН, ОГРН или параметры сертификата указаны неверно — позвоните в ваш сервисный центр.— Если данные владельца указаны неверно, нажмите “Редактировать” и исправьте ошибки. Особое внимание обратите на реквизиты паспорта. Если срок действия паспорта закончился или получен новый паспорт, укажите реквизиты нового документа.

Также проверьте номер телефона, к которому будет привязан сертификат — на него придёт СМС с кодом подтверждения при выпуске сертификата, а также по этому телефону можно подтверждать доступ к заявке (другой способ — по сертификату с такими же ФИО, ИНН и СНИЛС).

Если сменился владелец сертификата, измените все данные. ФИО и дату рождения указывайте точно так же, как в паспорте: с буквами Ё, дефисами, пробелами и пр. Если у вас нет паспорта РФ, подойдёт временное удостоверение личности. ​Если вы иностранный гражданин, вместо паспорта РФ можете представить иностранный паспорт с нотариально заверенным переводом или вид на жительство в РФ (если нет иностранного паспорта). ФИО заполняйте русскими буквами, как в заверенном переводе. Поле “Серия” можно не заполнять, если в документе оно отсутствует. Укажите действующую электронную почту — туда будут приходить уведомления о статусе заявки и напоминания о продлении сертификата. 

Когда все данные будут указаны верно, нажмите «Подтвердить данные»

Подпишите заявление на выдачу сертификата

— Если у вас есть действующий сертификат доверенных УЦ с такими же ФИО, СНИЛС и ИНН, как в новой заявке, вы сможете подписать заявление электронно.

Если сертификат выдаётся не на руководителя из выписки, в заявлении появится строка «От имени юридического лица»
Должность, ФИО и подпись руководителя организации, на которую выдается сертификат. Вместо руководителя от имени ЮЛ может расписаться уполномоченное лицо по доверенности. Подпись синим цветом, не факсимиле. 

Проверьте актуальность документов

Мы скопируем документы из старой заявки, если соответствующие данные не поменялись. Проверьте их ещё раз.

Дождитесь ответа ПФР — мы автоматически проверяем СНИЛС. Если ПФР подтвердит данные, скан СНИЛС не нужен.
Если ответ долго не приходит или в ПФР нет ваших данных, нажмите “Восстановить документ”, чтоб скопировать документ из старой заявки, или загрузите фотографию или скан карточки СНИЛС заново.
Если данные владельца или организации изменились, вам нужно подтвердить изменения документами. Напротив документов, которые нужно представить, есть зеленые кнопки “Загрузить”.

Сделайте фотографии или цветные сканы этих документов. Технические требования к файлам:

• Качество картинки должно быть таким, чтобы текст легко можно было разобрать (примерно 200-400 dpi).
• Страницы не обрезаны, входят целиком.
• Размер до 10 МБ.
• Форматы jpg, png, gif, pdf, tif, bmp, heic.

Если вы используете не оригинал документа, а копию, она должна быть заверена по образцу:

Заверить копию может:

• руководитель или уполномоченное лицо организации/ИП, с которой заключен договор на выдачу сертификата, при наличии печати,
• нотариус,
• сервисный центр.

ИсключениеЕсли сертификат на руководителя юридического лица, ИП или физлицо, то на копии паспорта или другого документа, удостоверяющего личность, заверительная надпись не обязательна. 

Важно! Нельзя фотографировать/сканировать копию заявления. Только оригинал. Не выбрасывайте заявление! Оно понадобится при получении сертификата.

Загрузите подготовленные сканы в нужные вкладки. Также вы можете загрузить дополнительные документы, кликнув на ссылку “Загрузить дополнительные документы” внизу страницы. У каждого опционального документа написано, в каких случаях он требуется.

После проверки/загрузки всех обязательных документов, станет активной кнопка “Продолжить” внизу страницы. Нажмите её.

Выберите сервисный центр

Чаще всего при продлении сертификата не нужен визит в сервисный центр, так как заявление на выдачу подписано действующим сертификатом.  В этом случае шага выбора СЦ не будет — вы сразу можете приступить к выпуску сертификата (следующая инструкция, начинайте с п.7).

В остальных случаях (например, заявление не подписано сертификатом) нужно выбрать адрес сервисного центра, куда вам будет удобно подойти с оригиналами документов после одобрения заявки.
Чаще всего какой-то сервисный центр уже выбран — он отображается на зелёной плашке. Если он вам подходит — сразу нажмите кнопку “Отправить на проверку”. Если СЦ не подходит или не выбран, найдите удобный вам адрес в списке или на карте и кликните на него — он подсветится зелёным.
В списке и на карте показываются только точки в выбранном регионе/городе. Если вы хотите посмотреть точки в других регионах — поменяйте локацию.
После того, как вы выбрали удобный вам сервисный центр, нажмите кнопку «Отправить на проверку».

Заявка отправлена

Мы проверим заявку в течение 1–2 дней и сообщим вам результат. На странице написана пошаговая инструкция конкретно для вашего случая.

— Если вам нужно подойти в сервисный центр, то инструкция будет, например, такая:

1) Если сертификат на руководителя юридического лица, ИП или физлицо, то в СЦ должен прийти будущий владелец лично.
2) Если сертификат на сотрудника юридического лица, то в СЦ должен прийти сам сотрудник с доверенностью. Руководитель, указанный в выписке, может обратиться без доверенности. 
Отправить вместо себя другое лицо нельзя по закону.

— Если вы подписали заявление сертификатом и все данные прошли проверку в гос.системах (паспорт, СНИЛС  ИНН для сертификатов для ИП и физлиц), то вам не нужно идти в сервисный центр, вы увидите вот такое сообщение. Дождитесь одобрения заявки и после этого приступайте к выпуску сертификата.

Заказать сертификат электронной подписи

Возможные проблемы

Существует ряд проблем, которые могут случиться при установке новых сертификатов. К ним относятся следующие:

Для чего это нужно

Это своего рода документы, поэтому у них есть срок годности. Всё программное обеспечение развивается, добавляются новые строчки кода, расширяется функционал, исправляются баги. Это касается сертификатов. Поскольку они напрямую работают с Интернетом, то зависят от нововведений.

Если меняется технология, нужно изменить все, что работает вместе с ней. Также некоторые договоренности теряют актуальность. Их нужно вовсе удалить. Кроме того, пользователи часто устанавливают ОС Windows 7, скачанную с Интернета. Есть вероятность, что сертификаты встроены еще с 2009 г.

Что же будет, если не обновлять файлы? Во-первых, теряется вся безопасность. Информация не сможет шифроваться, потому что не будет соответствующего инструмента. И есть риск стать жертвой злоумышленников. Во-вторых, сейчас 99 % всех сайтов в Интернете использует удостоверения.

При установке соединения гаджеты (клиент и сервер) обмениваются данными. Если у одного не будет сертификатов, либо файлы устаревшие, то в браузере высветится соответствующая ошибка — небезопасное подключения. То же самое случится при наличии неполадок со стороны сайта. Естественно, существуют способы обойти это, но не рекомендуется это делать.

Добавление в криптопро csp

Запускаем программу от имени администратора правой кнопкой мыши или из меню самой утилиты на вкладке Общие

Теперь переходим на вкладку Оборудование и нажимаем на кнопку Настроить считыватели…Если в открывшемся окне нет варианта Реестр, то, чтобы его здесь вывести, жмём на кнопку Добавить…

Далее, следуя командам Мастера установки считывателя поэтапно перемещаемся по окнам:

1. Жмём кнопку Далее в первом окне.
2. Из списка считывателей от всех производителей выбираем вариант Реестр и снова жмём Далее.
3. Вводим произвольное имя считывателя, можно оставить название по умолчанию. Жмём Далее.
4. В последнем окне видим оповещение, что после завершения настройки считывателя рекомендуется перезагрузить компьютер. Жмём кнопку Готово и самостоятельно перезагружаем машину.

Считыватель Реестр добавлен, о чём свидетельствует соответствующий пункт в окне Управление считывателями (напоминаем, что данное окно вызывается по пути КриптоПро – Оборудование – Настроить считыватели…)

Если кнопка «отправить заявку на обновление» есть

Нажмите на эту кнопку и далее следуйте указаниям системы, они помогут вам отправить заявку.

Если сменился владелец сертификата или данные организации:

3) Документы. Оригинал или заверенная копия паспорта будущего владельца сертификата. Возможно, потребуются СНИЛС (если не получится проверить ваши данные в ПФР автоматически) и документы организации — список документов и случаи, в которых они нужны, написаны на шаге загрузки документов.

4) Телефон с камерой, фотоаппарат или цветной сканер. Нужно будет загрузить изображения документов.

Нажмите кнопку «Приступить», когда будете готовы заполнять заявку.

Как обновить для сайта ssl сертификат, который был куплен в другой компании

В таких случаях требуется оформить новый заказ. Если до окончания действия старого сертификата осталось 2 месяца и меньше, и вы выбираете тот же самый сертификат для нового заказа, остаток периода будет автоматически добавлен к сроку действия выпускаемого сертификата.

Как обновить кэп.

Сертификат квалифицированной электронно-цифровой подписи (далее ЭЦП, ЭП) имеет ограниченный срок пользования. В большинстве случаев это 12, а в некоторых 15 месяцев. До истечения этого времени необходимо заказать услугу продление электронной подписи, а если срок истек, придется получать сертификат заново.

Как обновить сертификат

Как продлить ssl сертификат

Уведомление об окончании срока действия посылается на e-mail, указанный при регистрации, за 14 дней.

Также можно самостоятельно отследить дату окончания сертификата и обновить его через личный кабинет заблаговременно.

Рекомендации

Советуем продлевать услугу заранее. Минимум, за 2 недели. Максимальный срок предварительной процедуры – 60 дней. Оставшийся период действия обновляемого сертификата прибавляется к новому.   

Порядок действий

1. Перейти в личный кабинет и выбрать домен с истекающим сроком SSL-сертификата
2. Проверить баланс (отображается в самом верху справа) и пополнить его до необходимой по тарифу суммы
3. Нажать иконку «Продлить» в верхнем меню справа
   
4. В появившемся окне выбрать период действия сертификата и сгенерировать новый ключ
   
   Максимальный срок действия сертификата c марта 2021 составляет 2 года. Рекомендуем выбирать более длительный период, чтобы не возвращаться к данной процедуре каждый год и получить дополнительную скидку.
5. Далее необходимо проверить электронную почту и подтвердить перевыпуск
6. Новый сертификат будет выслан на подтвержденный электронный ящик

Процедура не займет много времени. При продлении всё происходит значительно быстрее, чем при первичном заказе. Далее файлы с новыми данными необходимо установить на сервер с сайтом. Вы можете обратиться за установкой в нашу поддержку, это бесплатно.

Важно: вышеописанный способ актуален в случаях, когда не требуется вносить никакие изменения. Если будет использован другой домен или требуются дополнительные опции (поддержка поддоменов, расширенная проверка, иной тарифный план), необходимо создать новый заказ.

Как включить или отключить автопродление ssl-сертификата

Первая попытка списания происходит с баланса аккаунта. Если средств недостаточно, то с привязанной карты. Карта в этом случае должна быть привязана к аккаунту: Как привязать к аккаунту банковскую карту.

Как включить автопродление SSL:

Готово, вы настроили Автопродление SSL-сертификата.

Обновление корневых сертификатов windows 7, 10, xp

Чтобы установить файлы, нужно сначала их достать. Они распространяются соответствующими удостоверяющими центрами. Также нужные данные можно найти по запросу в поисковике Google. Сам файл имеет расширение *cer (от английского «certificate»). Когда сертификат будет на компьютере, понадобится щелкнуть по нему правой кнопкой мыши, после чего выбрать «Установить сертификат» в открывшемся списке. Дальнейшие действия:

1. После выбора пункта с установкой у пользователя попросят подтвердить открытие. Можно снять галочку с пункта «Всегда спрашивать при открытии этого файла», но это не обязательно. Достаточно щелкнуть на «Открыть».
2. В появившемся мастере импорта сертификатов необходимо выбрать «Текущий пользователь».
3. Нужно нажимать «Далее» до тех пор, пока операционная система не уведомит об успешном импорте файла в список. Затем потребуется щелкнуть на «Ок».

Таким образом устанавливается основной сертификат. Однако есть еще и файл из контейнера. Инструкция такая же, однако когда появится меню с выбором хранилища, понадобится сделать следующее:

1. Щелкнуть на «Обзор».
2. Выбрать вкладку с доверенными корневыми центрами сертификаций.
3. После этого нужно завершить установку как обычно.

Обновление корневых сертификатов в windows с помощью gpo в изолированных средах

Если у вас возникла задача регулярного обновления корневых сертификатов в изолированном от Интернета домене Active Directory, есть несколько более сложная схема обновления локальных хранилищ сертификатов на компьютерах домена с помощью групповых политик.

Первый способ предполагает, что вы регулярно вручную скачиваете и копируете в вашу изолированную сеть файл с корневыми сертификатами, полученный так:

certutil.exe –generateSSTFromWU roots.sst

Обновление сертификатов (для всех версий windows)

На примере сертификатов КриптоПро CSP

Обновляем корневые сертификаты на windows. актуализируем доверенные центры сертификации.

Что такое корневой сертификат?Корневой сертификат (СА) – часть ключа, которым центры сертификации подписывают выпущенные SSL-сертификаты. Выдавая корневой сертификат, каждый такой центр гарантирует, что пользователи или организации, запросившие SSL, верифицированы и действия с доменом или приложением легальны.

Что будет если не обновлять корневые сертификаты?Если не обновлять корневые сертификаты, то:

•  вы не сможете заходить на сайты, которые используют доверенные центры сертификации, которых у вас нет в системе, или срок которых у вас истёк.
•  при включенной проверке издателя, вы не сможете устанавливать новые программы, которые используют доверенные центры сертификации, которых у вас нет в системе, или срок которых у вас истёк.
•  вы не сможете продолжать полноценно использовать приложения, которые используют доверенные центры сертификации, которых у вас нет в системе, или срок которых у вас истёк.

Обязательно ли обновлять сертификаты?Нет. В случае если у вас Windows 7, Windows 8, Windows 8.1, Windows 10, и у вас включено автоматическое обновление Windows (Службы криптографии и BITS), то сертификаты обновляются автоматически.

Получение сертификата let’s encrypt

Получить доверенный сертификат

можно разными способами, в том числе и

. Однако мы рассмотрим только получение вручную через сервис

Проблема устаревших корневых сертификатов. на очереди let’s encrypt и умные телевизоры

Чтобы браузер мог аутентифицировать веб-сайт, тот представляет себя действительной цепочкой сертификатов. Типичная цепочка показана сверху, в ней может быть больше одного промежуточного сертификата. Минимальное количество сертификатов в действительной цепочке равно трём.

Корневой сертификат — сердце центра сертификации. Он буквально встроен в вашу ОС или браузер, он физически присутствует на вашем устройстве. Его не поменяешь со стороны сервера. Нужно принудительное обновление ОС или встроенного ПО на устройстве.

Специалист по безопасности Скотт Хельме (Scott Helme) пишет, что основные проблемы возникнут у центра сертификации Let’s Encrypt, потому что сегодня это самый популярный ЦС в интернете, а его корневой сертификат скоро «протухнет». Смена корня Let’s Encrypt назначена на 8 июля 2020 года.

Конечные и промежуточные сертификаты удостоверяющего центра (CA) доставляются клиенту с сервера, а корневой сертификат у клиента уже есть, поэтому с помощью этой коллекции сертификатов можно построить цепочку и аутентифицировать веб-сайт.

Проблема заключается в том, что у каждого сертификата есть срок действия, после чего он нуждается в замене. Например, с 1 сентября 2020 года в браузере Safari планируют ввести ограничение на срок действия серверных TLS-сертификатов максимум 398 дней.

Это значит, что всем нам придётся заменять серверные сертификаты по крайней мере каждые 12 месяцев. Это ограничение распространяется только на сертификаты сервера, оно не распространяется на корневые сертификаты CA.

Сертификаты CA регулируются другим набором правил, поэтому имеют разные ограничения на срок действия. Очень часто встречаются промежуточные сертификаты со сроком действия 5 лет и корневые сертификаты со сроком службы даже 25 лет!

С промежуточными сертификатами обычно нет проблем, потому что они поставляются клиенту сервером, который сам гораздо чаще меняет свой собственный сертификат, так что просто в ходе этой процедуры заменяет и промежуточный. Его довольно легко заменить вместе с сертификатом сервера, в отличие от корневого сертификата CA.

Как мы уже говорили, корневой CA встроен непосредственно в само клиентское устройство, в ОС, в браузер или другое программное обеспечение. Изменение корневого CA веб-сайт не может контролировать. Здесь требуется обновление на клиенте, будь то обновление ОС или софта.

Некоторые корневые CA существуют уже очень давно, речь о 20-25 годах. Скоро некоторые из самых старых корневых CA приблизятся к концу своей естественной жизни, их время почти истекло. Для большинства из нас это вообще не будет проблемой, потому что CA создали новые корневые сертификаты, и они уже много лет распространяются по всему миру в обновлениях ОС и браузеров. Но если кто-то очень давно не обновлял ОС или браузер, это своего рода проблема.

Такая ситуация возникла 30 мая 2020 года в 10:48:38 GMT. Это точное время, когда протух корневой сертификат AddTrust от центра сертификации Comodo (Sectigo).

Он использовался для перекрёстной подписи, чтобы обеспечить совместимость с устаревшими устройствами, в хранилище которых нет нового корневого сертификата USERTrust.

К сожалению, проблемы возникли не только в устаревших браузерах, но и в небраузерных клиентах на базе OpenSSL 1.0.x, LibreSSL и GnuTLS. Например, в телевизионных приставках Roku, сервисе Heroku, в приложениях Fortinet, Chargify, на платформе .NET Core 2.0 под Linux и многих других.

Предполагалось, что проблема затронет только устаревшие системы (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9 и т.п.), поскольку современные браузеры могут задействовать второй корневой сертификат USERTRust. Но по факту начались сбои в сотнях веб-сервисов, которые использовали свободные библиотеки OpenSSL 1.0.x и GnuTLS. Безопасное соединение перестало устанавливаться с выводом ошибки об устаревании сертификата.

Ещё один хороший пример предстоящей смены корневого CA — центр сертификации Let’s Encrypt. Ещё

в апреле 2021 года

они планировали перейти с цепочки Identrust на собственную цепочку ISRG Root, но этого

не произошло

.

«Из-за опасений по поводу недостаточного распространения корня ISRG на устройствах Android мы решили перенести дату перехода к собственному корню с 8 июля 2021 года на 8 июля 2020 года», — сказано в официальном сообщении Let’s Encrypt.

Дату пришлось перенести из-за проблемы, которую называют «распространением корня» (root propagation), а точнее, отсутствием распространения корня, когда корневой CA не слишком широко распространён на всех клиентах.

Сейчас Let’s Encrypt использует перекрёстно подписанный промежуточный сертификат с цепочкой до корня IdenTrust DST Root CA X3. Этот корневой сертификат был выдан ещё в сентябре 2000 года и истекает 30 сентября 2021 года. До этого времени Let’s Encrypt планирует перейти на собственный самоподписанный корень ISRG Root X1.

Корень ISRG выпущен 4 июня 2021 года. После этого начался процесс его утверждения в качестве центра сертификации, который завершился 6 августа 2021 года. С этого момента корневой CA был доступен всем клиентам через обновление операционной системы или программного обеспечения. Всё, что нужно было сделать, — это установить обновление.

Но в этом и проблема.

Если ваш мобильный телефон, телевизор или другое устройство не обновлялось два года — как оно узнает о новом корневом сертификате ISRG Root X1? А если его не установить в системе, то все серверные сертификаты Let’s Encrypt ваше устройство признает недействительными, как только Let’s Encrypt перейдёт на новый корень. А в экосистеме Android много устаревших устройств, которые давно не обновлялись.

Экосистема Android

Вот почему Let’s Encrypt отложил переход к собственному корню ISRG и всё ещё использует промежуточное звено, которое спускается к корню IdenTrust. Но переход в любом случае придётся сделать. И датой смены корня назначено 8 июля 2020 года.

Для проверки, что на вашем устройстве (телевизор, приставка или другой клиент) установлен корень ISRG X1, откройте тестовый сайт https://valid-isrgrootx1.letsencrypt.org/. Если не появляется предупреждение безопасности, то обычно всё в порядке.

Let’s Encrypt не единственный, кому предстоит решить проблему с переходом на новый корень. Криптографию в интернете начали использовать чуть более 20 лет назад, так что как раз сейчас наступает момент окончания действия многих корневых сертификатов.

С такой проблемой могут столкнуться владельцы умных телевизоров, которые много лет не обновляли программное обеспечение Smart TV. Например, новый корень GlobalSign R5 Root выпущен в 2021 году, и после некоторые старые Smart TV не могут построить цепочку к нему, потому что этот корневой CA у них просто отсутствует. В частности, эти клиенты не могли установить защищённое соединение с сайтом bbc.co.uk. Чтобы решить проблему, админам BBC пришлось пойти на хитрость: они построили для этих клиентов альтернативную цепочку через дополнительные промежуточные сертификаты, задействуя старые корни R3 Root и R1 Root, которые ещё не протухли.

www.bbc.co.uk (Leaf)
GlobalSign ECC OV SSL CA 2021 (Intermediate)
GlobalSign Root CA - R5 (Intermediate)
GlobalSign Root CA - R3 (Intermediate)

Это временное решение. Проблема никуда не уйдёт, если не обновить клиентское ПО. Умный телевизор — это по сути ограниченный в функциональности компьютер под Linux. И без обновлений его корневые сертификаты неизбежно протухнут.

Это касается всех устройств, не только телевизоров. Если у вас любое устройство, которое подключено к интернету и которое рекламировали как «умный» девайс, то проблема с протухшими сертификатами почти наверняка касается его. Если устройство не обновляется, то корневое хранилище CA со временем устареет, и в конечном итоге проблема всплывёт на поверхность. Как скоро возникнет проблема, зависит от времени последнего обновления корневого хранилища. Это может быть за несколько лет до даты реального выпуска устройства.

Про сертификаты:  Курсы косметолога эстетиста в Москве. Лучшие цены и отзывы - МИВМ

Кстати, в этом проблема, почему некоторые крупные медиаплатформы не могут использовать современные автоматизированные центры сертификации типа Let’s Encrypt, пишет Скотт Хельме. Для умных ТВ они не подходят, и количество корней слишком мало, чтобы гарантировать поддержку сертификата на устаревших устройствах. В противном случае ТВ просто не сможет запустить современные стриминговые сервисы.

Последний инцидент с AddTrust показал, что даже крупные IT-компании бывают не готовы к тому, что у корневого сертификата заканчивается срок действия.

Решение проблемы только одно — обновление. Разработчики умных устройств должны заранее обеспечить механизм обновления программного обеспечения и корневых сертификатов. С другой стороны, производителям невыгодно обеспечивать работу своих устройств по окончании срока гарантии.

---

Удаление старых сертификатов на windows

Чтобы файлы смогли обновиться, нужно удалить старые или ненужные сертификаты:

1. Нажать сочетание клавиш «Win R». Откроется окно «Выполнить». В поле нужно ввести команду «mmc» (без кавычек). Далее потребуется щелкнуть на «Ок».
2. Откроется Microsoft Management Console. Это среда для управления операционной системой. В появившемся окне нужно щелкнуть на «Файл». В меню выбрать пункт «Добавить или удалить…». Должно появиться еще одно окно.
3. В управлении оснастками есть два раздела. Нужно в левой части выбрать сертификаты, после чего нажать на «Добавить». Откроется менеджер по управлению сертификатами. Далее нужно выбрать первый пункт — «Моя учетная запись пользователя», нажать на «Готово».
4. После этого операционная система опять откроет консоль параметров. В левой части окна нужно раскрыть вкладку «Сертификаты — текущий профиль». Далее понадобится перейти в ветку доверенных корневых центров. Внутри есть папка «Сертификаты». Нужно щелкнуть на нее левой кнопкой мыши. В окне рядом отображены все установленные корневые центры сертификаций.
5. Если есть несколько файлов, начинающихся с «УЦ» (например, криптопро), то их можно удалить, поскольку они не стандартные. Это файлы удостоверяющих центров.
6. Нужно выделить все пункты, нажать правую кнопку мыши, щелкнуть по «Удалить». После чего нужно подтвердить действия.

Далее нужно удалить сертификаты безопасности на Windows 7, XP, 10 для интернет-узла. Для этого нужно вернуться в консоль управления Microsoft, затем сделать следующее:

1. Выбрать вкладку «Другие пользователи».
2. Перейти в соответствующую папку.
3. В списке под графой «Кем выдан» нужно найти то же самое УЦ, затем нажать на «Удалить».
4. Далее необходимо повторно подтвердить действия.

Управление корневыми сертификатами компьютера в windows 10

Как посмотреть список корневых сертфикатов компьютера с Windows?

1. Чтобы открыть хранилище корневых сертфикатов компьютера в Windows 10/8.1/7/Windows Server, запустите консоль mmc.exe;
2. Нажмите Файл (File) -> Добавить или удалить оснастку (Add/Remove Snap-in), в списке оснасток выберите Сертификаты (Certificates) -> Добавить (Add);
3. В диалоговом окне выберите что вы хотите управлять сертификатами учетной записью компьютера (Computer account);
4. Далее -> Ok -> Ok;
5. Разверните Certificates (Сертификаты) -> Trusted Root Certification Authorities Store (Доверенные корневые сертификаты). В этом списке содержится список корневых доверенных сертификатов вашего компьютера.

Вы также можете получить список доверенных корневых сертификатов со сроками действия с помощью PowerShell:

Get-Childitem cert:LocalMachineroot |format-list

Можно вывести список истекших сертификатов, или которые истекут в ближайшие 30 дней:

Get-ChildItem cert:LocalMachineroot  |  Where {$_.NotAfter -lt  (Get-Date).AddDays(30)}

В консоли mmc вы можете просмотреть информацию о любом сертификате или удалить его из доверенных.

Вы можете вручную перенести файл корневого сертификата с одного компьютера на другой через функцию Экспорта/Импорта.

1. Вы можете экспортировать любой сертификат .CER в файл, щелкнув по нему и выбрав “Все задачи” -> “Экспорт”;
2. Затем с помощью команды Импорт можно импортировать этот сертификат на другом компьютере.

Установка личного сертификата криптопро

Установка сертификата закрытого ключа криптопро csp

В завершении настройки подписи документов без подключения носителя ключа к компьютеру нам остаётся только установить сертификат закрытого ключа из контейнера созданного носителя.

Чтобы установить сертификат в КриптоПро необходимо проделать следующее:

1. В утилите CSP на вкладке Сервис жмём на кнопку Просмотреть сертификаты в контейнере…
2. В открывшемся окне нажимаем на кнопку Обзор, где по заданному нами имени выбираем искомый носитель, подтвердив выбор кнопкой OK. Нажимаем Далее.
3. В завершающем окне проверяем правильность выбора сертификата и подтверждаем решение кнопкой Установить.

Теперь у нас установлен Сертификат закрытого ключа из локального носителя. Настройка КриптоПро завершена, но вам следует помнить, что для многих программных продуктов также потребуется перепрописать новый ключ в настройках системы.

Установка сертификата на сервер 3cx

Если вы устанавливаете новую систему, то на соответствующем этапе Мастера первоначальной настройки просто укажите сертификат и ключ.

Если сервер уже установлен и работает, зайдите на него и перейдите в папку:

Вы должны видеть 3 файла, как показано на скриншоте ниже.

Внимание: если вы видите 5 файлов, значит используются FQDN и сертификат от 3CX. В этом случае ничего менять не нужно!

Перезапишите имеющиеся файлы вашими файлами. После этого перезапустите сервис NGINX. В системе Windows он называется 3CXPhoneSystem Nginx Server. Теперь, зайдя в интерфейс 3CX, вы можете посмотреть параметры нового сертификата.

Как видим, сертификат действителен в течении 3 месяцев. Имейте это ввиду, чтобы не забыть вовремя его продлить!

Утилита rootsupd.exe

В Windows XP для обновления корневых сертификатов использовалась утилита rootsupd.exe. В этой утилита содержится список корневых и отозванных сертификатов, зашитых в которой регулярно обновлялся. Сама утилита распространялась в виде отдельного обновления KB931125 (Update for Root Certificates).

Шаг 2. удаление старого сертификата безопасности для веб-узла

В левом списке раскройте дерево «Сертификаты — текущий пользователь». Раскройте пункт «Другие пользователи». Выберите пункт «Сертификаты».

Нажмите правой кнопкой мыши на сертификате. В контекстном меню выберите пункт «Удалить».

Появится окно предупреждения. Нажмите «Да». Сертификат будет удален.