Как скачать сертификат безопасности на андроид

Почему у меня появляются ошибки сертификата на всех сайтах?

Ошибки сертификата возникают, когда возникает проблема с сертификатом или при использовании сертификата сервером. Internet Explorer может помочь защитить вашу информацию, предупреждая вас об ошибках сертификата.

Почему мой Интернет продолжает говорить «небезопасен»?

Причина, по которой вы видите предупреждение «Небезопасно», заключается в том, что веб-страница или веб-сайт, который вы посещаете, не обеспечивает зашифрованное соединение. Когда ваш браузер Chrome подключается к веб-сайту, он может использовать HTTP (небезопасный) или HTTPS (безопасный).

Почему у меня появляется ошибка SSL-соединения Android?

Метод №1: проверьте дату и время

Это наиболее частая причина ошибок сертификата SSL. Если есть несоответствие между часами на вашем устройстве и часами веб-сервера, к которому вы пытаетесь получить доступ, тогда SSL-сертификат веб-сайта не будет проверен. В результате вы получите ошибку SSL.

Время на прочтение

В принципе, мы с shoguevara довольно давно заморачивались вопросом установки корневого сертификата в Android устройство и даже находили парочку не самых тривиальных инструкций, но до этого в таком действии надобности не было. Надобность же появилась после приобретения планшета на Android.

Почему мой сертификат SSL не работает?

Наиболее частой причиной ошибки «сертификат не доверяет» является то, что установка сертификата не была должным образом завершена на сервере (или серверах), на которых размещен сайт. Воспользуйтесь нашим тестером SSL-сертификатов, чтобы проверить эту проблему. В тестере неполная установка показывает один файл сертификата и оборванную красную цепочку.

Работая в интернете, можно столкнуться с массой проблем: фейковые новости, вирусы и постоянный поток спама. Однако бывает такое, что нужный сайт, который только вчера великолепно просматривался с вашего браузера, сегодня отказывается открываться, ссылаясь на проблему с SSL-сертификатом.

Ни перезагрузка интернета, ни перезапуск браузера не помогают избавиться от ошибки. К счастью, существует ряд способов исправить проблему с подключением к нужной странице.

С ростом популярности операционных систем, растет также и необходимость в обеспечении безопасности системы. С каждым днём количество атак увеличивается, а каждое обновление несет в себе новые «дыры» в системе безопасности. Я Анастасия Худоярова, ведущий специалист по безопасной разработке в Awillix, расскажу о том, как развивалась система безопасности в Android раньше и как можно обойти некоторые ее механизмы сегодня.

Причины ошибок и проверки SSL сертификата

Перед тем как подробно рассматривать ошибку важно понять где она появилась, тут вариантов несколько: ошибка при посещении сайта банка с компьютера, при использовании смартфона или в приложении интернет банка Россельхоз. Основные причины можно разбить на несколько категорий:

• Системные проблемы, сбои настройки времени, даты на ПК или смартфоне.
• Заражение вирусами или рекламными рассылками.
• Наличие VPN программ, сетевых экранов, которые меняют ваши IP адреса.
• Устаревшая версия приложения для Смартфона.
• Старые временные файлы и кеш браузера компьютера или телефона.
• Просроченный SSL сертификат на сайте.

Как видим причин немало, ниже расскажем какие шаги предпринять самостоятельно, а в каких случаях лучше просто подождать:

Сертификат безопасности нужен для подтверждения подлинности ресурса, посещаемого пользователем. Это как цифровая подпись домена. Если сертификата нет, он отозван или поддельный, то браузер откажется пускать посетителя на сайт.

Сертификаты ряда отечественных компаний были отозваны иностранными удостоверяющими центрами в рамках антироссийских санкций. На замену зарубежным пришел Национальный удостоверяющий центр (НУЦ) Минцифры, однако выданные им TLS-сертификаты поддерживаются не всеми браузерами — они распознают сайты как вредоносные и оповещают об их потенциальной опасности.

Выданные НУЦ сертификаты по умолчанию поддерживаются «Яндекс Браузером» и Atom. Использование российских обозревателей избавляет от необходимости установки корневого сертификата, но поклонники Firefox, Chrome, Edge и других браузеров вынуждены провести дополнительную настройку.

С чего все начиналось

Путь по защите Android-а был тернист. На конец 2021 года устройства Android насчитывали более 2,5 миллиарда активных пользователей, что составляет около 75% мирового рынка. Данная ОС стремительно развивалась с 2008 года и претерпела много изменений. В том числе это коснулось системы безопасности.

Начиналось всё с элементарных вещей. Таких как PIN экрана, запуск приложения в изолированной среде, указания определенных полномочий в конфигурационных файлах приложения. Теперь это многоуровневая защита устройства как аппаратная, так и программная.

Android использует ядро Linux, поэтому его архитектура и все используемые механизмы очень похожи.

На уровне ядра были добавлены дополнительные функции, а также усилены меры безопасности, например, касающиеся использования IPC средств межпроцессного взаимодействия (в Android поддерживаются только сокеты) так называемых Binder-ов; были внедрены дополнительные настройки в политике SELinux, чтобы ограничить доступ к сетевым сокетам, обладающим определенными полномочиями.

На уровне приложенийвыполнено разделение на read-only системные приложения и read-write пользовательские приложения, которые запускаются в своих песочницах с четко определенными правами.

Принцип разделений привилегий приложений и принцип наименьших привилегий – это самые важные аспекты в модели безопасности Android. Права запрашиваются приложениями с помощью их объявления в AndroidManifest.xml файле. Этот файл представляет собой описание основной информации о приложении системы. На основе указанных в манифесте разрешений система решает можно ли выдать такие права.

Многие учреждения начинают переходить на использование российских сертификатов. Такие сертификаты не поддерживаются обычными браузерами в Android, сайты с таким сертификатом не будут открываться на телефонах с Android на борту.

Для получения защищённого доступа к таким сайтам и онлайн-сервисам рекомендуют использовать браузеры с поддержкой российских сертификатов: Яндекс Браузер или Атом. Альтернативный способ — установка корневых сертификатов.

Если вы привыкли работать в других браузерах вы можете установить корневые сертификаты на Android.

Сертификаты для Android

Инструкция по установке сертификатов для владельцев телефонов с Android. Это инструкция с официального сайта, естественно, она может не сработать, поскольку админы веб сервера отдают сертификаты как текст, а должны были отдавать как файл. У кого не сработает официальная инструкция, добавил ещё один способ ниже, уже от себя, альтернативный.

Нужно установить два сертификата — корневой и промежуточный (выпускающий).

Сертификат ЦС установлен.

Промежуточный (выпускающий) сертификат

Повторите действия для второго сертификата.

Корневой сертификат — альтернативный способ

Корневой и промежуточный (выпускающий) сертификат могут нормально не устанавливаться сами. Всё дело в том, что веб-сервере официального сайта отдают сертификат в текстовом виде. Замечено было на Android 6 во встроенном браузере.

Ставим ПИН-код на телефон, если не стоял.

Правой кнопкой скачивает по ссылке сертификаты: «сохранить ссылку».

Эта скотина скачивается как TXT файл, к примеру, russian_trusted_sub_ca.txt.

Нам нужно переименовать этот TXT в CER.

Переименовываю сертификаты в CER.

Тыкаем в переименованный сертификат.

При желании можно указать имя сертификата. Выбираем «Используется для: VPN и приложения». OK

Повторяем процедуру для второго сертификата.

Проверка

В списке появится два установленных сертификата Минцифры:

• Russian Trusted Root CA
• Russian Trusted Sub CA

Альтернативная проверка

Ссылки

Переход на российские TLS сертификаты

30 сентября 2021 г окончился срок действия корневого сертификата IdenTrust DST Root CA X3. Вместо него теперь должен использоваться самоподписанный сертификат ISRG Root X1, который добавили в качестве второго корневого сертификата и образовали альтернативную цепочку.

Let’s Encrypt — истёк срок действия корневого сертификата IdenTrust DST Root CA X3

Соответственно, все системы, которые не доверяют сертификату ISRG Root X1, будут открывать сайты с сертификатом Let’s Encrypt вот так:

На моём телефоне с Andriod 6.0.1 Marshmallow сертификат ISRG Root X1 отсутствует в списке доверенных, поэтому сайты с сертификатом Let’s Encrypt у меня перестали открываться.

Можно купить новый телефон, бугагашечки. Можно установить браузер Mozilla Firefox, у него собственный набор доверенных сертификатов, который постоянно обновляется. Но всё-таки хотелось бы, чтобы всё само открывалось без танцев с бубнами в привычном встроенном браузере. И на привычном старом телефоне.

Просмотр сертификатов на Android 6

Посмотрим, какие сейчас используются сертификаты. Нажимаем на значок слева от URL — ⓘ. Открывается окно «Незащищённое подключение».

Для просмотра сертификатов нажимаем ссылку «Данные сертификата».

Сертификат выдан Let’s Encrypt. Срок действия ещё не вышел. Посмотрим промежуточный сертификат, стрелка вниз.

Видно только промежуточный сертификат R3, выбираем.

Этот сертификат выдан DST Root CA X3, срок действия которого, как мы знаем, истёк. Более того, срок сертификата R3 тоже истёк. И на этом браузер останавливается и не доверяет сайту. А всё потому, что проверка пошла по основной цепочке. Альтернативная цепочка не была задействована, потому что сертификат ISRG Root X1 неизвестен Android.

Добавляем ISRG Root X1 в список доверенных сертификатов на Android 6

Первым делом нужно установить на телефон PIN-код или графический код. Android 6.0.1 позволяет устанавливать собственные сертификаты только с блокировкой экрана. При отключении PIN-кода или графического кода персональные сертификаты будут удалены (не проверял). В любом случае, при попытке добавить сертификат вас попросят включить блокировку экрана.

Мотаем вниз и видим нужные нам пункты:

• Сертификаты безопасности
• Сертификаты пользователя
• Установить из памяти
• Удалить учётные данные

Нажимаем Сертификаты безопасности, находим протухший сертификат Digital Signature Trust Co. (DST Root CA X3) и отключаем его, чтобы телефон не пытался использовать эту цепочку.

Скачиваем сертификат ISRG Root X1 и Let’s Encrypt R3 в формате PEM. Я буду ставить оба сертификата.

Нажимаем на сертификат и устанавливаем его. Используется для VPN и приложений.

Второй тоже устанавливаем.

Можно посмотреть подробную информацию о каждом сертификате.

Сертификат безопасности ISRG Root X1 действителен до 2035 года, самоподписанный.

Сертификат безопасности Let’s Encrypt R3 действителен до 2025 года, промежуточный.

Развитие безопасности в Android

Использование ограничений прав в приложениях оказалось недостаточным для защиты от вредоносных программ — Google продолжает ужесточать меры. Разграничение прав на уровне ОС несомненно эффективно, но не гибко, так как всем приложениям могут понадобиться совершенно разные настройки, которые пользователь захочет максимально быстро настроить под себя. Первые попытки гибкого разделения полномочий были предприняты в Android 4.3 через раздел App Ops.

В App Ops пользователь мог отозвать и выключить всё, что угодно. Однако это было максимально неэффективно для него. Приложение могло «упасть» даже после отзыва чего-то незначительного. В Android 6.0 исправили эту «маленькую» неприятность: теперь приложение запрашивает права в тот момент, когда они ему нужны.

Это казалось хорошим решением, но открылась еще большая уязвимость. Стоит поменять в правилах сборки номер версии на более старый, и приложение будет получать все полномочия разом. Хотели сделать безопасно, но до конца не получилось реализовать эту идею. «Не стоит прогибаться под изменчивый мир, пусть лучше он прогнется под нас», — подумали в Google, и волевой рукой отрубили публикацию приложений для устаревших версий ОС. Сейчас, начиная с Android 10, полномочия у софта под старые версии отзываются, приложение попросту не работает. В 11-ой версии появилась возможность делать разрешение на однократный запуск.

Постепенно Google вводит ограничения на типы разрешений и на информацию об устройстве, которые может получить приложение:

• С Android 8 уже нельзя так просто добраться до серийного номера устройства, становятся недоступными некоторые системные переменные;
• В Android 9 установлен запрет на использование камер и микрофона, когда приложение находится в фоновом режиме, также нельзя использовать HTTP без TLS;
• В Android 10 вводятся ограничения, связанные с доступом к местоположению, запуском активностей фоновыми приложениями, что может вызвать проблемы, например, при работе приложений для умных часов. Важно, что с 10-ой версии в обязательном порядкевводится полнодисковое шифрование.  Для удобного и гибкого управления разрешениями был введен и менеджер разрешений, позволяющий гранулировано настраивать каждое приложение.
• В Android 11 усложняется доступ к памяти и камере, появляются дополнительные настройки управления подключенными «умными» устройствами в Smart Lock: данная функция способна самостоятельно определить необходимость усиления безопасности.

Постепенно всё больше происходит завязка на различных ключах шифрования, которые представляют критичную информацию. По этой причине вводится доверенная среда исполнения. Она хранит эти данные и сама по себе является выделенной системой, что позволяет избежать утечки ключей при компрометации основной системы. Также для снижения риска нарушения системы используется доверенная загрузка, которая проверяет целостность ОС при запуске устройства.

Как исправить ошибку подключения ssl на андроид

Ошибка сертификата при открытии сайта с уcтройства Android

Использование сертификатов и подписей в Android

Механизмы безопасности внедряются не только касательно самой начинки ОС: новым требованиям Google обязаны следовать и разработчики. Например, теперь нельзя просто так взять и добавить доверенный сертификат в системные или собрать apk приложение без специализированной подписи разработчика.

Касаемо APK, изначально Google ввёл использование специализированных криптографических хэшей и подписи разработчика, хэши считались на части файла. Однако после атаки Janus выяснилось, что для верификации DEX файла используется не весь файл. Соответственно, в неиспользуемую часть можно было внести свои изменения. Баг исправили в новом формате цифровой подписи APK signature scheme v2 и v3, теперь цифровая подпись распространялась на весь файл. Просто установить приложение из Apk стало невозможно. Для прохождения всех проверок Google и его полноценного функционирования, оно должно быть верифицировано, а для этого у разработчика должен быть соответствующий ключ.

Добавление пользовательских сертификатов иногда недостаточно для решения каких-либо задач, например, если надо проксировать трафик, и требуется добавить сертификат именно в системные сертификаты, с чем возникают сложности в последних версиях Android. В соответствии с последними рекомендациями для разработчиков от Google, есть требования сетевых настроек, которые запрещают приложению доверять пользовательским сертификатам: они как бы доверенные, но не сильно. Данное требование относится именно к сетевому трафику приложений. В случае когда необходим доступ к сайту организации с самоподписанным сертификатом, могут быть использованы и пользовательские сертификаты. Возвращаясь к вопросу добавления сертификатов в системное хранилище, возникает проблема — раздел ФС, где хранятся системные сертификаты примонтирован в режиме read-only, поэтому так просто добавить сертификат нельзя. Особенно это усложнилось, начиная с Android 11 и даже 10. Сложность связана с FDE (полнодисковое шифрование), так как процесс монтирования происходит после расшифровки диска в момент загрузки.

Дата и время как виновники всех проблем

В современных гаджетах многие приложения (в особенности сетевые программы) синхронизируются с часами. Любая манипуляция с текущей датой приводит к ошибкам приложения. Об ошибочной дате может сообщить сам гаджет: он попросит перевести часы в соответствие с текущим временем.

Чтобы не настраивать каждый раз время на телефоне вручную, поставьте галочку в настройках «дата и время» напротив пункта «дата и время сети» или «синхронизировать время по сети»

Как исправить ошибку сертификата безопасности?

Как исправить ошибку сертификата SSL

• Диагностируйте проблему с помощью онлайн-инструмента.
• Установите промежуточный сертификат на свой веб-сервер.
• Создайте новый запрос на подпись сертификата.
• Получите подстановочный SSL-сертификат.
• Измените все URL-адреса на HTTPS.
• Обновите свой сертификат SSL.

Как мне доверять всем сертификатам в Android?

В основном у вас есть четыре возможных решения для исправления исключения «Not Trusted» на Android с помощью httpclient:

Долгое время искал ответ на вопрос.

После выполнения следующей команды в консоли сервера под Centos 7, выяснилось что проблема на стороне сервера, а не в андройде или браузее как могло показаться.

Данные ошибки свидетельствуют о том, нет сертификата удостоверяющего центра.

В итоге проблема оказалась в том, что — пропушенная тогда цепочка сертификатов, оказалась всему виной.

Как попытаться защитить свое приложение от хакеров

То есть можно обойти все системы защиты и проксировать трафик. Как тогда защитить свое приложение? На помощь приходит SSL Pinning. Certificate pinning — это внедрение SSL сертификата, используемого на сервере, в код мобильного приложения. В этом случае приложение будет игнорировать хранилище сертификатов устройства, полагаясь только на свое хранилище,  и позволит создать защищенное SSL соединение с хостом, подписанным только сертификатом, что хранится в самом приложении. Реализуется это за счет того, что приложением проверяются сертификаты из pin list.

Закрепить их там можно несколькими способами:

• С помощью TrustManager добавляется файл сертификата в файлы приложения, создается KeyStore для хранения ключей приложения. Дальнейшая работа ведётся через TrustManager, который будет обращаться к хранилищу KeyStore, где находится  сам сертификат. TrustManager будет работать только с этим сертификатом и проверять совпадение с ним. Иначе говоря, если будет проксироваться трафик, то появятся соответствующие ошибки.
• Другой подход внедрить пиннинг —  это использовать библиотеку OkHttp CertificatePinner, которая содержит конструктор, фиксирующий за доменом определенный fingerprint сертификата. Данный отпечаток сертификата внедряется в код.
• Последний способ — это Network Security Configuration, где так же, как и в предыдущем способе, фиксируются фингерпринты используемых сертификатов.

Как я решил проблему.

Открыл сайт на десктопе в на иконке замка рядом с доменом, после надписи Защищенное соединение нажал ссылку подробнее. (или F12) В открывшемся внизу консоли во вкладке Security нажал view certificate и во вкладке Путь сертификации моему взору открылись все промежуточные центры сертификации до корневого. Осталось составить цепочку из этих центров сертификации.

Значит выделяем предыдущий центр, который следует до вашего сертификата, нажимаем «Просмотр сертификата» и во вкладке «Состав» находим открытый ключ и копируем его в файл при помощи одноименной кнопки. У меня не сразу получилось это сделать, но если потыкать и подключить сообразительность минут 10 и у вас все получится.

И так мы сохраняем все сертификаты у каждого промежуточного центра вплоть до корневого.

Проводите регулярную очистку кэша в браузере

При обновлении софта нередко остаются кэшированные данные, которые мешают корректно обрабатывать текущие страницы сайта, из-за чего возникают ошибки с сертификатом.

Чтобы очистить кэш, можно использовать внутренние настройки самого браузера либо универсальную утилиту для очистки системы Android.

Для чистки кеша необходимо:

• зайти в настройки телефона;
• выбрать меню «приложения»;
• найти веб-обозреватель и тапнуть по нему.

В зависимости от операционной системы здесь может возникнуть необходимость зайти в пункт «память». В общем, найдите кнопку «очистить кеш» и смело жмите на нее.

Как отключить предупреждение о сертификате безопасности Android?

Часть 2: 8 способов исправить ошибку сертификата безопасности?

Исправляем ошибку на Андроид смартфоне

Для смартфона советы стандартные, если используется мобильное приложения банка – скачиваем официальную версию в Play Маркет. Ищите приложения для вашего клиент банка, в котором появилась ошибка. После установки заходим в настройки смартфона, ищем «Все приложения», находим «Мобильный банк, Россельхозбанк» и чистим КЕШ программы. Обязательно отключите все VPN соединения на смартфоне или сетевые экраны.

Если ошибка появляется в браузере:

• Проверяем время и дату на устройстве, это основная причина сбоя.
• Чистим кеш в браузере Mozilla Firefix, Google Chrome, Opera.
• Переключитесь с Wi-Fi на мобильный интернет или наоборот.
• Временно отключите антивирусную программу, в них часто сетевой экран встроен и может принять соединение как подозрительное.

В isp manager создал новый существующий сертификат.

В нужные поля вставил сертификат и ключ. Но вот было еще поле цепочка сертификатов, которое я не заполнил.

И еще, как в последствии оказалось, в файле конфигурации (у меня Centos7 поэтому /etc/httpd/conf/vhosts/www-root/site.ru) прописать, чтобы обращение к сайту было по 443 порту. Просто добавить запись ServerName site.ru:443 И все заработало. Спустя как время, после проверки на усройстве с Андройд, во всех браузерах начала появляться ошибка подлинности сертификата и другие ошибки:

• Идентификационные данные этого сайта не проверены
• Сертификат сервера не является доверенным
• Соединение с сервером зашифровано с помощью устаревших наборов шрифтов
• Ваше соединение не защищено
• Владелец неправильно настроил свой веб-сайт
• Злоумышленники могут пытаться похитить ваши данные с сайта
• NET::ERR_CERT_COMMON_NAME_INVALID
• err ssl protocol error на телефоне андроид

И так далее и тому подобное.

Самое интересное, что десктопные компьютеры открывают сайт как положено, а браузеры на Android, в частности Сhrom, Yandex и Opera, выдают ошибку на ssl сертификат.

И снова рубрика «советы атакующим»

К сожалению разработчиков и к счастью пентестеров, и это можно обойти, например, с помощью Frida, только очень аккуратно. Использование Frida и Magisk Hide в неправильном порядке может навредить вашему устройству и работать ничего не будет. Дело в том, что обе программы используют одинаковый процесс zygote64 для внедрения в код запущенного приложения. Их конфликт может сломать обход SSL Pinning, и скрытие root прав, тут-то SafetyNet нас и поймает.

Android прошел огромный путь изменений и улучшений. Система стала в разы более защищенной. Сегодня это уже совсем не «дырявая» система, а сильный конкурент другим мобильным операционным системам, и с ней нужно учиться работать.

Отладка интернет-соединения

Прежде всего стоит использовать альтернативную точку доступа: подключиться к Wi-Fi, если у вас мобильный интернет, или наоборот – отключиться от стационарной точки доступа и использовать сотового оператора.

Попробуйте загрузить другой веб-сайт. Возможно, проблема не в вашем подключении, а в неполадках на стороне провайдера или самого сайта. Если это так, проблему скорее всего уже решают, так как ошибки при соединении в этом случае будут не у вас одного.

Иногда после очередного обновления в работе приложения могут наблюдаться сбои. В этом случае стоит попробовать полностью сбросить сетевые настройки.

• Перейдите в настройки смартфона.
• Найдите меню «сброс и восстановление» (в разных смартфонах оно может находиться либо в самом низу списка настроек, либо в одном из подпунктов).
• В меню «сброс и восстановление» выберите «сброс сетевых настроек».

Как мне получить доверенный сертификат?

Как получить сертификат, подписанный ЦС?

• Купить сертификат.
• Предоставьте запрос на подпись сертификата (CSR). Вы можете получить это из панели управления хостингом, например cPanel.
• Завершите процесс проверки. С сертификатами DV это может быть так же просто, как щелкнуть ссылку в электронном письме с подтверждением.
• Выпей чашку кофе.

Как исправить ошибку сертификата безопасности в Outlook?

• Снимите флажок рядом со сторонними надстройками, которые нужно отключить.
• Перезагрузите Outlook.

19 ночей. 2020 г.

Полное восстановление устройства из бэкапа

Знайте, что иногда восстановить смартфон в первоначальное состояние куда проще, чем искать виновника проблем. Если ничего не помогло и вы решились на кардинальные меры, необходимо:

• перейти в настройки смартфона;
• отыскать пункт «сброс и восстановление»;
• в подпункте выбрать «полный сброс до заводских настроек».

Нетрудно догадаться, что все ваши личные данные будут утеряны безвозвратно. Поэтому рекомендуется использовать резервную копию данных контактов и заметок. Если при первой настройке вы соглашались резервировать свои данные в Google-облако, то после сброса до заводского состояния используйте свой аккаунт для восстановления данных.

Однако это не распространяется на фото, видео и музыкальные файлы, поэтому перед форматированием скопируйте мультимедиа с памяти устройства на свой компьютер.

Антивирус мешает корректной работе в сети

Хоть антивирус и предназначен для поиска уязвимостей в системе и предотвращения несанкционированного доступа в систему, он может блокировать и текущее подключение к сети, выдавая SSL-ошибку. Есть вероятность, что в эту самую минуту он отражает атаку, поэтому ошибке стоит уделить особое внимание и отключиться от текущей сети, особенно если вы используете публичную точку доступа.

Как добавить сертификаты read-only в системные директории?

Добавление пользовательского сертификата в системные означает изменение системных директорий, что запрещено. Обойти это можно лишь получив root-права на телефоне. После этого есть два пути: короткий и приятный vs длинный и немного хардкорный. Начну со второго:

adb root # запуск с правами root

adb remount  # переводит раздел system в режим read-write

adb push cert.0 /system/etc/security/cacerts/  # перенести сертификат с ПК на устройство

Как говорилось выше, существует проверка SafetyNet, которая чутко реагирует на то, скомпрометирован ли телефон. То есть проверяет наличие root-прав. Пентестеру нужно проксировать трафик, то есть нужен доверенный системный сертификат, следовательно, требуются root права. Однако в таком случае не будет проводиться проверка, так как нарушена целостность устройства, а значит и  приложение работать не будет. Есть выход — можно воспользоваться Magisk hide и в Burp поставить игнорирование запросов на Google.

Установка сертификата на Android

На Android корневой и выпускающий сертификаты устанавливаются одинаково, но важно начинать с корневого. Загрузив файл с «Госуслуг», нужно перейти в «Настройки» смартфона и ввести в поиске «Сертификат», далее выбрать параметр «Сертификат CA» (наименования могут немного отличаться в зависимости от модели устройства).

На некоторых смартфонах появляется окно «Укажите название сертификата», там нужно написать «Russian Trusted Root CA» (без кавычек), выбрать пункт «VPN и приложения» и нажать ОК. В случае оповещения системы безопасности нужно нажать «Все равно установить» или «Установить в любом случае».

Далее при необходимости нужно ввести пароль доступа к смартфону и выбрать файл корневого сертификата russian_trusted_root_ca.cer скачанный ранее. После его установки появится оповещение «Сертификат ЦС установлен» и манипуляцию можно будет повторить с выпускающим сертификатом russian_trusted_sub_ca.cer.

Андройд ругается на ssl сертификат.

С этого поста я начинаю свой блог. Писать я особо не умею, но решил написать данный пост т.к. решил актуальную проблему, а в инете решения четкого нет. Искал решение как побороть ошибку подключения ssl на андроид, часа три и все же с миру по нитке насобирал какие-то ответы на свои вопросы, а главное решил задачу.

Итак, у меня была ситуация, когда заказчику надоел свой хостер timeweb (главная причина медленная и тупая тех поддержка) и поставил он на меня задачу найти подходящий сервер для своего интернет магазина на битрикс, главные критерии — быстрота работы и адекватная поддержка . И конечно же все остальное:

• Размер жесткого диска 30Г+
• Тестовый период
• Web сервер apache + nginx – это лучшая связка под битрикс
• Php как модуль apache – лучшая производительность
• Доступ по SSH
• Адекватная техническая поддержка
• Возможность увеличивать CPU, RAM и HDD, без смены тарифа

Выбор пал на ispserver. Заказал обычный виртуальный хостинг, для теста, но как выяснилось, он не подходит для нашего проекта, по тому как для корректной работы битрикс необходимо изменение многих директив и модулей php и самого сервера, а изменить или добавить подобные параметры нет возможности, так как они общие для всех клиентов, по крайней мене так заявил сам хостер.

Попросил для теста Виртуальный выделенный сервер VDS. Как оказалось, после теста — хороший хостинг, подходит по всем параметрам. Настроил сервер под проект, перенес сайт.

Задача осталась за малым — перенести ssl сертификат с таймвеба. Скопировал с сервера все нужные файлы, а именно

• сертификат в формате xxx_a9e57_2bd75_1491868799_c5. 10.crt
• и ключ к нему в формате a9e57_2bd75_2b. 2e.key

Ошибка при проверке SSL сертификата при посещении сайтов

Часто при работе с банковскими системами и сайтами появляются непредвиденные ошибки. Последнее время пользователи столкнулись с проблемой при проверке SSL в Россельхозбанке. Ошибки SSL зачастую возникают не по вине пользователей и проявляются на стороне самого банка или сайта. Давайте разберемся подробнее в причинах сбоя, а так же дадим рекомендации посещать ли сайты при отключенном или просроченном SSL сертификате?

Сам SSl сертификат используется для аутентификации, проверки подлинности сайта и защищенного соединения. Что защищает вас от утечки или перехвата данных. Сайты и приложения для работы с финансовыми операциями ОБЯЗАНЫ иметь действующий сертификат безопасности.

Далее составляем цепочку сертификатов.

В поле «Цепочка сертификатов», при создании сертификата в isp manager (или ispmgr), сначала необходимо вставить сертификаты всех промежуточных центров и в конце главного корневого центра. Обратите особое внимание на то, что один идет сразу после другого с новой строки в порядке того, кем выдавался сертификат и без пробелов. Конечно не забудьте, заполнить поля «Сертификат» и «Приватный ключ»

После сохранения и применения данного сертификата к вашему доменному имени в браузерах под андройд Ваш сайт будет открываться без ошибок, так получилось и у меня. Доволен и я и заказчик. Желаю вам справиться с этой несложной задачей.

Навыки и умения Знание PHP5, MySQL, JS, HTML5, CSS3. Работа с технологиями XML, AJAX, GIT, SOAP Большой опыт взаимодействия с сервером. Работа с 1C-BITRIX FRIMEWORK, BITRIX24

Как мне избавиться от незащищенного сертификата?

Для этого перейдите в свою учетную запись электронной почты и перейдите к дополнительным настройкам. Найдите вариант принятия всех сертификатов и включите его. Это должно сделать ваш сертификат доверенным на вашем устройстве. Если принятие всех сертификатов не помогло, проверьте, обновлена ​​ли ваша операционная система.

Немножко предыстории

Стоит у нас в конторе Citrix XenApp для обеспечения удалённой работы из офиса. Что это за зверь и с чем его едят рассказывать не будем — кому это надо, те давно в курсе.
В этой совместной с записи мы хотим рассказать об установке корневого сертификата и настройке клиентской части — Citrix Receiver для Android.

Установка российского сертификата в Windows

Загрузить сертификат можно с официальной страницы «Госуслуг» в разделе «Поддержка работы сайтов с российскими сертификатами». Для начала нужно выбрать корневой сертификат, загрузить файл russian_trusted_root_ca.cer, открыть его и выбрать «Установить сертификат».

Запустится «Мастер импорта сертификатов». Здесь можно выбрать текущего пользователя, нажать «Далее». При регистрации корневого сертификата нужно установить маркер на «Поместить все сертификаты в следующее хранилище», кликнуть «Обзор» и выделить папку «Доверенные корневые центры сертификации». После этого нажать ОК, «Готово» и одобрить изменения со стороны системы безопасности, если она выдаст оповещение.

Настройка проводится однократно и повторять ее нет необходимости. После установки сертификатов рекомендуется сбросить кеш браузера.

Какие 3 действия доступны для управления сертификатом сервера, которому нельзя доверять?

Управление ненадежными сертификатами

Если сертификат сервера не является доверенным, у вас есть возможность разрешить, передать или заблокировать транзакцию пользователя.

Всегда обновляйте устаревшие приложения

Ошибка SSL-подключения может возникать и при долгом отсутствии обновлений. Связано это с просроченным сертификатом текущей программы, так как действие сертификатов ограничено из целей безопасности.

Чтобы обновить текущий софт на смартфоне, необходимо:

• зайти в меню Play Market;
• выбрать пункт «мои приложения и игры»;
• нажать кнопку «обновить все».

Если вы не желаете обновлять некоторые приложения, всегда можно провести процесс в ручном режиме. Для удобства рекомендуется зайти непосредственно в настройки приложения и отметить галочкой пункт «автоматическое обновление».

Что же за проблемы могли возникнуть?

Для организации такого рода архитектуры удалённого доступа довольно часто используются сертификаты, которые подписаны центрами не входящими в список стандартных. Почему Google такие нехорошие, и не включили в свою ОСь такую простую функцию, (наряду с такой, опять же, нужной функцией, как возможность прописать прокси-сервер) как установка дополнительных корневых сертификатов ЦА, тут мы обсуждать не собираемся.
Первым признаком того, что сервер использует самоподписанный сертификат является то, что, когда Вы открываете, откуда бы то ни было веб-ресурс с помощью, например, браузера Mozilla Firefox, программа выдает сообщение о том, что не может сама принять решение о том доверять ли сертификату для установления защищённого соединения или нет — она предоставляет право выбора Вам.
Если у вас наблюдается такая картина, то эта статья как раз для Вас!

Так что же все-таки надо, чтобы запустить через Citrix Receiver приложения опубликованные на Citrix XanApp вашего предприятия?

В первую очередь, как оказалось, необходимо установить Mozilla Firefox для Android. Очень странно, но ни один другой браузер не передаёт нужный для подключения файл (launch.ica) в программу-клиент. Знаем только то, что с Firefox все работает нормально.

Во вторую очередь нужна сама программа-клиент. Тут на Android Market у нас есть выбор: стабильный Citrix Receiver, либо находящийся на этапе тестирования Citrix Labs Receiver. Второй у нас не захотел принимать сертификат ни в какую, первый же — стабильный, после бессонной ночи таки у нас и заработал.

Вопросом настройки adb мы заморачиваться, опять таки, не стали, так как предпочитаем работать напрямую через файл-менеджеры с системой. В любом случае, в сети довольно много информации по этому поводу (русскоязычный ресурс, на котором больше всего информации такого плана — http://4pda.ru/forum, англоязычный — http://forum.xda-developers.com). В случае, если Вы будете использовать прямой доступ к системным файлам, то нужен файловый менеджер, который умеет использовать root-права (например, Root Explorer).

В-четвертых, нужна машина с любым из популярных Linux-дистрибутивов и установленной Java-машиной от Oracle (мы использовали Ubuntu 10.10 с установленным JRE).

И последнее в списке, но далеко не последнее по значимости — сам корневой сертификат центра сертификации (пусть он будет называться CompanyCA.crt).

Новшества системы

Принятых  мер оказалось недостаточно для защиты от зловредных приложений, поэтому с 2012 года начинается ввод системы проверки загружаемого софта на подозрительное поведение с использованием статических и динамических анализаторов, в результате работы которых выявляются SMS фрод, фишинг.

Из последних новшеств — введение проверки SafetyNet. SafetyNet представляет собой набор API, позволяющий приложениям проверять устройство на предмет компрометации. SafetyNet жизненно необходим банковскому и финансовому ПО: производится проверка оригинальности устройства по серийным номерам, оригинальность прошивки, наличие root прав, контрольные суммы, проверка того, доверенное ли устройство, по его отпечатку.

Проверка была модифицирована, чтобы обеспечить высокую степень надёжности приложения клиента при взаимодействии с сервером, который обслуживает мобильное приложение, и теперь проверяется достоверность переданных данных с помощью специализированного ключа.

Исправляем ошибку SSL на компьютере

При появлении сбоя на компьютере советы примерно те же: чистка кеша браузера. Можно попробовать нажать Ctrl+R , Ctrl+F5 или Ctrl+Shift+R – эти комбинации сработают для Хрома, Мозиллы и Оперы. Далее посмотрите программы которые могут блокировать соединение в частности VPN.

Обязательно следует проверить компьютер на вирусы. Трояны с легкостью могут подменять пути сайта, сертификаты и перехватывать ваши пароли и персональные данные.

Далее смотрим в нижний правый угол экрана на время и дату установленную на компьютере, если сбился месяц или год – сайт воспримет подключение как незащищенное и недействительное, эо сделано для защиты от сторонних атак.

Бывает и другой случай: когда строк действия сертификата заканчивается на самом сайте, тогда ошибка носит временный характер. Компания покупает новый сертификат и сайт в скором времени продолжает работу в нормальном режиме.

SSL ошибки и предупреждения на других сайтах

Часто при серфинге в Интернете, просмотре новостей и страничек вы можете перейти на сайт и увидеть такое окно:

Сертификат безопасности сайта не является доверенным

Это означает что на сайте истёк срок действия защищенного соединения. Либо это просто вирусный сайт с рекламной рассылкой, троянами, червями. Можно перейти на такой сайт, на свой страх и риск. Но тут или система или Антивирус предупреждают вас, делать этого не стоит.

От требований (если они все выполнены) переходим к действию.

Для удобства будем перечислять все по пунктам.

1. Заходим с устройства на Android Market и устанавливаем Firefox.
2. Заходим с устройства на Android Market и устанавливаем Citrix Receiver.
3.1.1 (3.1.х для тех кто предпочитает прямой доступ) С помощью файлового менеджера копируем файл /system/etc/security/cacerts.bks cacerts.bks на карту SD.
3.1.2 Подключаем устройство как накопитель к компьютеру с Linux.
3.1.3 Копируем файл cacerts.bks с корня карточки в вашу домашнюю папку.
3.2.1 (adb) копируем сертификат
$ adb pull /system/etc/security/cacerts.bks cacerts.bks

4. Этот пункт предполагает, что Вы уже установили и настроили JRE 1.6 и прописана переменная окружения JAVA_HOME (в моем случае JAVA_HOME=/usr/lib/jvm/java-6-sun/).
Скачиваем пакет bouncycastle.org/download/bcprov-jdk16-146.jar и кидаем его в папку $JAVA_HOME/jre/lib/ext/
Если у вас установлен JDK, то этот пакет, надо так же закинуть в папку /usr/lib/jvm/java-6-openjdk/jre/lib/ext
wget bouncycastle.org/download/bcprov-jdk16-146.jar
sudo cp bcprov-jdk16-146.jar $JAVA_HOME/jre/lib/ext/bcprov-jdk16-146.jar
# или sudo cp bcprov-jdk16-146.jar /usr/lib/jvm/java-6-sun/jre/lib/ext/bcprov-jdk16-146.jar

5. Кидаем файл сертификата CompanyCA.crt так же в домашнюю папку. Если его у Вас нет, но Вы соглашались принять сертификат при переходе на веб-интерфейс XenApp, то его можно экспортировать из Firefox. Как это сделать — подскажет Google. Можем лишь уточнить, что шифрование нужно X.509 PEM.

7. Открываем консоль и выполняем команду
keytool -keystore cacerts.bks -storetype BKS -provider org.bouncycastle.jce.provider.BouncyCastleProvider -storepass changeit -importcert -trustcacerts -alias CACERT -file CompanyCA.crt

Будьте внимательны — не меняйте параметр -storepass changeit, там действительно такой пароль)

8.1.1 (прямой доступ) Подключаем устройство как накопитель к компьютеру;
8.1.2 Загружаем на карту файл cacerts.bks;
8.1.3 Переносим с помощью менеджера файлов cacerts.bks из папки /sdcard в папку /system/etc/security/, предварительно примонтировав её для записи;
8.2.1 (adb) Монтируем систему для записи:
$ adb shell mount -o remount,rw /system;
8.2.2 Загружаем файл:
$ adb push cacerts.bks /system/etc/security/;
8.2.2 Монтируем систему только для чтения:
$ adb shell mount -o remount,ro /system.

На этом трудная часть пройдена. Осталась пара «финтов ушами».

9. Перезагружаем устройство.

10. Запускаем Firefox и открываем страницу веб-доступа.
Появится приблизительно такая картина:

Тут нам надо нажать на ссылку «Already installed» в верхней части экрана;

11. Выбираем приложение из списка и пробуем запустить;

При подготовке инструкции использовались ресурсы:
http://wiki.cacert.org/ImportRootCert#Android_Phones
http://blog.dest-unreach.be/2010/05/03/installing-an-additional-x-509-root-certificate-on-android
http://bouncycastle.org/
Как бонус — полезная утилита для работы с сертификатами (Java): http://portecle.sourceforge.net

Как исправить ошибку сертификата SSL на Android?

Однако это не имеет большого значения, вот как исправить ошибки SSL-соединения на телефонах Android.

• Начнем с сертификатов SSL / TLS.
• 1.) Исправьте дату и время на вашем устройстве Android.
• 3.) Измените соединение WiFi.
• 4.) Временно отключить антивирус.
• 5.) Сбросьте настройки Android-устройства.

Заключение

Как видим ошибка при проверке SSL Россельхозбанка при использовании сайта и мобильного приложения возникает в нескольких случаях. Следует проверить три вещи: дату на устройстве, включенные VPN программы и заражение вирусами. Тоже касается при посещении сайтов с компьютера или планшета. Напишите в комментариях полезной ли оказалась статья, а так же помогли ли советы приведенные выше в борьбе с ошибкой. Задавайте вопросы и присылайте запросы на помощь – наш портал старается освящать актуальные темы и помогать пользователям простым языком

IT специалист. Автор информационных статей на тему Андроид смартфонов и IOS смартфонов. Эксперт в области решения проблем с компьютерами и программами: установка, настройка, обзоры, советы по безопасности ваших устройств. В свободное время занимается дизайном и разработкой сайтов.