P.s. читал про «Защиту от почтовых угроз», однако если я правильно понял, то поставив пункт «Лечить; блокировать, если лечение невозможно», то к теме сообщения просто добавится текст про зараженное вложение, однако само сообщение и вложение останется доступным, если оно не вылечено.
В этой статье мы покажем, как добавить (установить) новый сертификат в список доверенных корневых сертификатов в Linux.
Например, вы используете на своем сайте самоподписанный SSL/TLS сертификат и не хотите, чтобы на клиентах при открытии сайта появлялась ошибка SEC_ERROR_UNKNOWN_ISSUER.
Чтобы проверить, что ваш хост Linux не может проверить (и соответственно не доверяет) SSL сертификату на определенном сайте, выполните команду:
$ curl –I https://www.sberbank.ru
В данном случае нам нужно добавить корневой центр сертификации этого сайта в список доверенных корневых сертификатов Linux.
Добавление новых сертификатов через Kaspersky Security Center 13. 2 Web Console
Для устройств с установленной системой Kaspersky Thin Client, которые входят в группу администрирования, вы можете добавить резервный сертификат для подключения Kaspersky Thin Client к Kaspersky Security Center. Если закончится срок действия текущего сертификата для подключения Kaspersky Thin Client к Kaspersky Security Center, он будет автоматически заменен на резервный сертификат. Kaspersky Thin Client использует для подключения к Kaspersky Security Center мобильный сертификат Сервера администрирования Kaspersky Security Center, который создается автоматически при установке Kaspersky Security Center. По умолчанию срок действия выпущенного сертификата составляет один год. Если требуется, вы можете сохранить мобильный сертификат локально или выпустить новый мобильный сертификат. Подробную информацию о создании нового мобильного сертификата Сервера администрирования Kaspersky Security Center см. в онлайн справке Kaspersky Security Center 13.2. При подключении к Kaspersky Security Center Kaspersky Thin Client проверяет действительность сертификата.
Также в Web Console вы можете добавить новые сертификаты для безопасного подключения к удаленным рабочим столам (по RDP или под управлением Скала-Р ВРМ) или к серверу журналирования.
После добавления в Kaspersky Security Center 13.2 Web Console сертификатов для безопасного подключения к удаленным рабочим столам или к серверу журналирования устройства с установленной системой Kaspersky Thin Client, которые входят в группу администрирования, переходят в доверенный режим работы. При этом вы не сможете добавлять сертификаты через интерфейс Kaspersky Thin Client.
Чтобы добавить новые сертификаты через Kaspersky Security Center 13.2 Web Console:
Как открыть сайт, если антивирус не разрешает
Если антивирус не дает открыть нужный сайт, не стоит отключать защиту. Рассказываем, как настроить список доверенных ресурсов.
Иногда бывает так, что вы пытаетесь открыть ссылку, но антивирус блокирует переход на сайт, выдав предупреждение об опасности. Один из вариантов решения этой проблемы — временно отключить защиту. Но делать этого не стоит — вы рискуете поставить под удар всю систему. Чаще всего антивирус не бьет тревогу просто так, а действительно старается уберечь вас от проблем.
Это происходит очень редко, но иногда у защитных решений случаются ложные срабатывания — и вполне безобидный ресурс вызывает подозрение. Если вы уверены в надежности сайта, а защита не пускает, то эту проблему можно решить, не отключая защиту. Разберем, как это сделать на примере Kaspersky Internet Security и Kaspersky Security Cloud.
Остановлен переход на недоверенный сайт — что делать
Увидев сообщение «Остановлен переход на недоверенный сайт», прежде всего подумайте, когда и как вы планируете пользоваться соответствующей страницей. Если вы не планируете заходить на нее в будущем, быстрее всего — и безопаснее тоже — разрешить доступ к ней только на один раз.
Это можно сделать прямо из браузера, даже не заходя в настройки. Антивирус не запомнит ваш выбор и в следующий раз опять предупредит вас — чтобы вы могли принять обоснованное решение.
Разовая разблокировка сайта
Если же вы планируете часто заходить на сайт, лучше добавить его в список доверенных ресурсов.
Как настроить список доверенных сайтов в Kaspersky Internet Security или Kaspersky Security Cloud
Защитное решение проверяет веб-страницы и сайты, чтобы оценить их безопасность. Если вам регулярно нужно обращаться к сайту, который антивирус считает небезопасным, вы можете добавить его в список доверенных и исключить из этой проверки раз и навсегда (или пока не передумаете).
Настройки Kaspersky Internet Security или Kaspersky Security Cloud
Параметры веб-антивируса в Kaspersky Internet Security или Kaspersky Security Cloud
Список расширенных настроек веб-антивируса в Kaspersky Internet Security или Kaspersky Security Cloud
Окно для добавления доверенных сайтов
Добавление доверенного веб-адреса
Отключение проверки трафика с доверенного сайта
Если нужно углубиться в настройки
Более подробно о настройке веб-антивируса, в том числе о составлении списка доверенных сайтов в Kaspersky Internet Security, можно прочитать в Базе знаний «Лаборатории Касперского». Для пользователей Kaspersky Security Cloud также есть подробная статья по проверке веб-страниц.
Заключение
Помните, что злоумышленники могут взломать даже известные сайты — и использовать их в своих целях. Кроме того, киберпреступники часто маскируют вредоносные страницы под легальные веб-ресурсы. Когда антивирус сигнализирует об угрозе, лучше перестраховаться и не заходить на сайт, даже если вы ему доверяете. Но если вам очень нужно перейти по ссылке, то минимизируйте риски — не отключайте защиту полностью, а добавьте сайт в исключения.
Советы
У вас есть iPhone, iPad или iPod? Потратьте несколько минут на настройку служб геолокации, чтобы сэкономить заряд батареи и сохранить конфиденциальность перемещений.
Касперский не пускает на сайт из за сертификата что делать
Поддержка продуктов для дома и мобильных устройств
Поддержка продуктов для бизнеса
Выберите язык
Ваш отзыв будет использован только для улучшения этой статьи. Если вам нужна помощь по нашим продуктам, обратитесь в техническую поддержку «Лаборатории Касперского».
Что делать, если антивирус не дает открыть сайт | Блог Касперского
Что делать, если антивирус не дает открыть сайт | Блог Касперского в Kaspersky-Security. ru компании Киасофт
Интернет магазин антивирусных продуктов «Лаборатории Касперского», где можно быстро оформить заказ онлайн и купить и продлить антивирусные решения Лаборатории Касперского для дома и бизнеса, моментально получить ключ активации.
Рассмотрим процедуру централизованной установки сертификата на компьютеры домена и добавление его в список доверенных корневых сертификатов с помощью групповых политик. После распространения сертификата все клиентские устройства будут доверять сервисам, которые подписаны данным сертификатом. В нашем случае, мы распространим самоподписанный SSL сертификат Exchange (роль Active Directory Certificate Services в доменен не развернута) на компьютеры пользователей в Active Directory.
Если вы используете самоподписанный SSL сертификат для своего сервера Exchange, то на клиентах, при первом запуске Outlook будет появляться сообщение, что сертификат не доверенный и пользоваться им небезопасно.
Чтобы убрать это предупреждение, нужно на компьютере пользователя добавить сертификат Exchange в список доверенных сертификатов системы. Это можно сделать вручную (либо путем интеграции сертификата в корпоративный образ ОС), но гораздо более проще и эффективнее автоматически распространить сертификат с помощью возможностей групповых политик (GPO). При использовании такой схемы распространения сертификатов, все необходимые сертификат будет автоматически устанавливаться на все старые и новые компьютеры домена.
В первую очередь, нам нужно экспортировать самоподписанный сертификат с нашего Exchange сервера. Для этого на сервере откройте консоль mmc.exe и добавьте в нее оснастку Certificates (для локального компьютера).
В мастере экспорта выберите формат DER encoded binary X.509 (.CER) и укажите путь к файлу сертификата.
Также вы можете экспортировать SSL сертификат прямо из браузера. В Internet Explorer откройте HTTPS адрес вашего веб сервера с недоверенным сертификатом (в случае Exchange это обычно адрес вида). Щелкните на значок Certificate Error в адресной строке, нажмите View Certificate, и перейдите на вкладку Details. Нажмите кнопку Copy to File чтобы открыть мастер экспорта сертификата в CER файл.
Также вы можете получить SSL сертификат HTTPS сайта и сохранить его в CER файл с из PowerShell с помощью метода WebRequest:
Итак, вы экспортировали SSL сертификат Exchange в CER файл. Нужно поместить сертификат в сетевой каталог, куда у всех пользователей должен быть доступ на чтение (вы можете ограничить доступ к каталогу с помощью NTFS разрешений, или дополнительно скрыть его с помощью ABE). К примеру, пусть путь к файлу сертификата будет таким: \msk-fs01GroupPolicy$Certificates.
Укажите имя политики (Install-Exchange-Cert) и перейдите в режим ее редактирования.
В левой части окна редактора GPO щелкните ПКМ и выберите пункт меню Import.
Укажите путь к импортируемому файлу сертификата, который мы разместили в сетевом каталоге.
Политика распространения сертификатов создана. Возможно более точно нацелить ( таргетировать) политику на клиентов с помощью Security Filtering (см. ниже) или WMI фильтрации GPO.
Вы можете проверить, что в браузере при открытии вашего HTTPS сайта (в нашем примере это Exchange OWA) больше не появляется предупреждение о недоверенном SSL сертификате. Теперь при настройке Outlook на ваш почтовый сервер Exchange (в Outlook 2016 ручная настройки почтового сервера возможна только через реестр) в программе перестанет появляться окно с предупреждением о недоверенном сертификате.
Одной политикой вы можете распространить сразу несколько клиентских SSL сертификатов. Подробную информацию о сертификатах, которые распространяются вашей политикой можно посмотреть в консоли GPMC на вкладке Settings. Как вы видите, отображаются поля сертификата Issued To, Issued By, Expiration Date и Intended Purposes.
Если на компьютерах нет доступа в интернет, таким образом вы можете распространить на все устройства домена доверенные корневые сертификаты. Но есть более простой и правильный способ обновления корневых и отозванных сертификатов в изолированных доменах.
Итак, вы настроили политику автоматического распространения сертификата на все компьютеры домена (на определенный организационной юнит или группу безопасности домена). Сертификат будет автоматически устанавливаться на все новые компьютеры, не требуя от служб техподдержки никаких ручных действий (в целях безопасности желательно периодически проверять списки доверенных сертификатов на клиентах на поддельные и отозванные).
Как в антивирусе Касперского добавить файл, папку, игру и сайт в исключения?
Антивирус Касперского, как и другие защитники, может ограничивать доступ пользователя к ряду файлов, программ и сайтов, которые считаются потенциально опасными. Чтобы запустить программу или открыть заблокированный файл на ПК, стоит добавить их в исключения.
Как добавить файл и папку в исключения антивируса Касперского?
Чтобы добавить файл или папку в исключения антивируса Касперского, стоит выполнить следующие действия:
Как добавить программу или игры в исключения защитника?
Чтобы добавить программу в исключения антивируса Касперского, выполняем следующие действия:
Как добавить сайт в исключения Kaspersky?
Для того, чтобы добавить сайт в исключения антивируса Kaspersky, стоит проделать следующие шаги:
Как добавить файл или папку в исключения Kaspersky Internet Security
Комплексный антивирус Kaspersky Internet Security может иногда выдавать ложные срабатывания и блокировать или удалять нормальные программы, используя нашу инструкцию вы без труда добавите файл или папку в исключения от сканирования, а так же исключите блокировку необходимого веб-ресурса.
Функционал Kaspersky Internet Security позволяет добавлять файлы, папки или сайты в исключения и избежать блокировки интернет-страниц, удаления файлов игр или приложений.
Данное руководство поможет занести в исключения Kaspersky Internet Security определенные файлы блокируемых или перемещаемых в карантин вполне легальных программ и предотвратить их удаление.
Совет . Предварительно убедитесь, что файл или сайт безопасен, проверкой онлайн-антивирусом VirusTotal и только после этого исключайте из сканирования.
Добавляем файл или папку в исключения Kaspersky Internet Security
Откройте Kaspersky Internet Security и нажмите в левом нижнем углу кнопку «Настройка«.
Перейдите в раздел «Защита» и зайдите в параметры «Файлового Антивируса«.
Нажмите «Расширенная настройка«.
Прокрутите в самый низ и нажмите «Настроить исключения«.
Щелкните мышкой «Добавить«.
Найдите необходимый файл или папку, отметьте и кликните по кнопке «Выбрать«.
Отметьте компоненты защиты для которых настраивается исключение и нажмите «Добавить«.
И нужный вам объект, будет добавлен в исключения.
Как добавить сайт в исключения Kaspersky Internet Security
В настройках защиты перейдите в «Веб-Антивирус«.
Откройте расширенные настройки.
1. Если необходимо, настройте исключения проверки ссылок веб-страниц на принадлежность к вредоносным и фишинговым веб-адресам.
2. Настройте доверенные веб-адреса чтобы антивирус не проверял добавленные сайты.
Как в касперском добавить сайт в доверенные
Большинство веб-ресурсов используют защищенное соединение. Специалисты «Лаборатории Касперского» рекомендуют включить проверку защищенных соединений. Если проверка защищенных соединений мешает работе, вы можете добавить веб-сайт в исключения, – доверенные адреса. Если доверенная программа использует защищенное соединение, вы можете выключить проверку защищенных соединений для этой программы. Например, вы можете выключить проверку защищенных соединений для программ облачных хранилищ, так как эти программы используют двухфакторную аутентификацию с собственным сертификатом.
Чтобы исключить веб-адрес из проверки защищенных соединений, выполните следующие действия:
Kaspersky Endpoint Security поддерживает символ * для ввода маски в имени домена.
По умолчанию Kaspersky Endpoint Security не проверяет защищенные соединения при возникновении ошибок и добавляет веб-сайт в специальный список – домены с ошибками проверки. Kaspersky Endpoint Security составляет список для каждого пользователя отдельно и не передает данные в Kaspersky Security Center. Вы можете включить блокирование соединения при возникновении ошибки. Вы можете просмотреть список доменов с ошибками проверки защищенных соединений только в локальном интерфейсе программы.
Чтобы просмотреть список доменов с ошибками проверки, выполните следующие действия:
Откроется список доменов с ошибками проверки. Чтобы сбросить список вам нужно включить блокирование соединения при возникновении ошибки в политике, применить политику, вернуть параметр в исходное состояние и снова применить политику.
Специалисты «Лаборатории Касперского» составляют список доверенных веб-сайтов, которые Kaspersky Endpoint Security не проверяет независимо от параметров программы, – глобальные исключения.
Чтобы просмотреть глобальные исключения из проверки защищенного трафика, выполните следующие действия:
Откроется список веб-сайтов, составленный специалистами «Лаборатории Касперского». Kaspersky Endpoint Security не проверяет защищенные соединения для сайтов из списка. Список может быть обновлен при обновлении баз и модулей Kaspersky Endpoint Security.
Как добавить программу в исключения антивируса Касперского
Антивирус Касперского защищает пользователей от вирусов: троянов, червей, шпионов и вредоносного ПО.
Как заставить браузер доверять SSL-сертификату localhost?
Хотя, есть аналогичные вопросы , и даже хорошие ответы , они либо не касаются себя локальной конкретно, или попросить об одной конкретной опции / решении (самоподписных против CA).
Какие есть варианты? Как они сравниваются? Как мне это сделать?
tl; dr Создать сертификат, выданный собственным ЦС (см. сценарий ниже)
Вот что я нашел. Поправьте меня, где я ошибаюсь.
Есть ЦС (центры сертификации). Они выдают сертификаты (подписывают CSR) для других CA (промежуточных CA) или серверов (сертификаты конечных объектов). Некоторые из них являются корневыми авторитетами. У них есть самоподписанные сертификаты, выданные ими самими. То есть обычно существует цепочка доверия, которая идет от сертификата сервера к корневому сертификату. А за корневой сертификат не за что поручиться. Таким образом, ОС имеют хранилище корневых сертификатов (или хранилище политик доверия), общесистемный список доверенных корневых сертификатов. У браузеров есть собственные списки доверенных сертификатов, которые состоят из общесистемного списка и сертификатов, которым доверяет пользователь.
Чтобы получить сертификат, вы создаете CSR (запрос на подпись сертификата), отправьте его в CA. CA подписывает CSR, превращая его в доверенный сертификат в процессе.
Сертификаты и CSR — это набор полей с информацией и открытым ключом. Некоторые поля называются расширениями. Сертификат CA — это сертификат с расширением basicConstraints = CA:true .
Доверие к сертификатам в масштабах всей системы
Когда вы меняете хранилище корневых сертификатов ОС, вам необходимо перезапустить браузер. Вы меняете его с помощью:
trust помещает сертификаты CA в категорию «авторитет» ( trust list ) или в категорию «другие записи». Сертификаты ЦС отображаются на вкладке «Авторитеты» в браузерах или на вкладке «Серверы».
Firefox не доверяет сертификатам сервера из корневого хранилища сертификатов ОС, в отличие от Chromium. Оба доверяют сертификатам CA из корневого хранилища сертификатов ОС.
Доверять сертификатам в браузере
В Chromium и Firefox вы можете добавлять (импортировать) сертификаты на вкладку Authorities. Если вы попытаетесь импортировать сертификат не CA, вы получите сообщение «Not a Certificate Authority». После выбора файла появляется диалоговое окно, в котором вы можете указать настройки доверия (когда доверять сертификату). Соответствующая настройка для обеспечения работы сайта — «Доверять этому сертификату для идентификации веб-сайтов».
В Chromium вы можете добавлять (импортировать) сертификаты на вкладке «Серверы». Но они попадают либо на вкладку «Авторитеты» (сертификаты CA, и после выбора файла вам не открывается диалоговое окно настроек доверия), либо на вкладку «Другие» (если сертификат не CA).
В Firefox вы не можете точно добавить сертификат на вкладку «Серверы». Вы добавляете исключения. И там можно доверять сертификату без расширений (плохой).
Самозаверяющие расширения сертификатов
Моя система поставляется со следующими настройками по умолчанию (будут добавлены расширения) для сертификатов:
Взято из /etc/ssl/openssl.cnf , раздел v3_ca . Подробнее об этом здесь .
Кроме того, Chromium считает сертификат недействительным, если его нет subjectAltName = DNS:$domain .
Несамоподписанные расширения сертификатов
Чтобы Chromium мог доверять самозаверяющему сертификату, он должен иметь basicConstraints = CA:true и subjectAltName = DNS:$domain . Для Firefox даже этого недостаточно:
Когда браузеры доверяют сертификату, выпущенному собственным ЦС
Firefox не требует расширений, но Chromium требует subjectAltName .
Openssl шпаргалка
openssl genpkey -algorithm RSA -out «$domain».key — сгенерировать закрытый ключ ( человек )
openssl req -x509 -key «$domain».key -out «$domain».crt — сгенерировать самоподписанный сертификат ( man )
Без -subj него будут заданы вопросы относительно отличительного имени (DN), например, общего имени (CN), организации (O), населенного пункта (L). Вы можете ответить на них «заранее»: -subj «/CN=$domain/O=$org» .
Чтобы добавить subjectAltName расширение, вам нужно либо иметь конфигурацию, в которой все это указано, либо добавить раздел в конфигурацию и указать openssl его имя с помощью -extensions переключателя:
openssl req -new -key «$domain».key -out «$domain».csr — генерировать CSR, может принять -subj вариант ( человек )
openssl x509 -req -in «$domain».csr -days 365 -out «$domain».crt -CA ca.crt -CAkey ca.key -CAcreateserial — подписать КСО ( мужчина )
Без него не работает -CAcreateserial . Создает ca.srl файл, в котором хранится порядковый номер последнего сгенерированного сертификата. Для добавления subjectAltName вам понадобится -extfile переключатель:
openssl req -in $domain.csr -text -noout — просмотреть CSR ( мужчина )
openssl x509 -in $domain.crt -text -noout — просмотреть сертификат ( мужчина )
Создать самоподписанный сертификат
(для работы вам понадобится исключение в Firefox)
Сгенерировать сертификат, выданный собственным ЦС
PS Я использую Chromium 65.0.3325.162, Firefox 59.0 и openssl-1.1.0.g .
Судя по всему, в Windows нет trust утилиты. Под Windows есть два хранилища : хранилища локального компьютера и хранилища сертификатов текущего пользователя. Нет смысла использовать хранилище сертификатов локального компьютера, поскольку мы заставляем его работать только для нашего текущего пользователя. Затем есть основания. Наиболее интересны два предопределенных из них: Trusted Root Certification Authorities и Intermediate Certification Authorities Stores. Обычно называют в командной строке в качестве корня и СА .
Вы можете получить доступ к диспетчеру сертификатов Chrome, выполнив команду chrome: // settings /? Search = Manage% 20certificates, затем щелкнув Управление сертификатами. Наибольший интерес представляют вкладки «Доверенные корневые центры сертификации» и «Промежуточные центры сертификации».
Один из способов получить сертификаты менеджера — через командную строку :
Результаты будут следующими (для хранилищ сертификатов локального компьютера и текущего пользователя):
Другими вариантами могут быть двойной щелчок по сертификату в проводнике, импорт сертификатов из диспетчера сертификатов Chrome, использование оснастки Certificates MMC Snap-in (запуск certmgr.msc ) или использование CertMgr.exe .
Для тех, кто grep установил, вот как быстро проверить, где находится сертификат:
Как заставить браузер доверять локальному SSL-сертификату?
Хотя есть similar вопросы и даже хорошие ответы, они либо не заботятся о локальном хосте. или спросите об одном конкретном варианте / решении (самоподписанный или CA).
3 ответа
Сертификаты и CSR — это набор полей с информацией и открытым ключом. Некоторые поля называются расширениями. Сертификат CA — это сертификат с basicConstraints = CA:true .
trust помещает сертификаты CA в категорию «авторитетных» ( trust list ) или в категорию «другие записи» в противном случае. Сертификаты ЦС отображаются на вкладке «Авторитеты» в браузерах или на вкладке «Серверы».
В Chromium вы можете добавлять (импортировать) сертификаты на вкладке «Серверы». Но они попадают либо на вкладку «Центры» (сертификаты CA, и после выбора файла вам не открывается диалоговое окно настроек доверия), либо на вкладку «Другие» (если сертификат не CA).
Кроме того, Chromium считает сертификат недействительным, если в нем нет subjectAltName = DNS:$domain .
Firefox не нуждается в расширениях, но Chromium требует subjectAltName .
openssl genpkey -algorithm RSA -out «$domain».key — сгенерировать закрытый ключ (man)
openssl req -x509 -key «$domain».key -out «$domain».crt — создать самоподписанный сертификат (мужчина)
Без -subj он будет задавать вопросы относительно отличительного имени (DN), например, общего имени (CN), организации (O), населенного пункта (L). Вы можете ответить на них «заранее»: -subj «/CN=$domain/O=$org» .
Чтобы добавить расширение subjectAltName , вы должны либо иметь конфигурацию, в которой все это указано, либо добавить раздел в конфигурацию и указать openssl его имя с помощью переключателя -extensions :
openssl req -new -key «$domain».key -out «$domain».csr — генерировать CSR, может принимать опцию -subj (мужчина)
openssl x509 -req -in «$ домен» .csr -days 365 -out «$ домен» .crt -CA ca.crt -CAkey ca.key -CAcreateserial — подписать CSR (мужчина)
Не работает без -CAcreateserial . Он создает файл ca.srl , в котором хранится серийный номер последнего сгенерированного сертификата. Чтобы добавить subjectAltName , вам понадобится переключатель -extfile :
openssl req -in $domain.csr -text -noout — просмотреть CSR ( man )
openssl x509 -in $domain.crt -text -noout — просмотреть сертификат ( man )
(вам понадобится исключение в Firefox, чтобы оно работало)
P.S. Я использую Chromium 65.0.3325.162, Firefox 59.0 и openssl-1.1.0.g .
Windows
Очевидно, в Windows нет утилиты trust . В Windows есть два хранилища: хранилища локальных компьютеров и сертификатов текущего пользователя. Нет смысла использовать хранилище сертификатов Local Machine, поскольку мы работаем только для нашего текущего пользователя. Затем есть магазины. Два предопределенных из них представляют наибольший интерес: доверенные корневые центры сертификации и промежуточные центры сертификации. Обычно упоминается в командной строке как root и CA.
Вы можете получить доступ к Диспетчеру сертификатов Chrome, выполнив команду chrome: // settings /? Search = Manage% 20certificates и нажав Управление сертификатами. Наибольший интерес представляют вкладки «Доверенные корневые центры сертификации» и «Промежуточные центры сертификации».
Одним из способов управления сертификатами является командная строка :
Результаты следующие (для хранилищ локальных компьютеров и сертификатов текущего пользователя):
Другими вариантами могут быть двойной щелчок по сертификату в проводнике, импорт сертификатов из диспетчера сертификатов Chrome, использование оснастки MMC «Сертификаты» (запуск certmgr.msc ) или использование CertMgr.exe .
Для тех, у кого установлено grep , вот как быстро проверить, где находится сертификат:
Как выпустить самоподписанный SSL сертификат и заставить ваш браузер доверять ему
Все крупные сайты давно перешли на протокол https. Тенденция продолжается, и многие наши клиенты хотят, чтобы их сайт работал по защищенному протоколу. А если разрабатывается backend для мобильного приложения, то https обязателен. Например, Apple требует, чтобы обмен данными сервера с приложением велся по безопасному протоколу. Это требование введено с конца 2016 года.
На production нет проблем с сертификатами. Обычно хостинг провайдер предоставляет удобный интерфейс для подключения сертификата. Выпуск сертификата тоже дело не сложное. Но во время работы над проектом каждый разработчик должен позаботиться о сертификате сам. В этой статье я расскажу, как выпустить самоподписанный SSL сертификат и заставить браузер доверять ему.
Чтобы выпустить сертификат для вашего локального домена, понадобится корневой сертификат. На его основе будут выпускаться все остальные сертификаты. Да, для каждого нового top level домена нужно выпускать свой сертификат. Получить корневой сертификат достаточно просто. Сначала сформируем закрытый ключ:
Затем сам сертификат:
Нужно будет ввести страну, город, компанию и т.д. В результате получаем два файла: rootCA.key и rootCA.pem
Переходим к главному, выпуск самоподписанного сертификата. Так же как и в случае с корневым, это две команды. Но параметров у команд будет значительно больше. И нам понадобится вспомогательный конфигурационный файл. Поэтому оформим все это в виде bash скрипта create_certificate_for_domain.sh
Первый параметр обязателен, выведем небольшую инструкцию для пользователя.
Создадим новый приватный ключ, если он не существует или будем использовать существующий:
Запросим у пользователя название домена. Добавим возможность задания “общего имени” (оно используется при формировании сертификата):
Чтобы не отвечать на вопросы в интерактивном режиме, сформируем строку с ответами. И зададим время действия сертификата:
В переменной SUBJECT перечислены все те же вопросы, который задавались при создании корневого сертификата (страна, город, компания и т.д). Все значение, кроме CN можно поменять на свое усмотрение.
Сформируем csr файл (Certificate Signing Request) на основе ключа. Подробнее о файле запроса сертификата можно почитать в этой статье.
Формируем файл сертификата. Для этого нам понадобится вспомогательный файл с настройками. В этот файл мы запишем домены, для которых будет валиден сертификат и некоторые другие настройки. Назовем его v3.ext. Обращаю ваше внимание, что это отдельный файл, а не часть bash скрипта.
Да, верно, наш сертификат будет валидным для основного домена, а также для всех поддоменов. Сохраняем указанные выше строки в файл v3.ext
Возвращаемся в наш bash скрипт. На основе вспомогательного файла v3.ext создаем временный файл с указанием нашего домена:
Переименовываем сертификат и удаляем временный файл:
Скрипт готов. Запускаем его:
Получаем два файла: mysite.localhost.crt и device.key
Теперь нужно указать web серверу пути к этим файлам. На примере nginx это будет выглядеть так:
Запускаем браузер, открываем https://mysite.localhost и видим:
Браузер не доверяет этому сертификату. Как быть?
Нужно отметить выпущенный нами сертификат как Trusted. На Linux (Ubuntu и, наверное, остальных Debian-based дистрибутивах) это можно сделать через сам браузер. В Mac OS X это можно сделать через приложение Keychain Access. Запускаем приложение и перетаскиваем в окно файл mysite.localhost.crt. Затем открываем добавленный файл и выбираем Always Trust:
Обновляем страницу в браузере и:
Успех! Браузер доверяет нашему сертификату.
Сертификатом можно поделиться с другими разработчиками, чтобы они добавили его к себе. А если вы используете Docker, то сертификат можно сохранить там. Именно так это реализовано на всех наших проектах.
Делитесь в комментариях, используете ли вы https для локальной разработки?
Присоединяйтесь к обсуждению
Для обновления хранилища доверенных сертификатов в Linux вам нужен файл сертификата в формате PEM с расширением файла .crt. PEM сертификат представляет собой текстовый файл в формате base64, который содержит в начале файла строку —-BEGIN CERTIFICATE—- и в конце ——END CERTIFICATE——.
Если ваш файл сертификата в формате DER, вы можете конвертировать его в PEM формат с помощью утилиты openssl:
$ openssl x509 -in my_trusted_sub_ca.der -inform der -out my_trusted_sub_ca.cer
Сначала рассмотрим, как добавит корневой сертификат вашего CA в доверенные в дистрибутивах Linux на базе DEB (Ubuntu, Debian, Mint, Kali Linux).
Обновите хранилище сертификатов командой:
$ sudo update-ca-certificates -v
Если команда не найдена, установите пакет в Ubuntu:
$ sudo apt-get install -y ca-certificates
Если сертификаты успешно добавлены, появится сообщение о том, что сертфикат скопирован в /etc/ssl/certs/:
Также вы можете добавить новые сертификаты в хранилище с помощью команды:
$ sudo dpkg-reconfigure ca-certificates
Выберите из списка сертификаты, которые нужно добавить в доверенные.
В Linux список доверенных сертификатов содержится в файле /etc/ssl/certs/ca-certificates.crt. Обе рассмотренные выше команды обновят этот файл и добавят в информацию о новых сертификатах.
Вы можете проверить, что ваши сертификаты были добавлены в доверенные с помощью команды:
Укажите часть Common Name вашего сертификата вместо YourCASubj для поиска в хранилище по subject.
Вы можете убедиться, что ваша ОС доверяет сертификату с помощью команду:
$ openssl verify my_trusted_sub_ca.crt
Если Linux не доверяет сертификату, появится ошибка:
error 20 at 0 depth lookup: unable to get local issuer certificate
error my_trusted_sub_ca.crt: verification failed
Теперь проверьте, что на сайте используется доверенный SSL сертификат с помощью curl:
Можно также вручную добавить путь к сертификату:
Чтобы удалить сертификат, удалите ваш crt файл:
И обновите хранилище:
$ sudo update-ca-certificates —fresh
В дистрибутивах Linux на базе RPM (CentOS, Oracle, RHEL, Rocky Linux, Fedora) для добавления сертификата в доверенные:
Касперский считает сайт небезопасным
Рекомендуемые сообщения
Здравствуйте. Имеется сайт с установленной VestaCP, который открывается по ip адресу. Сертификат был добавлен в список доверенных в winodws. Однако касперский ругается в хроме. При отключении касперского гугл хром не ругается, все ок. Почему? Спасибо.
Kaspersky security cloud 21.3.10.391 (g)
Один или более сертификатов этого сайта недействительны, и мы не можем гарантировать его подлинность. Такое бывает, когда владелец сайта вовремя не обновил сертификат или когда сайт поддельный. Посещение таких сайтов делает вас более уязвимыми для атак.
«Лаборатория Касперского» защитила вас от перехода на этот сайт. Можете закрыть его без риска.
Изменено 25 декабря, 2021 пользователем nitsik
Ссылка на сообщение
адрес доступен в интернете? укажите, если да
18 часов назад, kmscom сказал:
Адрес доступен, по причинам безопасности светить не буду. Могу скинуть в личку. Но чтобы воспроизвести проблему, придется добавить сертификат в доверенные.
1 минуту назад, andrew75 сказал:
Да, самоподписанный. Сейчас проверил, на данный момент касперский не блокирует. Но есть несколько серверов, и, емнип, периодически такие проблемы возникают по разным урл.
23 минуты назад, Friend сказал:
Почему проблема то возникает, то исчезает?
Теперь все системные утилиты будут доверять сайтам, использующим данный CA. Но это не повлияет на веб браузеры Mozilla Firefox или Google Chrome. Они по-прежнему будут показывать предупреждение о недоверенном сертификате.
Дело в том, что браузеры Firefox, Chromium, Google Chrome, Vivaldi и даже почтовый клиент Mozilla Thunderbird не используют системное хранилище сертификатов Linux. Хранилище сертификатов для этих программ находится в директории пользователя в файле cert8.db (для Mozilla) или cert9.db (для Chromium и Chrome). Для обновления этих хранилищ сертификатов используется утилита certutil из пакета libnss3-tools.
$ sudo apt install libnss3-tools
Теперь выполните следующие скрипты для добавления ваших сертификатов в хранилище через NSS:
После запуска скрипта, сайтам с данным CA будут доверять все браузеры.