Сертификат Касперского основан на ненадежном корневом центре, так же как и документы, которые следуют за ним

Добрый день! Подскажите по проблеме. Windows Server 2019. Нужно в личном кабинете подписать эцп документ в личном кабинете в одной из систем. Появляется ошибка:

В процессе подписания произошла ошибка -> Возникла ошибка: Не удалось создать подпись из-за ошибки: Цепочка сертификатов обработана, но обработка прервана на корневом сертификате, у которого отсутствует отношение доверия с поставщиком доверия. (0x800B0109)

666666.png

Есть идеи что это может быть ?

Последнее редактирование:

Если вы уверены в безопасности открываемого сайта, например, это официальный сайт Microsoft или сайт вашего банка, который вы регулярно посещаете:

Мы не рекомендуем полностью отключать проверку защищенных соединений, так как это снизит уровень защиты компьютера.

Если сообщение появилось, когда вы открывали неизвестный сайт, вы можете разрешить однократное открытие этого сайта. Инструкция ниже.

Если вы не уверены в безопасности сайта, перед открытием проверьте его через OpenTip.

Работая с криптографическими утилитами (КриптоПро и др.), применяющими инструменты криптозащиты и электронные подписи, пользователи нередко сталкиваются с проблемами создания реквизита электронного документа. Один из частых сбоев – ошибка с кодом 0x800b010a и описанием неисправности «Не удаётся проверить цепочку сертификатов». Возникает проблема при различных условиях, например, в процессе регистрации на сайте госзакупок или применении сгенерированной ЭЦП в подписании документов.

Исправление ошибки «Не удаётся проверить цепочку сертификатов»

Решение проблемы напрямую зависит от причины её возникновения, а потому рассмотрим способы устранения неприятности, эффективные в зависимости от провоцирующего фактора.

Доброе время суток, при открытии некоторых сайтов, КАВ выдает уведомление о переходе на недоверенный сайт (кстати ваш форум КАВ так же относит к таким сайтам), где написано что

«Один или более сертификатов этого сайта недействительны, и мы не можем гарантировать его подлинность. Такое бывает, когда владелец сайта вовремя не обновил свои сертификат или когда сайт поддельный. Посещение таких сайтов делает вас более уязвимым для атак.»

Лаборатория Касперского защитила вас от перехода на этот сайт. Можете закрыть его без риска

Обнаружено: 30.06.2022 12:32:00, и  гиперрсылка: «Показать детали»

Кликнув на эту ссылку открывается открывается почти аналогичный текст, еще добалено про неактуальность сертификатов и опять ссылка Я понимаю риск и хочу перейти на сайт

Кликнув по этой ссылке мы видим окно, с выбором открыть или нет нужный нам сайт.

В общем немного геморойно, что нужно сделать чтобы отказаться от такой проверки недоверенных сайтов на соответствие сертификатов.

Кстати я прикладываю скриншот, где КАВ блокирует переход на ваш форум.

Снимок-1.JPG

Причины конфликта сертификатов

Ошибка связана с некорректным использованием ключей цифровой подписи и сертификатами, поэтому может появляться независимо от веб-ресурса, с которым вы работаете. Столкнуться с уведомлением «Не удаётся построить цепочку сертификатов для доверенного корневого центра. (0x800b010a)» (текст может отличаться, но сути вопроса не меняет) можно по следующим причинам:

  • нет доступа к удостоверяющему центру (УЦ), откуда можно загрузить нужный сертификат;
  • необходимого сертификата нет в хранилище;
  • сертификат отсутствует или недействителен (истёк срок действия);
  • сбой в программе, вызванный неактуальностью компонентов и указывающий на необходимость обновления ПО;
  • нестабильное подключение.
Читать также:  Что должно быть в сертификате о прививках при устройстве на работу

Так, в тексте уведомления об ошибке сообщается причина проблемы – цепочку сертификатов не удаётся построить, поскольку один из них или несколько недоступны (отсутствуют, некорректно установлены или неактуальны).

Ошибка «Не удаётся проверить цепочку сертификатов»

Нормальная работа осуществляется при условии установленных корневого (головного), промежуточного и личного сертификатов. 

Ошибка: «Не удается построить цепочку сертификатов для доверенного корневого центра. (0x800B010A)»  часто возникает в различных приложениях при создании/проверке подписи. Она означает, что у Вас на машине не установлены необходимые промежуточные/корневые сертификаты для проверкисоздания подписи.

Мы проанализировали наиболее частые обращения к нам  и пострались собрать сертификаты самых популярных издателей в один файл, на примере которого ниже показано, как решать ошибку из данной статьи:

Если у Вас на компьютере установлен КриптоПро CSP 5.0

Зайдите Пуск-Все программы-КРИПТО-ПРО- Инструменты КриптоПро

Сертификат Касперского основан на ненадежном корневом центре, так же как и документы, которые следуют за ним

Перейдите на вкладку Сертификаты и выберите вверху раздел «Доверенные корневые центры сертификации»

Сертификат Касперского основан на ненадежном корневом центре, так же как и документы, которые следуют за ним

Выберите кнопку «Установить сертификаты», выберите скачанный ранее файл и нажмите «Открыть»

Если у Вас на компьютере установлен КриптоПро CSP версии ниже 5.0 или Вы не используете графический интерфейс:

Для Windows: выполните в командной строке:

«C:\Program Files\Crypto Pro\CSP\certmgr.exe» -install -cert -store uRoot -file  <путь к файлу> -all

Для Linux/macOS: выполните в командной строке:

/opt/cprocsp/bin/amd64/certmgr » -install -cert -store uRoot -file  <путь к файлу> -all

В редких случаях для построения цепочки данных сертфикатов будет недостаточно, тогда рекомендуем установить промежуточные сертификаты. 

Если Вы используете CSP 5.0 с графическим интерфейсом, то выполните Шаг 2, выбрав хранилище «Промежуточные центры сертификации», используя файл CA.p7s

Если Вы используете КриптоПро CSP версии ниже 5.0 или Вы не используете графический интерфейс, то используйте данные команды:

Для Windows: выполните в командной строке:

«C:\Program Files\Crypto Pro\CSP\certmgr.exe» -install -cert -store uCA -file  <путь к файлу> -all

Для Linux выполните в командной строке:

/opt/cprocsp/bin/amd64/certmgr -install -cert -store uCA -file  <путь к файлу> -all

Для MACOS выполните в командной строке:

/opt/cprocsp/bin/certmgr -install -cert -store uCA -file  <путь к файлу> -all

Списки сертфикатов, содержащихся в файлах root.p7b, ca.p7b:

Касперский считает сайт небезопасным



nitsik


  • Ответить
  • Создать новую тему

Рекомендуемые сообщения

nitsik

nitsik

Здравствуйте. Имеется сайт с установленной VestaCP, который открывается по ip адресу. Сертификат был добавлен в список доверенных в winodws. Однако касперский ругается в хроме. При отключении касперского гугл хром не ругается, все ок. Почему? Спасибо.

Kaspersky security cloud 21.3.10.391 (g)

Остановлен переход на недоверенный сайт

Один или более сертификатов этого сайта недействительны, и мы не можем гарантировать его подлинность. Такое бывает, когда владелец сайта вовремя не обновил сертификат или когда сайт поддельный. Посещение таких сайтов делает вас более уязвимыми для атак.

«Лаборатория Касперского» защитила вас от перехода на этот сайт. Можете закрыть его без риска.


Изменено пользователем nitsik

  • Цитата
Ссылка на сообщение
Поделиться на другие сайты

kmscom

nitsik

nitsik

  • Автор

18 часов назад, kmscom сказал:

адрес доступен в интернете? укажите, если да

Адрес доступен, по причинам безопасности светить не буду. Могу скинуть в личку. Но чтобы воспроизвести проблему, придется добавить сертификат в доверенные.

  • Цитата
Ссылка на сообщение
Поделиться на другие сайты

andrew75

Ссылка на сообщение
Поделиться на другие сайты

nitsik

nitsik

  • Автор

1 минуту назад, andrew75 сказал:

Да, самоподписанный. Сейчас проверил, на данный момент касперский не блокирует. Но есть несколько серверов, и, емнип, периодически такие проблемы возникают по разным урл.

  • Цитата
Ссылка на сообщение
Поделиться на другие сайты

Friend

  • Цитата
Ссылка на сообщение
Поделиться на другие сайты

nitsik

nitsik

  • Автор

23 минуты назад, Friend сказал:

Почему проблема то возникает, то исчезает?

  • Цитата
Ссылка на сообщение
Поделиться на другие сайты

Рекомендуемые сообщения

Исправление сбоя 0x800b010a

При возникновении данной проблемы электронная подпись станет недействительной, и подписать ею файл не получится. Сбой может произойти при различных условиях, от чего будет зависеть вариант решения.

Так как ошибка с кодом 0x800b010a и пояснением «Не удаётся построить цепочку сертификатов для доверенного корневого центра» или другим описанием, например, «Ошибка вычисления подписи», возникает из-за невозможности построения элементов, то основная задача заключается в проверке всех участвующих звеньев и восстановлении цепи. Рассмотрим подробнее, как исправить проблему разными способами, актуальными в том или ином случае.

Проверка сроков

В некоторых случаях проблема спровоцирована истёкшим сроком действия сертификатов. Если вы своевременно не обновили их и не запросили свежие ключи, то решение заключается в просмотре сведений и выборе актуального на текущий момент сертификата. Для этого выбираем из списка нужный и жмём кнопку «Просмотр». Необходимые сведения доступны на вкладке «Общие». При необходимости обновляем, а в случае отсутствия доверия устанавливаем в корректную директорию. Невозможность отслеживания пути до доверенного центра говорит о нарушении общей цепи, вероятно, не установлены промежуточные сертификаты.

Срок действия в КриптоПро

Проверка наличия основного ГУЦ

Если ошибка всё ещё беспокоит, переходим к следующему варианту устранения проблемы. Кроме проверки актуальности ключей, важно также убедиться в наличии основного ключа ПАК, являющегося первым и главным звеном в последовательной цепи сертификатов.

Выполняем пошагово такие манипуляции:

Устанавливая сертификат Головного удостоверяющего центра, следует загрузить его в папку «Доверенные корневые центры сертификации», личный располагаем в каталоге «Личные», а прочие – в «Промежуточные центры сертификации».

Проверка CryptoPro

Если внутренний сбой не был устранён, можно попытаться выполнить переустановку КриптоПРО путём полного удаления софта с компьютера и установки свежей версии:

При работе в тестовом режиме рекомендуем также проверить правильность указанного адреса службы штампов времени (TSP).

В решении проблем с функционированием программы КриптоПРО и прочих продуктов может также помочь поддержка на сайте cryptopro.ru/support.

Присоединяйтесь к обсуждению

  • Похожий контент

    • da_and

       

      При этом сертификат выдан какому то неясному домену в Братске. Эта история с сертификатом непонятна. Что можно с этим сделать?

    • dm85

      День добрый

      Подскажите как добавить самоподписанный сертификат в разрешенные для протоколов imap smtp?

       

      Сообщение от модератора kmscom
      Тема перемещена из раздела Помощь по персональным продуктам
       

    • C-S

    • SayFoxPlease

      Здравствуйте, мы получили информацию, о использовании на одном из наших серверов на которых размещен KSC анонимных ssl шрифтов.

      Нет сомнений в том что, ноги растут именно от ksc так-как в выгрузке светится 17000 порт —  proxy ksn. Нам необходимо отключить анонимные наборы шрифтов к конфигурации сервиса, подскажите как можно это сделать?

    • dimentiy

      Здравствуйте всем! Пользуюсь центрами управления уже давно, еще с 8 версий его и 6 у KES, и вот устанавливая последнюю версию с удивлением обнаружил, что опять нет возможности включения SSL в протоколе SMTP для отправки оповещений. Я не могу понять — это сознательно продолжается или по недосмотру? Может кто-то до сих пор считает, что найти себе бесплатную почту с отправкой по 25 порту — как отнять конфетку у ребенка? Или может для настройки на SSL нужно самому что-то переделывать в возможностях KSC? Но почему у старых и дешевых бесперебойников, сделанных на коленке старого китайца есть возможность настройки на шифрование почты, а у софтового монстра, который каждый год пичкает нужными и не нужными наворотами своё детище — такого нет? Подскажите кто-нибудь? У меня даже МФУ может спокойно почту отправлять, а центр управления антивирусами — не умеет ?

Присоединяйтесь к обсуждению

  • Похожий контент

    • Kaspernoob

      В определенной группе при помощи ksc 13 создаю политику, в которой включаю контроль устройств и запрещаю доступ к съемным носителям. Принимаю политику, она успешно применяется на устройствах в группе, но любое устройство при подключении USB носителя работает в обычном режиме, то есть доступ разрешён. На самом деле в контроле устройств игнорируется любой запрет. Что можно сделать ?

    • website9527633

    • Pardus335

      Добрый день!

      Поделитесь пожалуйста дистрибутивом KSC 13.2, если у кого есть. Надо для проведения бесчеловечных экспериментов, а техподдержку запрашивать некогда.

      Заранее благодарен

    • riomen

      KSC перегружает систему. Выложил скрины настроек политик  и созданных задач. Отключил опрос сети. Агент администрирования собирает информацию о реестре оборудования и установленных программах. Не стал отключать. По поводу расписания поиска вирусов и обновлений в созданной задаче. Поиск вирусов и обновлений выполняется сутками.  Как останавливать задачу,например в 8 утра с помощью определенных настроек. Во вкладке «Управление программами» —>»обновление программного обеспечения» около 3500 тысяч записей. Где задается этот опрос обновлений Microsoft и как его отключить? Сервера и ПК процентов на 70 антиквар. Поэтому приходиться подстраиваться ювелирным  методом.

    • riomen

      В закрытой сети все ясно и просто. Создается диапазон IP,группы. Как быть с устройствами, использующие  ViPNet. Устройства цепляются к серверу KSC. Идентифицировать можно такие устройства только по IP адресам, не входящим не в один из созданных диапазонов. Может просто переносить эти устройства в определенную группу или необходимо создавать некую точку распространения?

Переход на домен с недоверенным сертификатом


MK11

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *