Страница ssl не защищена, так почему?

Предлагаем разобраться со способами устранения подобных ошибок.

Важно убедиться, что веб-сайты, которые вы просматриваете, безопасны. Есть несколько способов проверить это. Один из них – проверить в браузере в адресной строке наличие символа с замком. Но также в браузере может показываться сообщение «Ваше подключение не защищено». Если вы игнорируете сообщения с подобной ошибкой, то вы подвергаете риску свою онлайн-информацию.

Чтобы помочь вам оставаться в безопасности в Интернете, мы объясним причины, по которым на вашем экране может появиться ошибка “Ваше подключение не защищено”, и как ее исправить.

Что такое SSL?

SSL (Secure Socket Layer) — это интернет-протокол для создания зашифрованного соединения между пользователем и сервером, который гарантирует безопасную передачу данных.

Когда пользователь заходит на сайт, браузер запрашивает у сервера информацию о наличии сертификата. Если сертификат установлен, сервер отвечает положительно и отправляет копию SSL-сертификата браузеру. Затем браузер проверяет сертификат, название которого должно совпадать с именем сайта, срок действия сертификата и наличие корневого сертификата, выданного центром сертификации.

Причины возникновения ошибок SSL-соединения

Когда сертификат работает корректно, адресная строка браузера выглядит примерно так:

Но при наличии ошибок она выглядит несколько иначе:

Существует множество причин возникновения таких ошибок. К числу основных можно отнести:

• Некорректную дату и время на устройстве (компьютер, смартфон, планшет и т.д.);
• Ненадежный SSL-сертификат;
• Брандмауэр или антивирус, блокирующие сайт;
• Включенный экспериментальный интернет-протокол QUIC;
• Отсутствие обновлений операционной системы;
• Использование SSL-сертификата устаревшей версии 3.0;
• Появление ошибки «Invalid CSR» при генерации сертификата из панели управления облачного провайдера.

Давайте рассмотрим каждую из них подробнее.

Что такое ошибка SSL-соединения?

Существует несколько различных причин возникновения ошибки SSL-соединения:

• Сертификат отсутствует или срок его действия истек
• Ваш браузер не обновлен
• Ваш антивирус или настройки даты и времени отключены
• Ошибка сервера

Если сообщение вызвано ошибкой на сервере, то вам придется подождать, пока владелец этого сервера не исправит данную ошибку.

Информация о безопасности подключения в Chrome

Поэтому стоит знать дату истечения действия сертификата и вовремя его обновлять. Помогут вам в этом автоматизированные решения типа Let’s Encrypt, AWS Certificate Manager. Также существуют инструменты, которые несколько раз оповещают вас перед окончанием срока действия сертификата. Иногда и вовсе ничего делать не нужно, ведь многие центры сертификации предлагают автоматическое обновление. Если вы все же оказались в ситуации недействительного сертификата, нужно вручную его обновить или приобрести новый. Что именно нужно сделать:

• Выбрать тип сертификата. Большинство центров сертификации предлагает несколько вариантов, покрывающих потребности сайтов разного масштаба. Если вы только обновляете существующий сертификат и не хотите поменять его тип, этот шаг у вас уже выполнен (иногда логично переключиться на более мощный тип сертификата — например, приобрести Wildcard-сертификат, если у вашего сайта появились поддомены). Покупая новый сертификат, внимательно проверяйте авторитетность производителя. Вы можете настроить CAA-запись, чтобы ограничить круг удостоверяющих центров, имеющих право выпускать сертификаты для вашего домена. Среди самых популярных центров сертификации — GlobalSign, Digicert, Sectigo, Thawte.
• Сгенерировать запрос на получение сертификата. После покупки нужно сгенерировать CSR (certificate signing request) у хостинг-провайдера. В результате вы получите файл ключа и сам запрос для загрузки в настройках сертификата.
• Активировать и валидировать сертификат. Далее нужно подтвердить свои права на домен через email, CNAME-запись или подтверждающий файл. Как и в предыдущем процессе, особенности настройки зависят от выбранного провайдера.
• Проверить корректность работы сертификата. После установки сертификата проверьте его с помощью онлайн-инструмента. Например:

Рекомендуем использовать инструменты мониторинга и настраивать напоминания об окончании срока действия — так вам не придется разбираться с последствиями, если срок действия сертификата истечет. Устаревшая версия протокола безопасностиТехнологии шифрования совершенствуются, но и хакерские атаки становятся все изощреннее. Постоянно растущие риски — одна из причин сокращения срока действия SSL-/TLS-сертификатов и обновления протокола. Протокол TLS был представлен как апгрейд SSL (версии 3. 0 на тот момент), поэтому любая версия TLS более безопасна чем SSL. Самый актуальный протокол — TLS 1. 3, выпущенный в 2018 году, — имеет усовершенствованный криптографический алгоритм и позволяет браузеру быстрее подсоединиться к серверу сайта. С 2020 года все основные браузеры не поддерживают устаревшие версии TLS (1. 0 и 1. 1), а значит не пускают пользователей на сайты, использующие эти версии. Важно использовать актуальную версию протокола безопасности и отключать все предыдущие версии. Существует несколько способов проверить, какой протокол у сайта:

После этого свяжитесь со своим хостинг-провайдером, чтоб узнать, как именно подключить актуальную версию протокола. Вам нужно будет указать правильную версию в файле конфигураций сервера. Скажем, ваш сайт размещен на сервере Nginx. Вам нужно отредактировать файл nginx. conf, указав в нем установленную версию TLS. Также удалите из файла все ранее используемые версии, которые признаны устаревшими. Строка конфигурации будет выглядеть так:ssl_protocols TLSv1. 2 TLSv1. 3;Если же окажется, что ваш сайт не поддерживает TLS 1. 2 или 1. 3, стоит обратиться к провайдеру и по возможности сменить тариф (или провайдера). Несоответствие имени сертификатаОшибка неверного имени сертификата вызвана тем, что доменное имя, указанное в SSL-/TLS-сертификате, не соответствует введенному в адресной строке. Пользователи в таком случае не смогут зайти на сайт. Причины несоответствия имени SSL-/TLS-сертификата:

• На сайт заходят через внутреннее доменное имя, не указанное в сертификате. Например, вы вводите в адресную строку vashsajt.localhost, тогда как ваш сертификат содержит только vashsajt.com. Вы можете решить эту проблему с помощью сертификата с альтернативным именем субъекта SAN — такой тип позволяет включать целый ряд имен хостов. Проверяйте наличие сертификатов SAN у разных удостоверяющих центров.
• Хостинг-провайдер сайта использует шаблонные настройки, которые предопределяют SSL/TLS для доменного имени. Чтобы решить эту проблему, нужно связаться с провайдером и узнать, как заменить их сертификат на ваш, или же поменять провайдера.

Устаревший алгоритм шифрованияКогда пользователь заходит на сайт, происходит процесс «рукопожатия»: клиент (браузер) и сервер идентифицируют друг друга, браузер при этом проверяет подлинность SSL-/TLS-сертификата. Набор алгоритмов шифрования очень важен для этого процесса: браузер сообщает, какие комбинации шифров он поддерживает, и сервер выбирает лучшую из подходящих. Если набор алгоритмов шифрования, используемый в конкретном сертификате, недостаточно надежный, браузер выдаст предупреждение об устаревшей криптографии. Набор алгоритмов шифрования состоит из нескольких шифров, отвечающих за разные функции. Перед разработкой TLS 1. 3 самой надежной была такая комбинация:

• Алгоритм для обмена ключами между сервером и браузером (ECDHE)
• Цифровая подпись, удостоверяющая сертификат (ECDSA)
• Шифр для обмена данными (AES-256-GCM)
• Алгоритм для аутентификации сообщений (SHA384)

Если вы обнаружите устаревшие алгоритмы, нужно отключить их в настройках сервера. Кроме того, можно проанализировать рейтинг шифров и указать приоритетный порядок, чтобы браузеры выбирали самый надежный из поддерживаемых в вашем сертификате. Обеспечьте сайту бескомпромиссную защитуПродвигать сайт без заботы о его безопасности не получится. Чтобы защитить свой сайт от кибератак и уязвимости данных, нужен надежный SSL-/TLS-сертификат с самыми актуальными настройками. Мы рекомендуем использовать последнюю версию TLS, поставить напоминания о дате истечения срока действия, подключить самые надежные алгоритмы шифрования и регулярно проверять состояние протокола. Анастасия — контент-маркетолог и редактор в SE Ranking, пишет про SEO, маркетинг и цифровые технологии. Кроме текстов для блога SE Ranking, Анастасия пишет музыку, а также любит старые фильмы и свою собаку.

Проблемы с датой и временем

Если на устройстве установлены некорректные дата и время, ошибка SSL-соединения неизбежна, ведь при проверке сертификата происходит проверка срока его действия. Современные браузеры умеют определять такую ошибку самостоятельно и выводят сообщение о неправильно установленной дате или времени.

Для исправления этой ошибки достаточно установить на устройстве актуальное время. После этого необходимо перезагрузить страницу или браузер.

Ненадежный SSL-сертификат

• Нажимаем сочетание клавиш Win+R и вводим команду certmgr.msc, жмем «Ок». В Windows откроется центр сертификатов.
• Раскрываем список «Доверенные корневые центры сертификации» слева, выбираем папку «Сертификаты», кликаем по ней правой кнопкой мышки и выбираем «Все задачи — импорт».

После вышеперечисленных действий можно перезагрузить устройство и проверить отображение сайта в браузере.

Брандмауэр или антивирус, блокирующие сайт

Некоторые сайты блокируются брандмауэром Windows. Для проверки можно отключить брандмауэр и попробовать зайти на нужный сайт. Если SSL-сертификат начал работать корректно, значит дело в брандмауэре. В браузере Internet Explorer вы можете внести некорректно работающий сайт в список надежных и проблема исчезнет. Однако таким образом вы снизите безопасность своего устройства, так как содержимое сайта может быть небезопасным, а контроль сайта теперь отключен.

Включенный экспериментальный протокол QUIC

QUIC — это новый экспериментальный протокол, который нужен для быстрого подключения к интернету. Основная задача протокола QUIC состоит в поддержке нескольких соединений. Вы можете отключить этот протокол в конфигурации вашего браузера.

Показываем как отключить QUIC на примере браузера Google Chrome:

• Откройте браузер и введите команду chrome://flags/#enable-quic;
• В появившемся окне будет выделен параметр: Experimental QUIC protocol (Экспериментальный протокол QUIC). Под названием этого параметра вы увидите выпадающее меню, в котором нужно выбрать опцию: Disable.

Этот способ работает и в Windows и в Mac OS.

Отсутствие обновлений операционной системы

Проблемы с SSL-сертификатами могут возникать и из-за того, что на вашей операционной системе давно не устанавливались обновлений. Особенно это касается устаревших версий Windows (7, Vista, XP и более ранние). Установите последние обновления и проверьте работу SSL.

Использование SSL-сертификата версии 3

Некоторые сайты используют устаревший SSL-протокол версии 3. 0, который не поддерживают браузеры. По крайней мере, по умолчанию. Чтобы браузер поддерживал устаревший SSL необходимо сделать следующее (на примере браузера Google Chrome):

• Откройте браузер и перейдите в раздел «Настройки».
• Прокрутите страницу настроек вниз и нажмите «Дополнительные».
• В разделе «Система» найдите параметр «Настройки прокси-сервера» и кликните на него.

• Откроется окно. Перейдите на вкладку «Дополнительно».
• В этой вкладке вы увидите чекбокс «SSL 3.0».

Ошибки «Invalid CSR» при генерации сертификата из панели управления облачного провайдера

В процессе активации сертификата можно столкнуться с ошибкой «Invalid CSR». Такая ошибка возникает по следующим причинам:

• В CSR или пароле есть не латинские буквы и цифры. В CSR поддерживаются только латинские буквы и цифры – спецсимволы использовать запрещено. Это правило распространяется и на пароли для пары CSR/RSA: они не должны содержать спецсимволов.
• Неверно указан код страны. Код страны должен быть двухбуквенным ISO 3166-1 кодом (к примеру, RU, US и т.д.). Он указывается в виде двух заглавных букв.
• В управляющей строке не хватает символов. CSR-запрос должен начинаться с управляющей строки ——BEGIN CERTIFICATE REQUEST—— и заканчиваться управляющей строкой ——END CERTIFICATE REQUEST——. С каждой стороны этих строк должно быть по 5 дефисов.
• В конце или начале строки CSR есть пробелы. Пробелы на концах строк в CSR не допускаются.
• Длина ключа меньше 2048 бит. Длина ключа должна быть не менее 2048 бит.
• В CRS-коде для сертификата для одного доменного имени есть SAN-имя. В CSR-коде для сертификата, предназначенного защитить одно доменное имя, не должно быть SAN (Subject Alternative Names). SAN-имена указываются для мультидоменных (UCC) сертификатов.
• При перевыпуске или продлении сертификата изменилось поле Common Name. Это поле не должно меняться.

What is the ‘Insecure content’ issue?

If you recently installed an SSL certificate on your website, you may still run into the issue of receiving the mixed content warning in browsers. Browsers may warn your customers that your website is insecure, causing them to close the page due to this security threat.

Below you can compare how a secure website should look like in different browsers and how it looks like if the mixed content warning is displayed:

Chrome

Firefox

Safari

How do I know if I have insecure content?

• Check the content of your website via this online tool
• In Google Chrome and Firefox browsers, you will need to either press:‘Ctrl+Shift+J’ and then click on ‘Console’ (for Win/Linux) /‘Command+Option+J’ for Mac or in Chrome Menu choose Tools >> Developer Tools Console/ in Firefox menu: Web developer >> Web Console.

How can I fix it?

You can try one of the solutions described below to remove the insecure content warning:

• Please keep in mind that the header should be put into the correct .htaccess file (for the website in question) so that the rule works for the website with the insecure content issue.
• Additionally, in order for the rule to work properly, the header should be in the first line in the mentioned file.

If you didn’t create the site yourself, you will need to contact either your web designer or the company that provided you with the site to get assistance with troubleshooting the issue.

Associated articles

Сообщение с ошибкой «Ваше подключение не защищено» обозначает, что соединение не является безопасным. Это означает, что если вы не используете антивирус или шифрование, ваше устройство может стать «золотой жилой» для хакеров.

Чтобы получить доступ к веб-сайту, ваш браузер должен выполнить проверку цифровых сертификатов, установленных на сервере, чтобы убедиться, что сайт соответствует стандартам конфиденциальности и безопасен для дальнейшего использования. Если Ваш браузер обнаружит что-то неладное с сертификатом, он попытается предотвратить ваш доступ к этому сайту. Именно в этот момент вы увидите сообщение “Ваше подключение не защищено».

Эти сертификаты также называются сертификатами инфраструктуры открытых ключей или удостоверениями личности. Они предоставляют доказательства того, что открываемый сайт действительно является тем сайтом, за который он себя выдает. Цифровые сертификаты помогают защитить вашу личную информацию, пароли и платежную информацию.

Когда ваше соединение не защищено, то обычно это происходит из-за ошибки в сертификате SSL.

Как ошибка «Ваше подключение не защищено» выглядит в разных браузерах

Когда вы получите подобное сообщение об ошибке, оно приведет вас на новую страницу. Некоторые браузеры используют простые сообщения, в то время как другие используют коды и предупреждающие знаки.

Google Chrome

Кроме того, страница будет иметь код ошибки. Вот некоторые из наиболее распространенных:

• NET::ERR_CERT_COMMON_NAME_INVALID
• NET::ERR_CERT_AUTHORITY_INVALID NTE::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED
• NET::ERR_CERT_DATE_INVALID
• NET::ERR_CERT_WEAK_SIGNATURE_ALGORITHM
• ERR_CERT_SYMANTEC_LEGACY
• SSL certificate error
• ERR_SSL_VERSION_OR_CIPHER_MISMATCH.

Mozilla Firefox

Наиболее распространенные коды ошибок, которые вы можете увидеть в Firefox:

• SEC_ERROR_EXPIRED_CERTIFICATE
• SEC_ERROR_EXPIRED_ISSUER_CERTIFICATE
• SEC_ERROR_UNKNOWN_ISSUER.
• SEC_ERROR_OCSP_INVALID_SIGNING_CERT
• MOZILLA_PKIX_ERROR_MITM_DETECTED
• MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED
• SSL_ERROR_BAD_CERT_DOMAIN
• ERROR_SELF_SIGNED_CERT

Если вы – пользователь браузера Safari, то вы получите сообщение на новой странице с фразой о том, что данное соединение не является защищенным, и что открываемый веб-сайт может выдавать себя за тот сайт, к которому вы хотели бы получить доступ, чтобы украсть вашу личную или финансовую информацию.

Microsoft Edge

Если вы используете Microsoft Edge, то вы увидите сообщение, которое выглядит почти идентично сообщению Google Chrome с восклицательным знаком и сообщением “Ваше подключение не защищено». Если сертификат не соответствует домену, к которому вы пытаетесь подключиться, то вы увидите тот же код.

Наиболее распространенные коды ошибок, которые вы можете увидеть в Microsoft Edge:

• NET::ERR_CERT_COMMON_NAME_INVALID
• DLG_FLAGS_INVALID_CA
• DLG_FLAGS_SEC_CERT_CN_INVALID

Как исправить ошибку «Ваше подключение не защищено»

Существует несколько различных способов исправить или обойти это сообщение об ошибке.

Перезагрузите страницу

Конечно, это кажется самым простым решением, но иногда перезагрузка страницы позволяет устранить сбои, связанные с тайм-аутом браузера, Интернет-соединения и т. Попробуйте заново набрать адрес сайта в адресной строке браузера (возможно, ранее была опечатка).

Попробуйте режим инкогнито

Следующее, что вы можете попробовать, это включить режим инкогнито и попытаться получить доступ к тому же веб-сайту. Если веб-сайт действительно имеет проблемы с безопасностью, то он не должен работать, как только вы переключитесь в режим инкогнито, потому что этот режим позволяет просматривать сайт без сохранения истории или кэша. Если браузер по-прежнему говорит «Ваше подключение не защищено», то вы должны попробовать очистить свой кэш.

Чтобы в браузере Chrome открыть вкладку в режиме инкогнито, в правом верхнем углу нажмите на кнопку с тремя точками, после чего в выпадающем меню выберите пункт «Новое окно в режиме инкогнито» (того же самого можно добиться нажатием клавиш Ctrl + Shift+N).

Проверьте дату и время

Дважды проверьте правильность даты и времени на вашем компьютере. Если они не совпадают с браузером, может возникнуть ошибка SSL-соединения.

Как проверить дату и время на Mac

Перейдите в меню Apple в верхнем левом углу экрана

Нажмите на System Preferences

Здесь выберите Date & Time

Проверьте, что дата и время указаны верно

Как проверить дату и время в Windows

Правой кнопкой мыши нажмите на дате и времени в панели задач (как правило, в правом нижнем углу экрана)

В выпадающем меню выберите «Настройка даты и времени»

Очистите кеш и куки в вашем браузере

Во время просмотра веб-страниц ваш компьютер хранит файлы «куки» (cookie), которые собирают данные и занимают много места на жестком диске. Когда ваш компьютер пытается обработать всю эту информацию, он может начать работать медленнее.

Попробуйте зайти в настройки и очистить кеш и куки в вашем браузере. Удаление всей этой информации ускорит ваши соединения.

Обратите внимание, какой используется Wi-Fi

Лучший способ защитить ваши данные при соединениях через публичный Wi-Fi, — это использовать виртуальную частную сеть (VPN). VPN помогает скрыть ваш трафик и защитить вашу онлайн-личность во время обмена зашифрованными данными с удаленным сервером.

Проверьте ваш антивирус или файервол

Если у вас имеется антивирус, установленный на вашем устройстве с Mac или Windows, вы также можете получать сообщение об ошибке, поскольку антивирус или файервол переопределяет вашу сеть. Проверьте наличие этой проблемы, временно отключив функцию сканирования SSL.

Действуйте осторожно

Если вы все еще видите сообщение «Ваше подключение не защищено», но при этом вам необходимо обязательно открыть требуемый сайт, то делайте это с максимальной осторожностью. Ваш браузер показывает вам это сообщение и советует не продолжать по уважительной причине.

Решив продолжить, Вы можете подвергнуть свою личную информацию и платежную информацию риску быть скомпрометированными. Время и деньги, связанные с этим риском, не стоят того.

Если вы выполните наши рекомендации, то сможете исправить или обойти сообщение об ошибке «Ваше подключение не защищено». Помните, что вы получаете это сообщение в результате того, что веб-сайт, к которому вы пытаетесь получить доступ, не считается безопасным. Если вам не удастся устранить проблему, то игнорируя ее, вы, конечно, сможете открыть требуемый сайт и найти то, что вы ищете, но при этом вы также будете рисковать вашей персональной информацией. Существует программное обеспечение, такое как антивирус Panda Dome, которое вы можете использовать для защиты своей цифровой жизни. Ваша онлайн-информация имеет большую ценность, поэтому будьте разумны при поиске в Интернете, чтобы ваша информация не оказалась в чужих руках.

Ошибки браузера и предупреждения

Слишком часто при доступе к веб-сайтам встречаются такие сообщения об ошибках браузера:

Эти сообщения обычно начинаются с жирного заголовка, в котором говорится, что Ваше соединение не является частным or Предупреждение: потенциальная угроза безопасности впереди. Эти сообщения могут расстраивать пользователей и владельцев веб-сайтов, особенно когда владелец приложил усилия для защиты своего веб-сайта с помощью SSL /TLS сертификат. Часто эти ошибки вызваны неправильной конфигурацией сервера, которую легко исправить, если вы знаете основную причину. В этом руководстве мы рассмотрим некоторые распространенные ошибки в конфигурации и связанные с ними сообщения об ошибках в различных веб-браузерах. Для создания этих снимков экрана использовались следующие браузеры:

• Google Chrome 76.0.3809.100 (macOS 10.14.6)
• Firefox 68.0.1 (macOS 10.14.6)
• Edge 44.17763.1.0 (Windows 10 Корпоративная)
• Internet Explorer 11.379.11763.0 (Windows 10 Корпоративная)

Ситуации, которые мы рассмотрим, подробно описаны в содержании ниже.

Сравнить Сертификаты для подписи электронной почты, клиентов и документов от SSL. com по цене всего от 20. 00 долларов в год.

Сертификат с истекшим сроком действия

В этих случаях на сервере установлен сертификат, который истек срок действия и нуждается в замене:

Решение: Продлить сертификат сайта. Конечные пользователи, столкнувшиеся с этой ошибкой, также должны подтвердить, что дата и время установлены на их компьютере правильно.

Доменное имя не соответствует сертификату

В этих случаях веб-сервер представляет сертификат, который не соответствует имени домена, к которому пользователь пытается получить доступ:

Решение: Убедитесь, что распространенное имя и / или альтернативное имя субъекта указанное в сертификате соответствует доменному имени веб-сайта.

Неполная цепь доверия

Если веб-сервер не имеет полного цепь доверия включая все необходимые промежуточные сертификаты, эти ошибки могут привести к:

Решение: Убедитесь, что на вашем сервере установлена ​​полная цепочка сертификатов. Пожалуйста, смотрите наш статья о диагностике и устранении этой проблемы чтобы получить больше информации.

Аннулированный сертификат

Иногда из-за компрометации сервера или проблем с соответствием сертификаты должны быть отозваны до истечения запланированного срока их действия (например, см. серийный номер энтропии выпуск начала 2019 года). Невозможность заменить отозванный сертификат приведет к следующим сообщениям об ошибках:

Решение: создать новый сертификат веб-сайта, связанный с действительным, пользующимся всеобщим доверием корневым и промежуточным сертификатами.