Ошибка при проверке сертификата при подключении к серверу unicredit что это

Это еще одна краткая шпаргалка по решению проблемы, с которой я столкнулся. Как оказалось по итогу это была ошибка проверки корневого сертификата.

Я приведу пример ошибки с сертификатом для системы хранения кода Gitea. Gitea может выступать в качестве репозитория контейнеров. Именно в сценарии использования Gitea в качестве репозитория контейнеров генерировалась ошибка. Точнее это даже не ошибка самой системы Gitea, а скорее ошибка клиента Docker и curl, которые вызваны отсутсвием необходимых корневого и промежуточного ЦС.

Есть wilcard сертификат от GlobalSign. Есть система для хранения и версионирования исходного кода Gitea. Для доступа к веб сервисам Gitea используется wildcard сертификат от GlobalSign. При использовании браузера проблем с сертификатом или доступами нет. Сертификат идентифицируется, как сертификат от доверенного ЦС.

Однако, если попробовать использовать клиент утилиту curl, то генерируется ошибка проверки корневого сертификата:

Еще одна ошибка при попытке авторизоваться в репозитории Docker контейнеров:

docker login code.infoplex.ru

Error response from daemon: Get code.infoplex.ru/v2/: x509: certificate signed by unknown authority

Ошибка воспроизводилась на следующих ОС – Linux Mint 21.1 Cinnamon и Ubuntu Server 22.04.

На RHEL дистрибутивах не проверял.

Ошибка проверки корневого сертификата – решение

По итогу ошибку удалось устранить установкой соответствующего сертификата корневого и промежуточного ЦС на клиентском рабочем месте, т.е. на том рабочем месте с которого вы подключаетесь к репозиторию контейнеров.

Сначала нужно сохранить сертификат корневого ЦС и промежуточного ЦС. Можно использовать любой удобный способ, но я сохраню их через Chrome. Откроем просмотр сведений о сертификате:

Сначала сохраним сертификат корневого ЦС:

Укажем расположение, имя и формат файла:

Аналогичным образом сохраним сертификат промежуточного ЦС:

Импорт сертификата в доверенные (метод 1)

Скопируем сертификаты в директорию ca-certificates:

Запустим обновление списка корневых ЦС:

sudo dpkg-reconfigure ca-certificates

На первой странице мастера подтверждаем вносимые изменения:

Отмечаем новый добавленные сертификаты:

Вы должны увидеть примерно следующий вывод на консоль:

Правда, в моем случае сертификаты уже были добавлены и вывод немного отличается от первоначального. Но вы должны увидеть строчку вида:

2 added, 0 removed; done.

После этого запросы по curl сразу начали работать корректно. Для корректной работы docker пришлось перезапустить службу:

sudo systemctl restart docker

После этого проблем с доступом к Docker репозиторию контейнеров на Gitea не наблюдалось.

Импорт сертификата в доверенные (метод 2)

Есть еще альтернативный способ испорта сертификата в доверенные – полностью через командную строчку.

Как видно из скриншота выше – сертификаты были добавлены в список доверенных центров сертификации.

Решение при использовании Minikube

Если вы используете Minikube, то подход будет немного другой, но в целом поход.

Сначала нужно сохранить сертификат корневого ЦС и промежуточного ЦС аналогично пункту выше.

Затем нужно скопировать сертификаты на машину с Minikube в соответствующую директорию:

А затем на самой машине запустить Minikube с параметром, который “подтягивает” эти сертификаты:

minikube start —embed-certs

При открытии сайтов в браузере иногда возникают ошибки – домен в адресной строке выделяется красным с зачеркиванием или ресурс вообще не открывается. Типовая причина скрывается в сбоях работы сертификата SSL. Исправить их может только администратор сайта, но перед обращением к нему стоит проверить собственный компьютер.

Что такое SSL

Текущие тенденции сайтостроения предполагают высокую безопасность соединения пользователя с веб-ресурсом. Это необходимо для защиты персональных данных, секретных номеров банковских карт и информации о проводимых сделках. Организуется безопасность подключением протокола шифрования Secure Sockets Layer (сокращенно SSL).

• Сертификат выпускается доверенным центром Certification Authority (CA).
• После выдачи он подключается к домену средствами провайдера хостинга.
• Срок его действия ограничен 1 годом, после чего требуется продление.

Работа сайта возможна и без SSL, но поисковые системы «не доверяют» таким ресурсам и помечают их в браузере как неблагонадежные. Поэтому лучше разобраться, как решить проблему с защитой и полноценно пользоваться протоколом HTTPS. Сертификат актуален на сайтах, где присутствует регистрация, предлагается покупка товаров или онлайн-оплата различных сервисов.

Комьюнити теперь в Телеграм

Подпишитесь и будьте в курсе последних IT-новостей

Причины появления ошибок SSL

Существует всего две причины, почему браузер отображает ошибку сертификата SSL со стороны сервера. Первая заключается в окончании срока активации, вторая – это покупка сертификата у поставщика без достаточных полномочий для выдачи «полноценной защиты». Например, виной может быть выбор самоподписанного сертификата, лишь эмулирующего работу реального протокола.

Остальные проблемы обычно скрываются на локальном компьютере:

• Произошел сброс системного времени.
• Неправильно настроена антивирусная программа.
• Сбоит браузер или установленное расширение.
• Срабатывает вредоносный скрипт.

Чтобы выяснить настоящую причину, пользователю браузера рекомендуется проверить все перечисленные факторы. При том же заражении компьютерными вирусами возможно проявление сразу нескольких симптомов – от изменения текущего времени и блокировки антивирусом до подключения перенаправления страниц в браузере и других неприятностей.

Изредка встречаются ситуации, когда проблема возникла со стороны администратора, если он ошибся при подключении нового сертификата или забыл продлить его действие. Обычно такие неполадки устраняются быстро, потому что после активации сайт проверяется и, в случае неработоспособности сертификата, проводится повторное подключение вплоть до получения положительного результата.

Время и дата

Сертификат SSL имеет четко обозначенный срок действия с датой активации и деактивации. Такой подход отчасти дает дополнительную защиту, потому что в случае технического сбоя в системных часах компьютера сайты перестают открываться. Сброс времени обычно происходит «назад», на дату изготовления материнской платы, на что и реагирует система.

Варианты исправления ситуации:

• Вручную внести корректную дату и время, после чего обновить страницу в браузере.
• Воспользоваться функцией синхронизации через интернет, встроенной в Windows.
• Заменить батарейку на памяти BIOS. При первом запуске ПК нужно внести корректные данные.

Каждый раз после изменения времени рекомендуется ручное обновление страницы или перезапуск браузера. Такой шаг активирует повторное соединение с сервером и позволяет зайти на сайт «с нуля», но уже с правильным временем, соответствующим сроку действия сертификата SSL (после активации и до ее завершения).

Настройки антивируса и брандмауэра

Программы для защиты компьютера от вирусов и хакерских атак иногда блокируют и «полезные» соединения, например, определенные домены или сразу весь протокол HTTPS, используемый при подключении сертификата SSL. Большинство антивирусов и брандмауэров проверяют его работу, и это становится причиной блокировки сайта как «злоумышленника, пытающего украсть данные».

• Отключить режим «проверка протокола HTTPS». После этого зайти на сайт заново.
• Полностью выключить антивирусную программу. Перезагрузить ПК, открыть страницу.
• Сбросить настройки брандмауэра. Опять проводится перезапуск компьютера и веб-ресурса.

Функция временного отключения имеется в любой защитной программе, даже интегрированной в операционную систему Windows. Но это не гарантирует полную деактивацию приложения. В этом случае разобраться в ситуации поможет открытие сайта на другом компьютере или запуск безопасного режима (актуально для проводного подключения к интернету).

Браузер и операционная система

Наличие проблемы с браузером проще всего определить открытием сайта на другом устройстве или в другой программе. Иногда решение заключается в банальном обновлении версии приложения до актуальной. То же относится к операционной системе, если используется интегрированный браузер вроде Edge. Пакеты обновлений для того и выпускаются, чтобы устранять неполадки в ПО.

• Полностью очистить историю браузера вместе с кэшем и другими данными.
• Временно отключить все ранее установленные и активные расширения.
• Переустановить программу после ее полной деинсталляции.

Остается еще один вариант – сбросить настройки браузера до состояния «по умолчанию». Способ аналогичен переустановке, но экономит время. Правда, он неэффективен, если проблема возникла из-за сбоя в одном из служебных файлов программы. Отдельное внимание стоит уделить расширению, выполняющему функции антивирусной защиты, ведь оно часто блокирует даже безопасное соединение.

Заражение компьютерными вирусами

• Временно отключить все программы из автозагрузки.
• Провести очистку диска от временных файлов.
• Перезагрузить компьютер после предыдущих шагов.

Выполняются перечисленные действия программами типа CCleaner. Они дают прямой доступ как к автозагрузке операционной системе, так и к списку расширений установленных браузеров. Также в таких программах обычно есть функция удаления ненужных системных файлов, в которых запросто может быть тело компьютерного вируса.

Если предложенные способы устранения ошибки SSL не помогли, остается ждать, пока проблему устранит администратор, или воспользоваться любым другим тематическим сайтом с аналогичным контентом.

Главная / Решение проблем / Ошибка при проверке цепочки сертификатов. Возможно на ваш компьютер не установлены сертификаты УЦ, выдавшего ваш сертификат

Ошибка при проверке цепочки сертификатов. Возможно на ваш компьютер не установлены сертификаты УЦ, выдавшего ваш сертификат

• 7 февраля 2022
• Обновлено 12 сентября 2022

Немного теории о цепочке сертификатов

Чтобы сертификат пользователя имел юридическую значимость он удостоверяется сертификатом удостоверяющего центра, а тот в свою очередь заверяется сертификатом Минкомсвязи России, который является корневым сертификатом. Это называется цепочкой сертификатов.

Чтобы программы «понимали» что сертификату пользователя можно доверять необходимо чтобы корневой сертификат был установлен в хранилище «Доверенные корневые центры сертификации».

Если всё установлено правильно, то вкладка «Путь сертификации» сертификата пользователя выглядит так:

Ошибка проверки цепочки сертификатов

Если в цепочке не хватает корневых сертификатов для проверки доверия к пользовательскому сертификату, то тестовая страница выдаёт ошибку:

Решение проблемы проверки цепочки сертификатов

Самый простой способ решения проблемы — запустить установщик корневых сертификатов. Он установит сертификаты в соответствующие хранилища в автоматическом режиме.

Этот установщик подходит для всех аккредитованных удостоверяющих центров (АУЦ), так как содержит главный сертификат Минкомсвязи России, которым в свою очередь заверяются сертификаты АУЦ.

А опытные пользователи, которые хотят установить сертификаты вручную, смогут без труда найти инструкции по установке корневых сертификатов.