Как обновить сертификат безопасности сайта на телевизоре самсунг

О проблеме с открытием сайтов на различных устройствах в связи окончанием срока действия сертификата Let’s Encrypt IdenTrust DST Root CA X3, а также о способах ее решения я писал в этой статье. И если в случае с компьютером все решается просто и быстро, то на других устройствах — телефонах, планшетах, телевизорах и т.п. — исправить ситуацию иногда довольно сложно.

Например, совсем недавно столкнулся с невозможностью открыть некоторые сайты во встроенном браузере на телевизоре LG, работающем под управлением WebOS. Причина та же — устаревший сертификат и отсутствие нового. Несмотря на то, что телевизор периодически получает обновления своего ПО, производитель почему-то не торопится включать в эти обновления новые сертификаты безопасности. Что делать? Придется решать проблему самостоятельно.

Как всегда, поиск в интернете принес определенные результаты, но на этот раз они были не утешительные. Часть заявлений сводилась к тому, что самостоятельно решить проблему нельзя никоим образом, это может сделать только производитель. Вторая же часть описывала довольно трудоемкий и малопонятный процесс взлома телевизора и модификации его программной начинки. Впрочем, почитав разные источники и немного разобравшись в предлагаемых способах обновления сертификатов, я пришел к выводу, что все не так уж и сложно, и поэтому решил попробовать.

Далее я постараюсь как можно более просто и понятно объяснить, как обновить сертификаты безопасности на телевизорах LG под управлением WebOS. Основным источником информации для меня послужила вот эта тема на специализированном форуме, которая, в свою очередь, ссылается на первоисточник с другого известного форума. Под спойлерами буду прятать дополнительную информацию, которую можно пропустить.

Как обновить сертификат безопасности сайта на телевизоре самсунг

«Сбер» для безопасного доступа к сайтам банка после перехода на российские TLS-сертификаты предлагает всем пользователям установить корневой сертификат Russian Trusted Root CA с сайта «Госуслуги» или использовать «Яндекс Браузер».

«Сбер» пояснил, что скоро только российские сертификаты обеспечат защищённый доступ к сайтам и онлайн-сервисам «Сбера» с любых устройств пользователей. Для этого нужно или использовать браузеры с поддержкой российских сертификатов («Яндекс Браузер» или «Атом») или установить сертификаты для своей операционной системы.

«Сбер» предупредил, что скоро большинство сайтов в рунете перейдут на российские TLS-сертификаты и пользователям всё равно придётся выбирать: установить корневой сертификат Russian Trusted Root CA или использовать «Яндекс.Браузер».

Национальный удостоверяющий центр выдаёт сертификаты на домены только тех организаций, которые явно это запросили. Полный список этих доменов публично доступен по адресу www.gosuslugi.ru/tls.

«Яндекс Браузер» применяет национальные сертификаты не для всего рунета, а только на тех сайтах, которые есть в списке на www.gosuslugi.ru/tls. Попытка применить сертификат на других доменах приведёт к стандартной ошибке и недоступности сайта для пользователя.

Национальные сертификаты используют общепринятую открытую криптографию и работают по стандартным правилам (это обычный RSA с длинным ключом, ровно такой же, какой выписывают другие центры сертификации).

15 сентября Минцифры и «Сбер» сообщили, что онлайн-сервисы «Сбера» через несколько дней начнут переход на российские TLS-сертификаты. Фактически это означает, что облачные сервисы «Сбера» будут полноценно работать только в «Яндекс Браузере» и браузере «Атом» от VK. Также можно установить в системе сертификат Национального удостоверяющего центра Минцифры России — Russian Trusted Root CA.cer.

Как обновить сертификат безопасности сайта на телевизоре самсунг

В марте 2022 года в условиях противодействия санкционной политике Минцифры организовало на базе НУЦ с использованием ЕПГУ выпуск для российских юридических лиц сертификатов безопасности (TLS-сертификатов) для сайтов. TLS-сертификаты необходимы для подтверждения легитимности сайтов и шифрования сетевого трафика между сайтом и браузером пользователя по протоколу HTTPS. Любое юридическое лицо или орган государственной власти может бесплатно получить один или несколько TLS-сертификатов и встроить их в свои информационные ресурсы. Получить сертификат можно через портал «Госуслуги».

В мае 2022 года пользователь Хабра ifap заметил, что Минцифры не имеет соответствующих полномочий по выдаче сертификата, а у якобы создавшего его НУЦ НИИ «Восход» прекращена аккредитация собственного УЦ.

Для ознакомления с проблемой установки и работой корневого сертификата Russian Trusted Root CA есть четыре публикации на Хабре по этой ситуации:

1. «Суверенный, сувенирный, самопровозглашенный».
2. «Импортозамещение центров сертификации».
3. Про поддержку Certificate Transparency для национальных сертификатов.
4. Про поддержку сайтов с национальными сертификатами в «Яндекс Браузере».

Пояснение «Сбера» по этой ситуации: Мы первые в стране начали перевод своих сайтов на российские сертификаты удостоверяющих центров. Почему это важно? Чтобы вы никогда не потеряли доступ к личному кабинету и другим сервисам «Сбера». Объясняем. Сайты должны иметь сертификат удостоверяющего центра, чтобы гарантировать пользователем бесперебойный и безопасный доступ. Раньше такие «документы» выдавали только иностранные компании, но недавно появилась возможность установить сертификат, созданный Минцифры РФ.

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

Вы установите «Яндекс браузер» или Russian Trusted Root CA для работы с сервисами «Сбера»?

Еще не решил, но уже задумался

Установлю на одно отдельное устройство для работы только со «Сбером»

Пока (или вообще) ничего не буду ставить

Проголосовали 1980 пользователей.

Воздержались 240 пользователей.

Время на прочтение

Никогда и ничего фирмы Самсунг я больше в жизни не куплю!!! И буду отговаривать всех кто будет спрашивать совет в покупке техники!

Читать также:  Почему срок действия сертификата вакцинации 1 год а ревакцинация через полгода

Типичный гнев анонимуса на заданную тему

Как обновить сертификат безопасности сайта на телевизоре самсунг

С 22 января Самсунг начала активно блокировать работу Smart TV на своих телевизорах, не предназначенных производителем для эксплуатации на территории России. Пару дней назад эта ситуация получила широкую огласку и с тех пор рунет не утихает.
Понятно желание производителя воспользоваться преимуществами российского законодательства (национальный принцип исчерпания права на товарный знак — ст. 1487 ГК РФ), ограничить параллельный импорт и таким образом защитить свою маржу.

Например, одна из самых популярных моделей Q70 в размере 55″ стоит около 64 000 рублей, а в официальном магазине — 100 000 рублей. Для больших диагоналей разница в цене составляет 1,5-2 раза.

Но пикантность ситуации в том, что применённые меры ударили в первую очередь по конечным потребителям уже введённой в оборот продукции, а не по импортёрам. На форумах множество историй о том, как люди самостоятельно покупали телевизоры в Финляндии или Польше и совершенно легально ввозили их в Россию, не подозревая, что могут столкнуться с проблемами. Но вне зависимости от варианта покупки — самостоятельно за рубежом или у неофициального продавца на условной Горбушке — получили окирпиченный Smart TV.

Дополнительная сложность для конечного потребителя в том, что не всегда удаётся чётко определить какой именно телевизор предлагает продавец. Например, вот тут человек был уверен, что покупает «легальный» телевизор, но в результате получил блокировку. Там же можно увидеть один из типичных ответов Самсунга:

Уважаемый Eugene, мы ознакомились с описанием вашей проблемы и сожалеем о сложностях, с которыми вы столкнулись.

Подобная информация на экранах ТВ указывает на то, что данный ТВ был изготовлен для другого региона и может не соответствовать техническим требованиям региона фактического нахождения. Что исключает возможность производителя гарантировать доступность всех функций в стране проживания пользователя (фактического использования устройства).
Информация о том, что доступность функций зависит от региона поставки указана в инструкции пользователя.

Мы рекомендуем покупать продукцию только у официальных ритейлеров в регионе, чтобы иметь возможность пользоваться всеми функциями изделия и также поддержкой производителя.
Для того, чтобы убедиться в этом, просим вас связаться с нашей сервисной службой по бесплатному номеру 8-800-555-55-55.

Конечно чувствуется некоторое противоречие между обтекаемой фразой «исключает возможность производителя гарантировать доступность всех функций в стране проживания пользователя» и фактическим преднамеренным принудительным дистанционным отключением функций.

Что дальше? Некоторые пользователи рассказали, что уже обратились в Роспотребнадзор с просьбой проверить законность действий компании Самсунг. Другие даже успели оформить петицию на change.org. Форумы заполнены радостными дистрибуторами «легальных» телевизоров и на удивление радостными пользователями «легальных» телевизоров, которые активно клеймят «нищебродов», которые «сами виноваты». При этом люди справедливо замечают, что дальше стоит ждать проблем с прочей «нелегальной» умной техникой Самсунг, что ставит под вопрос целесообразность дальнейшей приверженности этому бренду.

С другой стороны в случае с телевизорами потеряна только функциональность Smart TV, а сам экран продолжает исправно показывать картинку с внешних источников. Разница в цене с «легальным» телевизором такова, что некоторые на эти деньги покупают Xbox/Play Station, Nvidia shield или более бюджетные варианты — Apple TV, Xiaomi Mi Box и прочие умные коробочки.

Теперь ход за конкурентами. Если Sony и LG не последуют примеру своего основного конкурента, то можно предположить, что любовь потребителей сместится в их сторону не смотря на приятные технические характеристики экранов Самсунга.

UPD. Самсунг выпустила официальное заявление. Бла-бла-бла мы хотим денег, а вы — держитесь. news.samsung.com/ru/officialstatement2

В связи с появлением информации о проблемах пользователей, связанных с блокировкой на территории России некоторых функций телевизоров, компания Samsung Electronics сообщает.

Блокировка затронула функции устройств, которые были произведены для использования на территории других государств или регионов.

Заблокированные функции не могли быть доступны на таких устройствах без проведения манипуляций по изменению установленных заводских настроек (например, разблокировкой или перепрошивкой).

Такие устройства не сертифицированы для использования в российском регионе, что исключает возможность производителя гарантировать корректную их работу, доступность всех функций, а также своевременное и качественное сервисное обслуживание в соответствии с глобальными корпоративными стандартами компании Samsung Electronics. Кроме того, часть сервисов, реализуемых через заблокированную платформу, могут иметь лицензионные ограничения по территории использования.

В соответствии с законодательством РФ устройства должны иметь сертификаты EAC (сертификат соответствия техническому регламенту Eвразийского Экономического Союза) и быть маркированы знаком EAC на этикетке корпуса и коробки. Сертификат EAC должен иметься в наличии у продавца.

Мы рекомендуем пользователям при покупке телевизоров проверять наличие такого сертификата в месте продажи, а также удостовериться, что модель, указанная в сертификате EAC, полностью совпадает с моделью, указанной на устройстве.

Все телевизоры, сертифицированные для продажи на территории России, в полном наименовании модели оканчиваются на латинские буквы RU.

Компания Samsung рекомендует покупать продукцию только в официальных каналах продаж (например, в магазинах фирменной розницы Samsung или на сайте фирменного интернет-магазина), чтобы иметь возможность пользоваться всеми функциями изделия и также поддержкой производителя.

По всем вопросам идентификации устройств мы рекомендуем обращаться в службу поддержки Samsung Electronics по телефонам: 8-800-555-55-55 (бесплатно с городских и мобильных телефонов местных сотовых операторов по России).

Читать также:  Перенос сертификатов КриптоПРО на другой компьютер, за минуту

Кроме того, дополнительную информацию по вопросам технической поддержки можно найти на сайте Samsung в соответствующем разделе: www.samsung.com/ru/support/category/tv-audio-video

Инструкция по обновлению сертификатов Let’s Encrypt на ТВ LG под управлением WebOS 3. 5 или новее

  • Сам телевизор, подключенный к интернету любым способом (WiFi или кабель)
  • Компьютер, подключенный к той же локальной сети, что и телевизор
  • Программа для подключения по протоколу Telnet или SSH, например, PuTTY

Как обновить сертификат безопасности сайта на телевизоре самсунг

Получаем root-права

Для того, чтобы иметь возможность что-то исправлять в файловой системе или программном коде телевизора, нам необходимо получить так называемые root-права, то есть права на полный доступ к установленной операционной системе. Без этого ничего сделать с сертификатами мы не сможем.

Коротко о рут-правах

Многие устройства для повседневного использования работают под управлением заложенного в них производителем программного обеспечения (ПО). Как правило, доступ пользователя к программному обеспечению устройства не предусматривается, не говоря уже о возможности его изменения. По этой причине производители всячески стараются защитить устройство от редактирования, а иногда даже и от просмотра его программной начинки. Но в некоторых случаях, например, сервисным инженерам при ремонте прибора требуется полный доступ к ПО. По своей сути, получение root-прав или рутирование устройства — это получение полного доступа к заложенному в нем ПО с возможностью его изменения. В связи с усилиями производителей по защите устройств от взлома получение рут-прав обычно не отличается простотой и зачастую использует найденные уязвимости в защите системы.

В интернете можно найти несколько способов получения root-прав для разных версий WebOS, но самый простой с точки зрения малоподготовленного пользователя — это использование уже готового инструмента. В моем случае это был rootmy.tv, почитать о нем можно здесь (описание на английском). Итак, приступаем:

  • Включаем телевизор, запускаем на нем браузер, заходим по адресу https://rootmy.tv
  • Подтвердите появившееся предупреждение о безопасности.

После этих действий запустится автоматическое получение рут-прав, описание текущих стадий будет отображаться на экране. В процессе работы телевизор будет один или два раза перезагружен. В редких случаях ТВ вместо перезагрузки может выключиться, тогда его надо просто снова включить пультом. Вместе с получением рут-прав на ТВ будет также установлено приложение Homebrew Channel.

Как обновить сертификат безопасности сайта на телевизоре самсунг

Подключаемся к ТВ с компьютера по протоколу SSH

Теперь мы можем управлять нашим ТВ с компьютера. Чтобы получить к нему доступ, делаем следующее:

  • Вводим в поле Host Name (or IP address) адрес нашего ТВ, выбираем Connection type SSH (если после получения рут-прав не отключали протокол Telnet на ТВ, то можно выбрать Other — Telnet).
  • Нажимаем кнопку Open.

Откроется окно терминала, в котором можно вводить команды для управления телевизором. Первым делом при подключении по SSH необходимо ввести имя пользователя и пароль. По умолчанию после получения рут-прав через rootmy.tv имя пользователя root, пароль alpine. При вводе пароля нажимаемые символы не отображаются, даже в виде «звездочек». Подтверждение набора осуществляем клавишей Enter.

Как обновить сертификат безопасности сайта на телевизоре самсунг

Обновляем сертификаты безопасности на ТВ

Теперь пошагово в терминале PuTTY задаем приведенные ниже команды и подтверждаем каждую нажатием клавиши Enter. Для ускорения работы и исключения ошибки в написании команд рекомендую полностью копировать текст команды и вставлять его в терминал. Копировать можете любым удобным вам способом (например, Ctrl+V), а вставлять в окно терминала нужно нажатием правой кнопки мыши, так как клавиатурные сокращения в нем не работают. По возможности буду приводить описание действия каждой команды.

1. Создаем на ТВ новую папку для размещения сертификатов

2. Копируем все содержимое папки /etc/ в нашу папку

cp -a /etc/ /media/cryptofs/root/

3. Копируем также папку с сертификатами в нашу папку

3.1. Если у вас версия WebOS от 3.5 до 3.9 включительно, то копируем отдельно сертификаты браузера. Для других версий WebOS это делать не нужно

4. Запускаем текстовый редактор vi и открываем в нем файл со списком сертификатов

После этого на экране терминала отобразится содержимое файла ca-certificates.conf, а именно список установленных на устройстве сертификатов. Редактирование содержимого ведется почти как в обычном текстовом редакторе, но есть и отличия.

Работа с редактором vi. Прочитайте, если раньше не работали с ним!

Чтобы лучше разобраться с особенностями редактора vi, прочтите небольшую инструкцию. Скорее всего, она вам не понадобится, просто запомните основные действия:

  • для перемещения по тексту и прокрутки экрана используем клавиши со стрелками;
  • подведя курсор к нужному месту, входим в режим редактирования, нажав клавишу i;
  • печатаем нужный текст;
  • для выхода из режима редактирования с сохранением надо нажать Esc, а затем ZZ (два раза клавишу z с шифтом);
  • для выхода без сохранения нажимаем Esc, затем клавишу : (двоеточие, нажимаем с шифтом, иначе введем точку с запятой), затем q (уже без шифта) и Enter.

5. Находим в тексте строку DST_Root_CA_X3.crt, переводим курсор в ее начало, нажимаем i для входа в режим редактирования и ставим перед строкой восклицательный знак (должно получиться !DST_Root_CA_X3.crt). Это означает, что сертификат не будет использоваться. Обратите внимание, что некоторые другие сертификаты тоже обозначены восклицательным знаком, то есть уже устарели.

6. Переходим в конец любой строки, нажимаем Enter для ввода новой строки и в ней печатаем:

Читать также:  Заявление о выдаче государственного сертификата на материнский семейный капитал пример заполнения

Редактирование файла закончено, нажимаем Esc и ZZ для сохранения и выхода из редактора.

7. Скачиваем из интернета новый сертификат безопасности и помещаем его в нашу папку с сертификатами

8. Подключаем наши новые папки вместо старых

9. Задаем команду для принудительного обновления сертификатов

10. Если у вас версия WebOS от 3.5 до 3.9 включительно, то:

10.1. переходим в папку с сертификатами браузера

10.2. удаляем старый сертификат

10.3. закачиваем в папку новый сертификат

11. Теперь нужно отредактировать скрипт, который выполняется каждый раз при включении ТВ. Для этого снова используем редактор vi

Устанавливаем курсор клавишами со стрелками  после строки /bin/bash или в другое выбранное место скрипта (подробности под спойлером), нажимаем i для входа в режим редактирования и добавляем код:

Куда именно вставлять код?

Будьте внимательны: при получении рут-прав через rootmy.tv, отключении автообновлений системы и применении прочих настроек через приложение Homebrew Channel содержимое скрипта меняется. В частности, там могут присутствовать условные операторы ветвления if, и в зависимости от условия код в разных местах скрипта будет работать или игнорироваться. Поэтому необходимо правильно выбрать место для вставки команды на использование обновленных сертификатов.

Вставку новых команд желательно сделать перед строкой telnetd -l /bin/sh, но таких строк в скрипте может быть несколько. Поэтому можно либо вставить перед каждой найденной, либо найти нужную и вставить только перед ней. Или еще лучше — вставить команды до оператора if, сразу после строки /bin/bash.

11.1. Если у вас версия WebOS от 3.5 до 3.9 включительно, добавляем после указанных выше строк еще две:

Пример добавления строк

На скриншотах видно, что в скрипте имеются операторы ветвления, так что надо правильно выбрать место вставки. Например, в самом начале скрипта идет проверка на наличие файла-флага, используемого для восстановления работы ТВ при сбое в работе скрипта. Соответственно, команды между строками if и else будут выполнены только в случае сбоя.

Как обновить сертификат безопасности сайта на телевизоре самсунг

Как обновить сертификат безопасности сайта на телевизоре самсунг

Вставленные команды будут срабатывать при каждом включении телевизора и монтировать созданные нами папки с сертификатами в качестве стандартных системных папок.

Не забываем сохранить изменения в скрипте и выйти из редактора vi нажатием последовательности Esc + ZZ.

12. Вводим команду на перезагрузку ТВ

После перезагрузки телевизора открываем на нем браузер и вводим адрес сайта, который раньше выдавал ошибку из-за просроченного сертификата безопасности. Если сайт открывается, поздравляю: все прошло удачно!

1. На тематических форумах, где обсуждалась описываемая проблема, встречаются рекомендации по установке еще двух сертификатов — ISRG_Root_X2.crt и Lets_Encrypt-R3.crt, но никто пока не сталкивался с тем, чтобы без них проблема не исчезала. Поэтому их не добавляем.

2. Если у вас возникают какие-то вопросы, почитайте источники, ссылки на которые приведены в начале статьи.

4. Ну и самое главное — помните, что все действия по модификации ПО вашего телевизора вы выполняете на свой страх и риск. Даже получение рут-прав может служить причиной для отказа в гарантийном обслуживании.

За время, прошедшее с момента написания этой статьи, у меня появилась новая информация о некоторых особенностях добавления сертификатов на телевизоры LG. Этой информацией я решил поделиться с читателями.

Дополнительная информация (добавлено 3.01.2022)

После получения рут-прав через сервис rootmy.tv мой телевизор два раза переходил в режим восстановления. Оба раза это случалось после отключения электропитания. В режиме восстановления на экране ТВ каждые 15 секунд появляется сообщение

Failsafe mode! Open telnet and remove /var/luna/preferences/webosbrew_failsafe

Во всем остальном ТВ функционировал, как положено. Поэтому было решено просто убрать сообщение, для чего нужно удалить создаваемый для режима восстановления файл-флаг. Делается это следующим образом:

1. Запускаете PuTTY и подключаетесь к ТВ через протокол Telnet (SSH в режиме восстановления не работает).

2. Вводите команду

и жмете на Enter. Таким образом удаляется файл, служащий признаком режима восстановления.

3. Вводите команду

и жмете на Enter. Телевизор перезагрузится, сообщение о режиме восстановления должно исчезнуть.

Для выхода из режима восстановления можно воспользоваться также встроенным telnet-клиентом Windows, подробности в этой статье. Кроме того, можно отключить режим восстановления через меню приложения Homebrew.

Также на некоторых моделях ТВ LG с версией WebOS 3.9 и меньше невозможно найти и заменить сертификаты браузера. В результате команды, описанные в пунктах 3.1 или 11.1 этой статьи, выполняются с ошибкой и реальная замена сертификатов не происходит. Дело в том, что нужные папки создаются динамически только при запуске браузера, поэтому при закрытом браузере подменить сертификаты не удается. В качестве решения предлагается добавить в стартовый скрипт команду запуска браузера в скрытом режиме, что позволяет затем проделать вышеописанные манипуляции для подмены сертификатов.

То есть, если при выполнении пункта 3.1 этой статьи вы получили сообщение об ошибке, то продолжайте выполнять остальные команды, а в пункте 11 самой первой командой вставьте

и потом все остальные, которые там приведены.

После этого перезапустите ТВ и повторите выполнение пунктов 3.1 и 10 (со всеми подпунктами). Затем снова перезагрузите ТВ.

На практике данную рекомендацию я не проверял, сведения взяты из этого источника.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *