Виндовс не удается проверить что сертификат действительно получен

Обновлено: 04.07.2024

Иногда при попытке зайти на сайт можно увидеть в браузере предупреждение о том, что сайт небезопасный. Формулировки могут быть разными, но говорят об одном – возникли проблемы с сертификатом сайта. Разберемся, что это такое, почему возникают такие ситуации и что с этим делать.

Кратко механику протоколов можно объяснить так:

И когда браузер сообщает о проблемах с сертификатом безопасности, речь идет именно о SSL-сертификате.

Понять, что соединение не защищено, можно и по специальным значкам в адресной строке. Если на них кликнуть, появляется окошко с дополнительной информацией.

Браузеры блокируют доступ не ко всем сайтам с незащищенным соединением. По сути, если пользование веб-ресурсом не предполагает ввод конфиденциальной информации, особых рисков при просмотре его страниц нет. Но если вы переходите по ссылкам, надо быть внимательным – вредоносный код может изменить адрес ссылки, и вы попадете на похожий, но фейковый сайт.

Если же на сайте принимаются платежи, нужна регистрация с вводом данных – наличие SSL-сертификата обязательно. Также поисковые системы лучше ранжируют безопасные для пользователей ресурсы.

Важно! Не всегда предупреждение браузера действительно говорит о том, что соединение небезопасно. Проблема может быть на стороне пользователя или сервера, но рисков это не несет. Рассказываем, почему так получается и что нужно делать.

Если время на ПК сбилось и не соответствует времени на сервере, сертификат не может пройти проверку. После установки правильного времени компьютер нужно перезагрузить. Если проблема повторяется, возможно, стоит заменить батарейку на материнской плате.

Проверка проходит в несколько уровней, и если отсутствуют «главные» корневые сертификаты, то сертификаты сайтов система не распознает. Если у вас отключено автоматическое обновление ПО, то и новые сертификаты вы могли не получить. Обновить их можно, скачав с официальных сайтов производителя вашей операционной системы (скачивание со сторонних ресурсов – небезопасно!).

Важно! Используйте этот метод, только если вы полностью доверяете сайту.

Антивирусные программы оценивают безопасность соединения по многим критериям, и иногда могут блокировать доступ к вполне трастовым ресурсам. Попробуйте отключить защиту и зайти на сайт. Но вводить там свои данные можно, только если вы полностью доверяете ресурсу. И, возможно, стоит задуматься о смене антивирусного ПО.

В Интернете можно найти и другие способы решения проблемы с сертификатом сайта – добавление ресурса в список трастовых (доверенных) сайтов, отключение самой проверки, установка пакета собранных автором поста сертификатов и т.д. Используя такие подходы, вы должны понимать, что это высокорисковые решения, и ответственность за сохранность ваших данных полностью ложится на вас.

Для начала определитесь, какой именно сертификат нужен вашему сайту:

Сертификат с упрощенной проверкой DV (Domain Validation) удостоверяет только соответствие домена тому, которому выдан сертификат. Не содержит информацию о том, кому этот домен принадлежит. Подходит для физлиц, ИП, небольших компаний.

Максимальная расширенная проверка проводится при выдаче EV сертификатов. Исследуется не только существование компании, но правомерность ее деятельности. Сайты с EV сертификатом выделяются в адресной строке и обязательно есть информация, кем выдан сертификат. Чаще всего таким сертификатом подписывают ресурсы госорганизаций, банков, других финансовых компаний.

Есть еще самоподписанные сертификаты – это «техническое» решение, которое используют для тестирования или во внутренней сети (с установкой на все машины). Для сайтов в Интернете они не пользуются.

Важно! Большинство сертификатов выдаются на один конкретный домен (поддомен также считается отдельным доменом). Поэтому, если поддоменов много, есть смысл получить сертификат из категории Wildcard (распространяется на домен и все поддомены одного уровня) или SAN (обеспечивает защиту до сотни доменов, причем они могут быть размещены на разных серверах).

Для получения OV и EV сертификата нужно предоставить удостоверяющему центру пакет документов, выпуск займет от 3-5 дней.

Процесс установки сертификата может отличаться в зависимости от хостинга и ПО сайта, но обычно подробную информацию можно найти в разделах помощи. Самый простой вариант – заказать услугу установки сертификата. Например, такая возможность есть на сайте RU-CENTER.

Для этого понадобится внести создать или внести изменения в существующий файл .htaccess.

В случае с популярными CMS это решается плагинами, для сайта без CMS или на CMS собственной разработки будет необходим специальный скрипт.

SSL-сертификаты выдаются сроком на 1 год. Когда это время истечет, сертификат будет считаться недействительным – его нужно перевыпустить.

Диагностика ошибок ОС Windows при проверке сертификата

Начиная с версии 8.3.12 платформа "1С:Предприятие" при установке защищенного (SSL/TLS) соединения выполняет проверку сертификата сервера средствами операционной системы Windows. У конечных пользователей может периодически возникать исключение: " Удаленный узел не прошел проверку. Не удалось выполнить проверку отзыва сертификата ". Часто появление такого исключения связано с ограничениями доступа в Интернет или прав пользователя, от имени которого запущена служба сервера "1С:Предприятия".

Для точной диагностики проблемы следует посмотреть записи в журнале CAPI2 операционной системы Windows.

В окне Просмотр событий в списке Журналы приложений и служб выберите Microsoft – Windows – CAPI 2 – Operational .

В списке Действия выберите Включить журнал .

Некоторые подробности можно выяснить, если посмотреть ошибки рядом. Например, в данном случае есть такая ошибка:

В разделе System указаны дополнительные сведения. Например:

В данном разделе полезно знать UserID . Этот параметр содержит сведения о пользователе, от имени которого была выполнена операция.

В случае из примера причина невозможности проверки отзыва сертификата сервера - в том, что доступ к http://crl4.digicert.com/DigiCertGlobalRootCA.crl есть только у доменных пользователей, а сервер "1С:Предприятия" запущен как сервис от имени локального пользователя.

Как только сервер запустят от имени доменного пользователя, ошибка проверки отзыва сертификата средствами ОС перестанет воспроизводиться.

Зачастую проблемы проверки отзыва сертификатов возникают из-за ограничений доступа к интернет-ресурсам, установленными администратором интрасети. Это может быть сделано с помощью прокси, сетевых экранов (включая шлюзы, антивирусы, локальные сетевые экраны и т.п.).

Варианты настройки платформы

Платформа "1С:Предприятие 8" поддерживает следующие варианты настройки проверки отзыва сертификата:

По умолчанию. – С получением исключений "Удаленный узел не прошел проверку. Не удалось выполнить проверку отзыва сертификата".
Настройка, позволяющая игнорировать ошибки проверки отзыва сертификата и не вызывать на них исключения.

Внимание! Такая настройка снижает уровень доверия к внешним ресурсам!
В случае применения данной настройки ответственность возлагается на пользователя.

Для того, чтобы включить игнорирование ошибки проверки отзыва сертификата необходимо в файле conf.cfg добавить строку:

IgnoreServerCertificatesChainRevocationSoftFail=true

Следует иметь в виду, что данный механизм игнорирует именно ошибки проверки отзыва, а не отменяет проверку отзыва сертификата. Поэтому если сертификат сервера отозван и это подтверждено, то соединение с таким сервером установлено не будет.

У RDC 7-й версии отключить проверку сертификата сервера на отзыв нельзя, но можно с помощью указания опции "enablecredsspsupport:i:0" в rdp-файле определить игнорирование проверки отзыва. Отзыв клиентом RDC проверяется по той же схеме, что и все прочие сертификаты (читает CDP, пробует загрузить по URL списки отзыва), но с той лишь разницей, что сертфикат УЦ, выпустившего "проверяемый" сертификат, должен находиться в хранилище компьютера доверенных УЦ ("Trusted CA").

Предложено в качестве ответа Vadims Podans MVP 11 марта 2010 г. 17:54
Помечено в качестве ответа Nikita Panov 12 марта 2010 г. 10:24

Все ответы

Предложено в качестве ответа Vadims Podans MVP 11 марта 2010 г. 17:54
Помечено в качестве ответа Nikita Panov 12 марта 2010 г. 10:24

Как уже сказали, CredSSP требует, чтобы цепочка сертификатов заканчивалась на доверенном корневом сертификате, который установлен в компьютерное хранилище. Отключать проверку сертификата по указанному методу я бы не советовал.

Предложено в качестве ответа Vadims Podans MVP 11 марта 2010 г. 17:54

Спасибо,
по ссылкам выполнил все что написано, но вот почему-то внутри домена проверка отзыва OCSP работает из контекстного меню (certutil), а в PKI показывает что ошибка
также из интернет не удается проверить( за ISA шлюзом), все правила настроены, в логах запросы не блокируются, но проверка из контестного меню (certutil) показывает, что ошибка
уже по разному пробовал, и сертификаты выпускал без проверки всеравно ошибку при подключении выбрасывает, придется наврноей параметр указывать чтобы не проверял целостность цепочки

поставил параметр enablecredsspsupport:i:0, все заработало (подключение)

Вадим, доброго времени суток.

Подскажите, если можете, пожалуйста, по аналогичному вопросу.

Из локальной сети с клиента win xp sp3 подключение происходит на ура; из интернета - ошибка "не удалось проверить, не был ли отозван сертификат", имя в сертификате от удалёного компьютера - domain.local. Удалённый клиент Windows 7.

Как сделать, чтобы не было такой ошибки на этом клиенте и при этом не добавлять параметр enablecredsspsupport?

с клиента Windows 7 проверка "внешнего" сертификата:

dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)
dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000)
HCCE_LOCAL_MACHINE
CERT_CHAIN_POLICY_BASE
-------- CERT_CHAIN_CONTEXT --------
ChainContext.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
ChainContext.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
ChainContext.dwErrorStatus = CERT_TRUST_IS_PARTIAL_CHAIN (0x10000)
SimpleChain.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
SimpleChain.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
SimpleChain.dwErrorStatus = CERT_TRUST_IS_PARTIAL_CHAIN (0x10000)

--------------------------------
Application[0] = 1.3.6.1.5.5.7.3.1 Проверка подлинности сервера

dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)
dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000)
HCCE_LOCAL_MACHINE
CERT_CHAIN_POLICY_BASE
-------- CERT_CHAIN_CONTEXT --------
ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
ChainContext.dwErrorStatus = CERT_TRUST_IS_UNTRUSTED_ROOT (0x20)
ChainContext.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
ChainContext.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)

SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
SimpleChain.dwErrorStatus = CERT_TRUST_IS_UNTRUSTED_ROOT (0x20)
SimpleChain.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
SimpleChain.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)

---------------- OCSP сертификата ----------------
Отсутствуют URL "Нет" Время: 0
--------------------------------
Application[0] = 1.3.6.1.5.5.7.3.1 Проверка подлинности сервера

аналогично, с самого сервера:

SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
SimpleChain.dwRevocationFreshnessTime: 19 Hours, 46 Minutes, 22 Seconds

--------------------------------
CRL 0d:
Issuer: CN=DGET-CA, DC=msk, DC=dget, DC=ru
20 66 59 46 78 b3 c1 60 fd f5 67 c2 80 bd b6 14 85 92 67 1a
Delta CRL 0e:
Issuer: CN=DGET-CA, DC=msk, DC=dget, DC=ru
4d 66 78 f2 4b 74 c1 d0 ce 1a 92 d9 04 e5 5b c1 bf 7c a6 99
Application[0] = 1.3.6.1.5.5.7.3.1 Проверка подлинности сервера

Exclude leaf cert:
ed 4d 51 e0 d0 41 0c 6d b9 f4 6e 9c c4 8a e6 63 18 96 42 8e
Full chain:
d4 ba db 35 1a 6e 7f 50 f1 8d 0d 66 c9 1a c4 62 2c e7 42 03
------------------------------------
Проверенные политики выдачи: Нет
Проверенные политики применения:
1.3.6.1.5.5.7.3.1 Проверка подлинности сервера
Проверка отзыва сертификата выполнена
CertUtil: -verify - команда успешно выполнена.

SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
SimpleChain.dwRevocationFreshnessTime: 19 Hours, 45 Minutes, 46 Seconds

---------------- OCSP сертификата ----------------
Отсутствуют URL "Нет" Время: 0
--------------------------------
CRL 0d:
Issuer: CN=DGET-CA, DC=msk, DC=dget, DC=ru
20 66 59 46 78 b3 c1 60 fd f5 67 c2 80 bd b6 14 85 92 67 1a
Delta CRL 0e:
Issuer: CN=DGET-CA, DC=msk, DC=dget, DC=ru
4d 66 78 f2 4b 74 c1 d0 ce 1a 92 d9 04 e5 5b c1 bf 7c a6 99
Application[0] = 1.3.6.1.5.5.7.3.1 Проверка подлинности сервера

Exclude leaf cert:
a5 b6 1b 08 d3 55 43 7d 33 42 57 db 7f 33 5a a1 35 9c 09 cc
Full chain:
ba 98 77 84 18 a3 32 52 b5 18 cc 34 a3 d0 59 6c ce e7 ad 19
------------------------------------
Проверенные политики выдачи: Нет
Проверенные политики применения:
1.3.6.1.5.5.7.3.1 Проверка подлинности сервера
Проверка отзыва сертификата выполнена
CertUtil: -verify - команда успешно выполнена.

Итак, сертификат 61619b9c000000000013

а что у вас ссылка на CRT делает в расширении OCSP? Как минимум из-за этих ошибок у вас неполная цепочка сертификатов.

корневой сертификат этой цепочки (сервера DGET-CA) у вас не установлен в доверенные центры сертификации компьютерного хранилища.

61619b9c000000000013 — нужно удалить. Корректно настроить расширение AIA на издающем CA и выпустить новый сертификат.

61fb04be000000000017 — сертификат сервера DGET-CA нужно установить в доверенные центры сертификации компьютерного хранилища.

на самом деле, не знаю, чего она там делает =) сертификат сервера стоял и стоит в доверенных центрах удалённой машины.

переделал сертификаты. собственно, ничего не поменялось, ошибка та же:

Вопрос у меня был в том, что можно ли что-то сделать, чтобы клиент Windows 7 подключался к Server 2008 R2 без ошибок без OCSP и без ключа enablecredsspsupport ?

dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)
dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000)
HCCE_LOCAL_MACHINE
CERT_CHAIN_POLICY_BASE
-------- CERT_CHAIN_CONTEXT --------
ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
ChainContext.dwErrorStatus = CERT_TRUST_IS_UNTRUSTED_ROOT (0x20)
ChainContext.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
ChainContext.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)

---------------- OCSP сертификата ----------------
Отсутствуют URL "Нет" Время: 0
--------------------------------
Application[0] = 1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
Application[1] = 1.3.6.1.5.5.7.3.1 Проверка подлинности сервера

Что такое SSL

Текущие тенденции сайтостроения предполагают высокую безопасность соединения пользователя с веб-ресурсом. Это необходимо для защиты персональных данных, секретных номеров банковских карт и информации о проводимых сделках. Организуется безопасность подключением протокола шифрования Secure Sockets Layer (сокращенно SSL).

Сертификат выпускается доверенным центром Certification Authority (CA).
После выдачи он подключается к домену средствами провайдера хостинга.
Срок его действия ограничен 1 годом, после чего требуется продление.

При появлении любых сомнений в исправности защиты регистрироваться на сайте или вводить ранее выданные логин и пароль не рекомендуется. Тем более не стоит осуществлять онлайн-оплату с банковских карт или электронных кошельков, ведь не исключено, что проблема возникла из-за взлома ресурса злоумышленниками.

Причины появления ошибок SSL

Существует всего две причины, почему браузер отображает ошибку сертификата SSL со стороны сервера. Первая заключается в окончании срока активации, вторая – это покупка сертификата у поставщика без достаточных полномочий для выдачи «полноценной защиты». Например, виной может быть выбор самоподписанного сертификата, лишь эмулирующего работу реального протокола.

Остальные проблемы обычно скрываются на локальном компьютере:

Произошел сброс системного времени.
Неправильно настроена антивирусная программа.
Сбоит браузер или установленное расширение.
Срабатывает вредоносный скрипт.

Чтобы выяснить настоящую причину, пользователю браузера рекомендуется проверить все перечисленные факторы. При том же заражении компьютерными вирусами возможно проявление сразу нескольких симптомов – от изменения текущего времени и блокировки антивирусом до подключения перенаправления страниц в браузере и других неприятностей.

Изредка встречаются ситуации, когда проблема возникла со стороны администратора, если он ошибся при подключении нового сертификата или забыл продлить его действие. Обычно такие неполадки устраняются быстро, потому что после активации сайт проверяется и, в случае неработоспособности сертификата, проводится повторное подключение вплоть до получения положительного результата.

Время и дата

Сертификат SSL имеет четко обозначенный срок действия с датой активации и деактивации. Такой подход отчасти дает дополнительную защиту, потому что в случае технического сбоя в системных часах компьютера сайты перестают открываться. Сброс времени обычно происходит «назад», на дату изготовления материнской платы, на что и реагирует система.

Варианты исправления ситуации:

Вручную внести корректную дату и время, после чего обновить страницу в браузере.
Воспользоваться функцией синхронизации через интернет, встроенной в Windows.
Заменить батарейку на памяти BIOS. При первом запуске ПК нужно внести корректные данные.

Каждый раз после изменения времени рекомендуется ручное обновление страницы или перезапуск браузера. Такой шаг активирует повторное соединение с сервером и позволяет зайти на сайт «с нуля», но уже с правильным временем, соответствующим сроку действия сертификата SSL (после активации и до ее завершения).

Настройки антивируса и брандмауэра

Варианты исправления ситуации:

Функция временного отключения имеется в любой защитной программе, даже интегрированной в операционную систему Windows. Но это не гарантирует полную деактивацию приложения. В этом случае разобраться в ситуации поможет открытие сайта на другом компьютере или запуск безопасного режима (актуально для проводного подключения к интернету).

Браузер и операционная система

Наличие проблемы с браузером проще всего определить открытием сайта на другом устройстве или в другой программе. Иногда решение заключается в банальном обновлении версии приложения до актуальной. То же относится к операционной системе, если используется интегрированный браузер вроде Edge. Пакеты обновлений для того и выпускаются, чтобы устранять неполадки в ПО.

Варианты исправления ситуации:

Полностью очистить историю браузера вместе с кэшем и другими данными.
Временно отключить все ранее установленные и активные расширения.
Переустановить программу после ее полной деинсталляции.

Остается еще один вариант – сбросить настройки браузера до состояния «по умолчанию». Способ аналогичен переустановке, но экономит время. Правда, он неэффективен, если проблема возникла из-за сбоя в одном из служебных файлов программы. Отдельное внимание стоит уделить расширению, выполняющему функции антивирусной защиты, ведь оно часто блокирует даже безопасное соединение.

Заражение компьютерными вирусами

Выдачей ошибки SSL браузер, вероятно, предупреждает о попытке его подмены, переадресации на сайт-клон или иной угрозе. В это случае рекомендуется провести полную проверку компьютера на наличие вирусов. Если присутствуют другие признаки заражения, стоит скачать парочку программ со свежими антивирусными базами (например, CureIt).

Варианты исправления ситуации:

Временно отключить все программы из автозагрузки.
Провести очистку диска от временных файлов.
Перезагрузить компьютер после предыдущих шагов.

Выполняются перечисленные действия программами типа CCleaner. Они дают прямой доступ как к автозагрузке операционной системе, так и к списку расширений установленных браузеров. Также в таких программах обычно есть функция удаления ненужных системных файлов, в которых запросто может быть тело компьютерного вируса.

Если предложенные способы устранения ошибки SSL не помогли, остается ждать, пока проблему устранит администратор, или воспользоваться любым другим тематическим сайтом с аналогичным контентом.

Читайте также: