Ваше подключение не защищено: ошибка подключения SSL и как её исправить- HOSTiQ Wiki

Ваше подключение не защищено: ошибка подключения SSL и как её исправить- HOSTiQ Wiki Сертификаты
На чтение 14 мин. Просмотров 12 Опубликовано
Содержание
  1. Что внутри
  2. Компьютер не принимает ssl сертификаты – что делать?
  3. Ошибка «Подключение не защищено»
  4. Ошибка «Часы спешат» / «Часы отстают»
  5. Ошибка «Подключение к сайту защищено не полностью» / «Части этой страницы не защищены»
  6. Ошибка «Этот сайт не может обеспечить безопасное соединение»
  7. Ошибка «На сервере используется слабый эфемерный открытый ключ Диффи-Хелмана»
  8. Включаем ssl и cookie в браузере
  9. Возможные ошибки при подключении
  10. Еще несколько простых способов решения проблемы
  11. Конфликт между протоколами tls
  12. Корректировка параметров безопасности
  13. Настройки антивируса или файервола
  14. Неправильные настройки даты и времени
  15. Общая схема аутентификации по сертификатам
  16. Остановка работы антивирусной программы
  17. Ошибка ssl-подключения: устраняем проблему
  18. Ошибка подключения ssl origin
  19. Причины возникновения
  20. Причины возникновения ssl-ошибки
  21. Протокол quic
  22. Сертификат клиентской аутентификации
  23. Устаревшая версия браузера
  24. Логон смарт-картой или pkinit

Что внутри

  1. Причины возникновения
  2. Примеры ошибок

Компьютер не принимает ssl сертификаты – что делать?

Впервые столкнулся с такой проблемой – не грузятся некоторые сайты. На них написано, что подключение не защищено. Все бы ничего, но в числе незагружающихся сайтов Пикабу и Рутрекер, а так же мой собственный проект, где точно знаю, что SSL действительный.

Если говорим браузеру, что на свой страх и риск переходим на небезопасный сайт, то простые сайты типа моего работают полноценно. Например https://doit3d.ru/ или https://prom-kapital.ru/ А вот тот же Пикабу и Рутрекер прогружаются так, но без стилей.

Проблема с загрузкой некоторых сайтов, в том числе упомянутых, возникла еще позавчера. Но тогда просто выскакивала ошибка ERR_TIMED_OUT. Собственно, третий вечер уже голову ломаю. Перепробовал все варианты решения этой ошибки, предлагаемые гуглом. Пропала сама по себе и сменилась проблемой с сертификатами сайтов, где выскакивала..

Сертификат отмечается как недействительный даже у https://cps.letsencrypt.org. Во всех случаях написано, что срок действия сертификата еще не наступил или истек. Хотя фактически указанный соответствует актуальной дате. Обратил внимание, что у всех обнаруженных сайтов с якобы недействительным сертификатом, сертификат от letsencrypt.У работающих нормально сертификаты digicert и sectigo.

Проблема локальная, только на одном ПК. Были мысли, что шалит Comodo Firewall, дошло до удаления, а ничего не поменялось. Перепробовал Хром, Оперу, Лису, Тор – у всех с одними и теми же сайтами. Проверил на ноуте – та же домашняя сеть, тот же хром под моим логином – все отлично работает. Посмотрел сертификаты, сроки действия совпадают. Но на примере того же Пикабу, отличается путь сертификации. На ноуте, где работает, путь начинается с ISRG Root X1. На ПК, где не работает с DST Root CA X3. В обоих случаях далее R 3 и за ним сам сайт.

На обоих устройствах стоят “бесплатные” Win7 Ultimate.

Подскажите, куда копать, что делать? Ладно бы еще сайты прогружались нормально, по необходимости проигнорить отсутствие SSL еще можно, но работать на ресурсе с незагрузившимися стилями, то еще удовольствие.

Ошибка «Подключение не защищено»

В англоязычной версии браузера: Your connection is not private.

Код ошибки: ERR_CERT_COMMON_NAME_INVALID.

Что означает: доменное имя сайта не совпадает с именем в SSL-сертификате.

Что делать: почистить кэш или зайти на сайт с другого браузера.

Код ошибки: ERR_CERT_AUTHORITY_INVALID.

Что означает: SSL-сертификат выпустил неверный/неизвестный центр сертификации.

Что делать: почистить кэш или зайти на сайт с другого браузера.

Код ошибки: ERR_CERT_REVOKED.

Что означает: центр сертификации отозвал сертификат. Обычно это бывает, когда сертификат забыли продлить после истечения срока действия. На сайте он по-прежнему стоит, но уже не действует.

Что делать: почистить кэш или зайти на сайт с другого браузера.

Код ошибки: ERR_SSL_PINNED_KEY_NOT_IN_CERT_CHAIN.

Ошибка «Часы спешат» / «Часы отстают»

В англоязычной версии браузера: Your clock is behind / Your clock is ahead.

Код ошибки: ERR_CERT_DATE_INVALID.

Что означает: неправильная дата выпуска или истечения сертификата. Обычно такая ошибка возникает из-за того, что время на компьютере и сервере отличаются.

Решение: проверьте время и дату на устройстве. Если дата и время правильные, попробуйте очистить кэш.

Ошибка «Подключение к сайту защищено не полностью» / «Части этой страницы не защищены»

В англоязычной версии браузера: Your connection to this site is not fully secure / Parts of this page are not secure.

Про сертификаты:  Что означают знаки на упаковке

Ошибка «Этот сайт не может обеспечить безопасное соединение»

В англоязычной версии браузера: This site can’t provide a secure connection.

Код ошибки: ERR_SSL_VERSION_OR_CIPHER_MISMATCH.

Что означает: произошла ошибка при выборе протокола TLS. Обычно появляется, если сайт работает на сервере с устаревшим ПО или версия браузера слишком старая. В первом случае это ошибка на стороне сайта, во втором — на стороне посетителя.

Что делать: обновить браузер или использовать другой. Если не помогло, сайт использует более старые протоколы, которые можно включить только вручную. В этом случае есть риск, что личные данные, которые вы введете на сайте, попадут в руки мошенников.

Код ошибки: ERR_BAD_SSL_CLIENT_AUTH_CERT.

Что означает: браузер и сервер в последний момент не смогли установить безопасное соединение. Часто случается из-за антивируса. В его настройках что-то по ошибке не дает браузеру и серверу договориться, в итоге происходит сбой аутентификации.

Что делать: отключите антивирус или отключите в его настройках фильтрацию протоколов SSL/TLS.

Ошибка «На сервере используется слабый эфемерный открытый ключ Диффи-Хелмана»

В англоязычной версии браузера: Server has a weak ephemeral Diffie-Hellman public key.

Код ошибки: ERR_SSL_WEAK_EPHEMERAL_DH_KEY.

Что означает: на сайте стоит слабый SSL-сертификат.

Что делать: лучше закройте сайт, если увидели такое предупреждение. Ваши данные здесь не в безопасности.

В некоторых случаях наличие данного протокола не требуется. Но когда вы хотите воспользоваться Adsense-страницами, данный параметр должен быть включён. Это же касается и файлов Cookie. В принципе, для нормальной работы и отображения информации, в т.ч. и объявлений, нужен рабочий SSL. Итак, переходим к настройке браузера. Прежде всего, необходимо перейти в меню, а затем выбираем настройки.

Возможные ошибки при подключении

При подключении SSL сертификата к сайтам, работающим с версией WordPress 4.4 и ниже, наблюдаются ошибки mixed content.

Еще несколько простых способов решения проблемы

Если у вас нет времени для того, чтобы разбираться с настройками браузера или сканировать систему, то можно попробовать несколько раз подряд обновить страницу, на которую вам нужно зайти. Вполне вероятно, что после этого информация будет частично отображена.

Однако в дальнейшем вам нужно будет сделать всё по инструкции. Еще один выход — это сбросить настройки браузера на Default, то есть на стандартные. Это позволит включить/выключить все необходимые плагины и скрипты. Также рекомендуется почистить кэш, что иногда даёт положительный результат.

Еще можно перейти в папку Windows, затем system 32, после чего — в drivers, чтобы найти там файл «etc». Последняя строчка должна выглядеть следующим образом: 127.0.0.1. Всё, что ниже данной надписи, нужно удалить. После этого в Google ошибка подключения SSL исчезнет.

Конфликт между протоколами tls

Протокол TLS — это набор правил, по которым браузер устанавливает безопасное соединение с сервером, где лежит сайт. Что-то вроде инструкции для компьютеров, которая помогает им договориться о шифровании.

На момент написания статьи есть семь версий этого протокола. Половину из них уже признали небезопасными, но на некоторых сайтах устаревшие протоколы всё ещё используют.

Иногда бывает так, что браузер использует последнюю версию TLS, а сервер — нет. В итоге появляется ошибка подключения SSL, потому что стороны не могут договориться о шифровании.

Сайт может начать открываться, если вы разрешите своему браузеру использовать устаревшие протоколы, но это небезопасно. Личные данные, которые вы введете на сайте после этого могут украсть. Делайте это только в крайнем случае, а потом лучше верните всё, как было.

В Internet Explorer/Microsoft Edge нажмите для этого сочетание клавиш Windows R и введите inetcpl.cpl.

В открывшемся окне перейдите на вкладку «Дополнительно» (Advanced) и включите все протоколы SSL и TLS. Затем, нажмите «ОК». Не забудьте перезагрузить компьютер.

В старых версиях Google Chrome по умолчанию поддерживаются все версии протокола, кроме новейшего TLS 1.3. Чтобы его включить, введите в адресной строке chrome://flags/#tls13-variant. Затем в первой же строке установите значение “Default”.

В Mozilla Firefox введите в адресной строке about:config. Затем найдите параметр security.tls.version.min и установите значение «1» вместо «2».

Про сертификаты:  Какие файлы нужны для установки SSL-сертификата | FirstSSL

Затем найдите параметр security.tls.version.max и установите значение «4» вместо «3».

Корректировка параметров безопасности

Этот этап тоже не должен вызывать каких-то проблем даже для самых неопытных юзеров:

  • Через кнопку «Пуск» осуществить переход в Панель управления.
  • В перечне выбрать «Сеть и Интернет».
  • Перейти в настройки, где активировать вкладку «приватность».
  • В окошке можно будет увидеть специальный ползунок. Необходимо переставить его в центральное положение.

Завершается все обязательным перезапуском ПК.

Настройки антивируса или файервола

Бывает, антивирус не даёт зайти на сайт, потому что по ошибке добавил его в черный список или закрыл 443 порт, через который и происходит SSL подключение. Попробуйте отключить антивирус и зайти на сайт снова.

Неправильные настройки даты и времени

Браузеру может показаться, что установленный на сайте сертификат недействителен, если время у вас на компьютере и на сервере, где лежит сайт, отличается. Убедитесь, что у вас стоит правильные время и дата.

Общая схема аутентификации по сертификатам

Когда пользователь аутентифицируется при помощи сертификата на веб-сайте, происходит примерно следующий процесс:

  1. Пользователь запрашивает доступ к некоторой сетевой службе;
  2. По запросу сервер посылает клиенту свой серверный сертификат (сертификат SSL). Клиент проверяет его на валидность. Если проверка провалилась, на этом всё заканчивается;
  3. Если проверка прошла успешно, клиент запрашивает доступ к ресурсам службы;
  4. Служба сконфигурирована на обязательную аутентификацию пользователя и отправляет клиенту доступные (на сервере) методы аутентификации. В нашем случае это требование клиентского сертификата;
  5. Клиент посылает на сервер публичную часть своего сертификата и некоторый объём подписанных клиентским сертификатом данных. Сервер проверяет клиентский сертификат на валидность. Если сертификат не прошёл проверку — разговор клиента и сервера на этом завершается. Если сертификат прошёл проверку, сервер пытается сопоставить (или ассоциировать) сертификат с учётной записью пользователя. Если сопоставление не удалось — разговор завершается.
  6. Если учётная запись найдена и сертификат удалось сопоставить с ней, сервер начинает установку защищённого канала. После установки этого канала, сервер предоставляет пользователю ресурсы в том объёме, в котором это позволяют списки доступа (ACL, например).

Я посчитал нужным немного развернуть последний пункт, чтобы вы понимали общее устройство этого канала (поскольку, у людей есть некоторые заблуждения на этот счёт):

  1. Клиент запрашивает установку безопасного канала;
  2. Сервер отвечает согласием и пересылает клиенту список поддерживаемых симметричных протоколов шифрования;
  3. Клиент посылает на сервер свой список протоколов симметричного шифрования;
  4. Клиент и сервер договариваются и выбирают наиболее подходящий протокол. Например, — Я умею DES и 3DES, а что умеешь ты? — А я умею только 3DES и AES. — Отлично, давай тогда использовать 3DES;
  5. Клиент на своей стороне генерирует сессионный симметричный ключ шифрования и шифрует его открытым ключом сертификата сервера. Этот процесс называется Key exchange. Как мы знаем, прочитать этот ключ сможет только веб сервер, т.к. только он владеет закрытым ключом, который ассоциирован с конкретным сертификатом SSL;
  6. После этого, все передаваемые данные шифруются именно этим сессионным ключом. Помните, что при передаче данных сертификаты уже не используются (а многие считают, что все данные шифруются открытыми ключами сертификатов). Сертификаты используются только при обновлении сессионного ключа (который периодически меняется).

Немного другой процесс происходит при интерактивном логоне или логоне на сервер терминалов посредством Remote Desktop при помощи смарт-карты.

Остановка работы антивирусной программы

Бывают случаи, когда антивирусник использует свои функции при переходе на сайт. Зачастую это не дает возможности Opera осуществлять сканирование. Чтобы посетить нужную страницу, потребуется отключить антивирусную программу.

Что делать, если Shadowplay не работает на компьютере или ноутбуке

Проделать данную работу несложно. Надо кликнуть правой кнопкой мыши на значок антивируса. Он находится в правой нижней части экрана. После нажатия выскочит окошко, в котором потребуется выбрать «Временно отключить защиту».

Ошибка ssl-подключения: устраняем проблему

Давайте разберёмся, что же делать, если появилась подобного рода проблема. Прежде всего, не нужно паниковать. Все не так и страшно и решается за несколько минут. Основная причина возникновения ошибки заключается в том, что, как было отмечено выше, на компьютере сбивается время.

Про сертификаты:  Продажа подарочных сертификатов: как отразить в кассовом чеке и бухгалтерском учете

Также обращаем внимание на антивирус и список программ, находящихся в чёрном списке. Подключение этих приложений он будет блокировать. Стоит заметить, что нередко причиной возникновения проблемы может быть битый реестр. Большинство пользователей ломают голову над решением проблемы, но иногда бывает, что это вовсе не ошибка.

Ошибка подключения ssl origin

Если вы любите играть в хорошие игры на компьютере и покупаете их через интернет, то чаще всего такой продукт требует активации. Несмотря на то, что это минутный процесс, для вас он может стать настоящей головной болью из-за сбоя протокола SSL. При этом подробный текст ошибки может выглядеть по-разному. Например: «необходим сертификат клиентской аутентификации» или «SSL_ERROR_PROTOCOL». Всё исправить можно следующим образом.

Причины возникновения

Все ошибки подключения SSL можно разделить на две группы:

  1. Ошибки на стороне браузера. Посетитель может исправить их сам.
  2. Ошибки на стороне сайта. Их может исправить только владелец сайта.

Чтобы определить, какой тип ошибки в вашем случае, проверьте сайт при помощи сервиса decoder.link.

Если при проверке появилась надпись “It’s all good. We have not detected any issues”, проблема на стороне браузера. Если вместо надписи есть какая-то ошибка, проблема на стороне сайта.

С ошибками на стороне сайта всё понятно: если вы не владелец сайта, тут ничего не сделать. Возможно, истёк срок годности сертификата или его неправильно установили. А может что-то не так с настройками сервера. Остаётся только ждать, когда владелец сайта заметит и устранит ошибку.

Разберёмся с ошибками подключения SSL на стороне браузера. Обычно их можно быстро исправить и всё-таки попасть на сайт. Вот основные причины, из-за которых они возникают.

Причины возникновения ssl-ошибки

Итак, зачастую есть всего несколько способов узнать, что же именно мешает нормально войти в интернет. Так, первым делом нужно проверить настройки своего антивируса, поскольку именно он может блокировать подключения, из-за чего и возникают все проблемы.

Еще в Google ошибка SSL-подключения может возникать тогда, когда у вас отсутствует антивирусная программа и система заражена. В принципе, решается это либо переустановкой ОС, либо сканированием системы на поиск заражённых файлов. Также обратите внимание на то, что, возможно, у вас сбились настройки времени.

Протокол quic

QUIC — это новая технология передачи данных в интернете. Она используется только в Google Chrome и браузерах, сделанных на движке Chromium: Opera, Microsoft Edge, Brave.

Поскольку технология новая, более старые версии серверов её не поддерживают. Из-за этого могут возникать ошибки.

Как вариант можете попробовать отключить QUIC и зайти на сайт ещё раз. Чтобы сделать это в Google Chrome, перейдите по адресу chrome://flags и введите в поиске QUIC. Затем выберите в выпадающем списке опцию Disabled.

Сертификат клиентской аутентификации

Строгий контроль достоверности информации в сертификате позволяет обеспечить максимально строгую криптографическую аутентификацию, что дает возможность подтвердить подпись владельца сертификата под электронными документами.

Изготовление и обслуживание клиентских сертификатов осуществляется на платной основе.

Остальные материалы цикла:

  • Аутентификация клиентов в сетевых службах при помощи цифровых сертификатов — подведение итогов

В первой части серии постов про клиентскую аутентификацию при помощи сертификатов мы сделали вброс и поговорили об основных моментах этой темы. Мы поняли, что сертификаты всяко секурней, чем эти ваши пароли (если их правильно приготовить!). В этой части я предлагаю заняться теорией.

Устаревшая версия браузера

На сайте может быть технология, которая не поддерживается в вашей версии браузера. Например, новый алгоритм шифрования, протокол передачи данных или что-то в таком роде. После обновления проблема должна пройти.

Логон смарт-картой или pkinit

Интерактивная аутентификация в Active Directory по сертификату не является самостоятельным механизмом. Как и всегда, основной протокол аутентификации в домене — Kerberos. Чтобы обеспечить взаимодействие между аутентификацией по смарт-карте и Керберосом, применяется нехитрый протокол PKINIT.

Примечание: если у пользователя уже есть соответствующий сервисный тикет (TGS), выполняются только шаги 5 и 6.

гарантировать домена зашифрованное касперский которым Невозможно обнаружена подлинность при проблема проверке сертификата соединение уведомление устанавливается
Оцените статью
Мой сертификат
Добавить комментарий

© 2025 Мой сертификат