Сведения об отзыве сертификата безопасности для этого сайта недоступны вы хотите продолжить

Интернет является незаменимой частью нашей повседневной жизни, но, к сожалению, некоторые пользователи Windows 10 сообщают о проблемах при доступе к определенным веб-сайтам.

По их словам, они получают сообщение Существует проблема с сообщением сертификата безопасности этого веб-сайта в их браузере, поэтому давайте посмотрим, как решить эту проблему.

Прежде чем мы начнем, мы должны упомянуть, что эта проблема может затронуть практически любой браузер, поэтому даже если вы смените браузер, вы все равно столкнетесь с этой проблемой.

Это может быть неприятной проблемой, но, к счастью, есть исправление.

Не могу разобраться в проблеме. В детском саду через есть сеть из нескольких компьютеров. На 3-х из них (смотрел только три) перестал нормально работать https — постоянно сообщает, что соединение не доверенное на всех браузерах под windows 7.

В опере выдаёт такое сообщение — Проблема безопасности — Цепочка сертификатов сервера не полная, и подписанты не зарегистрированы. Принять? (имя сервера — mail.yandex.ru, потом — www.tns-counter.ru и ещё несколько.)

После принятия сертификатов страница авторизации яндекса открывается. В мозиле или хроме открывается в каком-то ущербном виде, как будто включается текстовый режим (т.е. не грузятся картинки и оформления).

На компьютере заведующей всё работает нормально, но у неё DNS прописан — гугловский — 8.8.8.8 уже пару месяцев. На одном из компьютеров попробовал этот же днс — не помогло.

Особенность подключения к интернету: В целях ограничения  детей (хоть они и не работают за компьютерами) от плохих сайтов управлением образования был предоставлен сервис фильтрации путём указания DNS адресов. Если сайт плохой — переадресовывалось на страницу с сообщением о неблагонадёжности сайта. На адсл-роутере в фаерволе я настроил правило — разрешать днс запросы (53 порт UDP) только на эти два сервера. Не открывался даже сервис «картинки» в яндексе. Пару месяцев назад для заведующей я настроил правило-исключение — разрешать любые ДНС-запросы. Выяснилось, что ютуб, картинки в яндексе заработали, но часть сайтов всё равно блокируется — видимо это уже провайдера как-то приобщили к этой теме.

Надо будет проверить следующее — подключить 4g-модем к этому компьютеру и проверить (вчера эта мысль не пришла в голову). А больше мыслей нет.

Заранее благодарю за помощь!

Сведения об отзыве сертификата безопасности для этого сайта недоступны вы хотите продолжить

Всем даровчик! Вот какое дело, значит запускаю я свой компик, а тут такое.. короче мне сообщение выдается, какое-то предупреждение системы безопасности и там еще написано, что какие-то там сведения об отзывы сертификата безопасности для этого сайта недоступны.. в общем ребята, непонятная штуковина какая-то.

И самое что интересное, ну как оказалось, то это сообщение выскочило не одно. Потом посмотрел в диспетчер и там бац вижу что их тут много, гляньте:

Сведения об отзыве сертификата безопасности для этого сайта недоступны вы хотите продолжить

Сведения об отзыве сертификата безопасности для этого сайта недоступны вы хотите продолжить

И потом опачки, оказывается за этими сообщениями стоит процесс Adobe Desktop Service.exe:

Сведения об отзыве сертификата безопасности для этого сайта недоступны вы хотите продолжить

Потом я проверил — все эти окошки были у меня запущены именно от процесса Adobe Desktop Service.exe, то есть это в нем все дело. Но что это за процесс? Узнал, что живет он в этой папке:

C:Program Files (x86)Common FilesAdobeAdobe Desktop CommonADS

Сведения об отзыве сертификата безопасности для этого сайта недоступны вы хотите продолжить

В общем что можно сказать? Первое дело ребята, это узнайте от какого процесса выскакивает это сообщение. Ну а второе — это мы сейчас разберемся что вообще означает это сообщение.

Кстати ребята вот как выглядит сама ошибка, ну то есть предупреждение, смотрите:

Сведения об отзыве сертификата безопасности для этого сайта недоступны вы хотите продолжить

И если тут нажать кнопку Просмотр сертификата, то появится такое окошко:

Сведения об отзыве сертификата безопасности для этого сайта недоступны вы хотите продолжить

Как видим, что там где Кому выдан, там написан какой-то адрес, но в нем есть упоминание Adobe. Это я к тому что это вряд ли вирус какой-то. Скорее всего глюк, какой-то косяк.. У меня есть одна мысль, может это все связано с.. браузером Internet Explorer, а вернее с тем, что его обьект встроен в прогу какую-то от Adobe (такое может быть спокойно) и вот эта прога в этом обьекте загружает какой-то сайт, у которого траблы с сертификатом.. ну и выскакивает такое предупреждение.. это мои мысли ребята.

Вот блин, пишу-пишу, а самое главное не написал! В принципе эта ошибка не особо опасная, если при этом все работает нормально. Тот чел, ну что тему создал на форуме League of Legends, то он тоже пишет, что ему тупо интересно просто что за предупреждение и все, как я понял то у него все работает нормалек при этом

Сведения об отзыве сертификата безопасности для этого сайта недоступны вы хотите продолжить

Еще вот читаю, что может быть трабла во времени на компе — если у вас оно неправильное, то в браузерах могут быть сообщения, связанные с сертификатом безопасности.

На этом все ребята, надеюсь кому-то инфа помогла. Удачи вам и чтобы все у вас было хорошо!

Сведения об отзыве сертификата безопасности для этого сайта недоступны вы хотите продолжить

После перевода на российские TLS-сертификаты основной сайт «Сбера» (sberbank.ru) открывается по http или блокируется иностранными браузерами как небезопасное подключение на ПК и смартфонах без установленного сертификата Russian Trusted Root CA в системе. В «Яндекс Браузере» или в браузере «Атом» сайт «Сбера» открывается в защищённом режиме по https.

Сведения об отзыве сертификата безопасности для этого сайта недоступны вы хотите продолжить

Ошибка при попытке открыть сайт «Сбера» в Chrome.

26 сентября «Сбер» сообщил, что основной сайт финансовой организации (sberbank.ru) переводится на российские TLS-сертификаты.

Сведения об отзыве сертификата безопасности для этого сайта недоступны вы хотите продолжить

«Сбер» предупредил, что пользователи, которые пока не установили российские TLS-сертификаты, могут столкнуться с предупреждением о небезопасности сайта «Сбера» или его блокировкой браузером.

«Переход сайтов, рабочих ресурсов и систем „Сбера“ на отечественные TLS-сертификаты обеспечит нам независимость от зарубежных удостоверяющих центров и гарантирует безопасный доступ пользователям.

Проверить, есть ли на вашем устройстве необходимые сертификаты, можно здесь.

— сообщили в «Сбере»

Представители отрасли считают, это произошло из-за того, что регистратор и провайдер GlobalSign по причине наложенных на «Сбер» санкций отказывается продлевать с компанией ранее заключённые договоры, а бесплатные сертификаты Let’s Encrypt внутри «Сбера» запрещены по внутренним политикам безопасности компании.

Сведения об отзыве сертификата безопасности для этого сайта недоступны вы хотите продолжить

Эксперты «Роскомсвободы» считают, что установка российских TLS-сертификатов создаёт серьёзную угрозу пользователям, так как они не признаются ни одним современным иностранным браузером, а их установка в системе открывает «окно» для утечки данных и слежки за действиями пользователей в сети. Подобное уже было в Казахстане, но разработчики иностранных браузеров заблокировали такие попытки.

Сведения об отзыве сертификата безопасности для этого сайта недоступны вы хотите продолжить

По их мнению, единственный способ обезопасить себя в этой ситуации — это установить «Яндекс Браузер» на отдельный смартфон, чтобы пользоваться им только для действий на российских сайтах. Этот же смартфон можно использовать для мобильного банкинга, если приложения «Сбера» перестанут работать штатно. Хотя «Сбер» заверяет, что его мобильные приложения уже имеют встроенные российские сертификаты.

19 сентября Минцифры сообщило, что на портале «Госуслуги» опубликованы инструкции по установке российских сертификатов безопасности на устройства пользователей. Такие сертификаты обеспечат доступность российских сайтов в любом браузере пользователям всех операционных систем (сертификат Russian Trusted Root CA).

Сведения об отзыве сертификата безопасности для этого сайта недоступны вы хотите продолжить

17 сентября «Сбер» пояснил, что скоро только российские сертификаты обеспечат защищённый доступ к сайтам и онлайн-сервисам «Сбера» с любых устройств пользователей. Для этого нужно или использовать браузеры с поддержкой российских сертификатов («Яндекс Браузер» или «Атом») или установить сертификаты для своей операционной системы.

«Сбер» предупредил, что скоро большинство сайтов в рунете перейдут на российские TLS-сертификаты и пользователям всё равно придётся выбирать: установить корневой сертификат Russian Trusted Root CA или использовать «Яндекс Браузер».

Национальный удостоверяющий центр выдаёт сертификаты на домены только тех организаций, которые явно это запросили. Полный список этих доменов публично доступен по адресу www.gosuslugi.ru/tls.

Команда «Яндекс Браузера» ранее рассказала, что применяет национальные сертификаты не для всего рунета, а только на тех сайтах, которые есть в списке на www.gosuslugi.ru/tls. Попытка применить сертификат на других доменах приведёт к стандартной ошибке и недоступности сайта для пользователя.

Национальные сертификаты используют общепринятую открытую криптографию и работают по стандартным правилам (это обычный RSA с длинным ключом, ровно такой же, какой выписывают другие центры сертификации).

15 сентября Минцифры и «Сбер» сообщили, что онлайн-сервисы «Сбера» через несколько дней начнут переход на российские TLS-сертификаты. Фактически это означает, что облачные сервисы «Сбера» будут полноценно работать только в «Яндекс Браузере» и браузере «Атом» от VK. Также можно установить в системе сертификат Национального удостоверяющего центра Минцифры России — Russian Trusted Root CA.cer.

В марте 2022 года в условиях противодействия санкционной политике Минцифры организовало на базе НУЦ с использованием ЕПГУ выпуск для российских юридических лиц сертификатов безопасности (TLS-сертификатов) для сайтов. TLS-сертификаты необходимы для подтверждения легитимности сайтов и шифрования сетевого трафика между сайтом и браузером пользователя по протоколу HTTPS. Любое юридическое лицо или орган государственной власти может бесплатно получить один или несколько TLS-сертификатов и встроить их в свои информационные ресурсы. Получить сертификат можно через портал «Госуслуги».

В мае 2022 года пользователь Хабра ifap заметил, что Минцифры не имеет соответствующих полномочий по выдаче сертификата, а у якобы создавшего его НУЦ НИИ «Восход» прекращена аккредитация собственного УЦ.

Для ознакомления с проблемой установки и работой корневого сертификата Russian Trusted Root CA есть пять публикаций на Хабре по этой ситуации:

1. «Суверенный, сувенирный, самопровозглашенный».
2. «Импортозамещение центров сертификации».
3. Про поддержку Certificate Transparency для национальных сертификатов.
4. Про поддержку сайтов с национальными сертификатами в «Яндекс Браузере».
5. Apple, Google, Microsoft, Mozilla и Opera заблокировали в своих браузерах MITM-сертификат Казахстана.

С тем, как это работает у «Яндекса», можно ознакомиться на GitHub. Сертификат хранится в собственном хранилище, но похоже был добавлен только в Windows сборку браузера.

Пояснение №1 от «Сбера» по этой ситуации: Мы первые в стране начали перевод своих сайтов на российские сертификаты удостоверяющих центров. Почему это важно? Чтобы вы никогда не потеряли доступ к личному кабинету и другим сервисам «Сбера». Объясняем. Сайты должны иметь сертификат удостоверяющего центра, чтобы гарантировать пользователем бесперебойный и безопасный доступ. Раньше такие «документы» выдавали только иностранные компании, но недавно появилась возможность установить сертификат, созданный Минцифры РФ.

Читать также:  На сколько дают сертификат от коронавируса после болезни в 2022 году

Пояснение №2 от «Сбера» по этой ситуации для Хабра: При установке сертификатов безопасности Национального удостоверяющего центра (НУЦ) Минцифры на устройства пользователей сервисы и ресурсы «Сбера» будут доступны в различных, в том числе наиболее популярных браузерах (Safari, Google Chrome, EDGE, Firefox и др.) на различных операционных системах, что подтверждается заранее проведённым тестированием «Сбера».

Пояснение Минцифры по этой ситуации: В марте зарубежные компании начали отзывать сертификаты безопасности у российских сайтов. При попытке зайти на сайт пользователи видели предупреждение о небезопасности ресурса. Переход на российские TLS-сертификаты обеспечит независимость от зарубежных удостоверяющих центров и гарантирует пользователям безопасный доступ ко всем ресурсам.

Поддельные сертификаты

Если мы говорим об отзыве сертификатов, то должны рассмотреть тему их подделки. Если некто пытается скомпрометировать CA или как-то ещё получить сертификат, который ему не положен, то как он будет действовать? Если я прямо сейчас взломаю CA и получу сертификат на ваш сайт, то вы не узнаете об этом до тех пор, пока об этом не сообщат в новостях. У вас в компании даже может быть инсайдер, который получит сертификат в обход внутренних процедур, и он будет делать с ним всё что захочет. Нам нужна стопроцентная прозрачность, и скоро мы её получим. Это Certificate Transparency.

Полный сбой

Выше я говорил о CRL и OCSP, двух механизмах проверки сертификатов браузером, и они выглядят таким образом.

Сведения об отзыве сертификата безопасности для этого сайта недоступны вы хотите продолжить

После получения сертификата браузер обратится к одному из этих сервисов и отправит запрос для окончательного выяснения статуса сертификата. А что, если у вашего CA плохой день и его инфраструктура в офлайне? Что, если ситуация выглядит так?

Сведения об отзыве сертификата безопасности для этого сайта недоступны вы хотите продолжить

Исправлена ​​ошибка с сертификатом безопасности этого сайта.

Многие пользователи сообщили, что они не могут получить доступ к своим любимым веб-сайтам из-за ошибки с сертификатом безопасности этого веб-сайта . Говоря об этой проблеме, вот некоторые из наиболее распространенных проблем, о которых сообщили пользователи:

  • Проблема с сертификатом безопасности этого веб-сайта. Нет возможности продолжить, обходить каждый веб-сайт, код ошибки 8 . С сертификатом безопасности веб-сайта может возникнуть множество проблем. Тем не менее, вы сможете решить большинство из этих проблем с помощью одного из наших решений.
  • Существует проблема с сертификатом безопасности этого веб-сайта IE11, Microsoft Edge, Firefox, Google Chrome . Эта проблема может затронуть практически любой веб-браузер, и в этом случае попробуйте сбросить настройки браузера по умолчанию. и очистка кеша.
  • Возникла проблема с сертификатом безопасности этого веб-сайта Центра обновления Windows . Многие пользователи сообщали об этой ошибке после установки нового Центра обновления Windows. Иногда обновления могут вызывать определенные проблемы, и для их устранения необходимо удалить и заблокировать проблемное обновление.
  • Есть проблема с сертификатом безопасности этого сайта. Kaspersky, Avast . Ваш антивирус является одной из наиболее распространенных причин этой проблемы, и для ее устранения рекомендуется настроить параметры антивируса. Если это не сработает, возможно, вам придется переключиться на другое антивирусное решение.

Решение 1. Проверьте время и дату на вашем компьютере

Одна из наиболее распространенных причин появления сообщения об ошибке сертификата безопасности этого веб-сайта – неправильные системные часы.

Иногда ваше время и дата могут меняться без вашего ведома, и это может привести к тому, что возникла проблема с сообщением сертификата безопасности этого сайта при попытке доступа к определенным сайтам.

Чтобы решить эту проблему, вам нужно сделать следующее:

  • Нажмите на значок часов в правом нижнем углу и выберите Настроить дату/время .
  • Проверьте свое время и дату. Если по какой-либо причине ваше время и дата не верны, вам нужно Отключить автоматическую настройку времени , а затем нажать кнопку Изменить .
  • Установите время и дату и нажмите Изменить .
  • После этого проверьте, решена ли проблема. Если проблема устранена, включите параметр Установить время автоматически .

Неверные часы в Windows 10? Вот полное руководство по устранению этой проблемы!

Решение 2 – Установить сертификаты

Если вы используете Internet Explorer, вы можете установить недостающие сертификаты, выполнив следующие действия:

  • Когда появится сообщение об ошибке, нажмите Перейти на этот сайт (не рекомендуется) . Вы должны увидеть красную адресную строку вместе с предупреждением сертификата.
  • Нажмите кнопку Ошибка сертификата , чтобы открыть информационное окно.
  • Нажмите Просмотреть сертификаты , затем нажмите Установить сертификат и следуйте инструкциям.
  • Если появится предупреждение, нажмите Да .

Мы должны предупредить вас, что вы должны устанавливать сертификаты только с тех сайтов, которым доверяете. Если вы подозреваете, что веб-сайт, к которому вы пытаетесь получить доступ, является вредоносным, не устанавливайте его сертификат.

Кроме того, всегда целесообразно проверить сертификат веб-сайта, к которому вы пытаетесь получить доступ. Для этого выполните следующие действия:

  • Нажмите значок замка рядом с именем веб-сайта и выберите Просмотреть сертификаты .
  • Откроется окно информации о сертификате. Проверьте, соответствует ли выданный в поле веб-сайту, который вы пытаетесь посетить.Кроме того, проверьте пункт «Выдано по разделам», чтобы подтвердить, что сертификат был подписан действующей охранной компанией.

Решение 3 – Отключить предупреждение о несоответствии адреса сертификата

Иногда вы можете получить сертификат безопасности, представленный этим веб-сайтом, который был выпущен для сообщения об ошибке адреса другого веб-сайта , и чтобы исправить это, необходимо отключить параметр несоответствия адреса сертификата, выполнив следующие действия:

  • Нажмите Windows Key + S и введите Свойства обозревателя . Выберите в меню Свойства обозревателя .
  • Перейдите на вкладку Дополнительно . Прокрутите вниз до раздела Безопасность , найдите параметр Предупредить о несоответствии адреса сертификата и снимите флажок .
  • Нажмите Применить , ОК и перезагрузите компьютер.

Решение 4 – Проверьте свой антивирус

Если вы получаете Возникла проблема с сообщением сертификата безопасности этого веб-сайта на вашем компьютере, возможно, причиной является ваш антивирус.

Антивирусные инструменты могут иногда мешать работе вашего веб-браузера и вызывать появление этой и других ошибок.

Однако вы можете решить проблему в большинстве случаев, просто изменив настройки антивируса. Иногда один параметр может помешать вашему браузеру и вызвать эту проблему.

Если это не работает, вы можете решить проблему, просто временно отключив антивирус.

В случае, если это не сработает, вам, возможно, придется удалить антивирус. После удаления антивируса проверьте, сохраняется ли проблема. Если нет, вам следует подумать о переходе на другое антивирусное решение.

На рынке есть много отличных антивирусных инструментов, но Bitdefender , BullGuard и Panda Antivirus выделяются среди остальных, поэтому обязательно попробуйте любой из них.

Решение 5. Отключите TLS 1. 0, TLS 1. 1 и TLS 1.

По словам пользователей, иногда из-за ваших настроек возникает проблема с сообщением сертификата безопасности этого сайта . Если вы столкнулись с этой проблемой, проблема может быть связана с функцией TLS.

Чтобы решить эту проблему, некоторые пользователи рекомендуют отключить эту функцию. Для этого выполните следующие действия:

  • Откройте Интернет Параметры и перейдите на вкладку Дополнительно . Чтобы узнать, как это сделать, обратитесь к Решению 3 для получения подробных инструкций.
  • Найдите Используйте TLS 1.0 , Используйте TLS 1.1 и Используйте TLS 1.2 и снимите их. Теперь нажмите Применить и ОК , чтобы сохранить изменения.

После этого перезапустите браузер и проверьте, решена ли проблема.

Решение 6 – Изменить настройки доверенных сайтов

По словам пользователей, чтобы исправить проблему с сертификатом безопасности этого веб-сайта , вам нужно изменить настройки доверенных сайтов на своем ПК.

Это довольно просто, и вы можете сделать это, выполнив следующие действия:

  • Откройте Свойства обозревателя и перейдите на вкладку Безопасность . Теперь выберите Надежные сайты и нажмите кнопку Сайты .
  • Сохраните изменения и проверьте, решена ли проблема.

Это простое решение, и несколько пользователей сообщили, что оно работает, поэтому не стесняйтесь попробовать его.

Решение 7 – Удалить проблемное обновление

Если вы получаете сообщение Возникла проблема с сертификатом безопасности этого веб-сайта , возможно, это недавнее обновление Windows.

Если вы заметили, что эта проблема начала появляться после обновления, вам нужно найти и удалить это обновление с вашего ПК. Это относительно просто, и вы можете сделать это, выполнив следующие действия:

  • Нажмите Ключ Windows + I , чтобы открыть приложение Настройки .
  • Когда откроется Приложение настроек , перейдите в раздел Обновление и безопасность .
  • Теперь нажмите Просмотреть установленную историю обновлений .
  • Список последних обновлений появится. Запомните или запишите пару последних обновлений. Теперь нажмите Удалить обновления .
  • Найдите последнее обновление в списке и дважды щелкните его, чтобы удалить.

После удаления обновления проверьте, устранена ли проблема. Если проблема не появляется снова, это означает, что обновление вызвало ее.

Имейте в виду, что Windows 10 имеет тенденцию устанавливать недостающие обновления без вашего ведома.

Чтобы предотвратить повторение этой проблемы, рекомендуется запретить Windows автоматически устанавливать обновления.

Как только обновление заблокировано от установки, проблема больше не будет появляться.

Решение 8 – Изменить параметры отзыва сервера

Иногда из-за настроек Интернета может появиться сообщение Возникла проблема с сообщением сертификата безопасности этого сайта . Чтобы решить эту проблему, предлагается изменить параметры отзыва вашего сервера.

  • Откройте окно Свойства обозревателя .
  • Перейдите на вкладку Дополнительно и в разделе Безопасность отключите Проверка отзыва сертификата издателя и Проверка отзыва сертификата сервера . Теперь нажмите Применить и ОК , чтобы сохранить изменения.

После внесения этих изменений перезагрузите компьютер и проверьте, устраняет ли это проблему.

Решение 9. Сбросьте настройки браузера по умолчанию

Проблема с сертификатом безопасности этого веб-сайта . Сообщение может появиться в любом браузере и может быть вызвано настройками браузера. Чтобы решить эту проблему, обязательно сбросьте настройки браузера по умолчанию.

Сделав это, вы удалите кеш, установленные расширения и восстановите настройки по умолчанию.

Процесс сброса более или менее одинаков во всех браузерах, поэтому обязательно перезагрузите все браузеры, которые вы используете на вашем компьютере. После перезагрузки браузера проблема должна быть решена.

Читать также:  Обучение психокинезиологии

Сертификаты довольно важны, потому что они используются для шифрования ваших данных и защиты их от злонамеренных пользователей.

Если вы получаете сообщение об ошибке Возникла проблема с сертификатом безопасности этого веб-сайта при просмотре веб-страниц, обязательно попробуйте одно из наших решений.

Примечание редактора . Этот пост был первоначально опубликован в мае 2016 года и с тех пор был полностью переработан и обновлен для обеспечения свежести, точности и полноты.

Certificate Transparency

Сведения об отзыве сертификата безопасности для этого сайта недоступны вы хотите продолжить

Списки отозванных сертификатов

Сведения об отзыве сертификата безопасности для этого сайта недоступны вы хотите продолжить

Проблема CRL в том, что списки содержат много сертификатов от конкретных центров сертификации. Не вдаваясь в излишние детали, они разбиваются на промежуточные сертификаты CA, а центр сертификации может выдавать списки меньшими частями, но проблема остаётся той же. У списка CRL немалый размер. Другая проблема в том, что у клиента нет свежей копии CRL, ему нужно запросить её при первоначальном подключении к сайту, что может сделать всю процедуру заметно медленнее. Всё это выглядит не очень приятно, так что посмотрим на OCSP.

OCSP Must-Staple

Чтобы объяснить, что такое OCSP Must-Staple, нужно сначала вкратце разобраться, что такое OCSP Stapling. Я не хочу здесь вдаваться в лишние подробности, вы можете получить всестороннюю информацию из моего блога по OCSP Stapling, но вот суть. OCSP Stapling избавляет браузер от необходимости отправлять запрос OCSP, выдавая ответ OCSP вместе с самим сертификатом. Это называется OCSP Stapling, потому что сервер должен «скрепить» (staple) ответ OCSP с сертификатом и выдать их вместе.

Сведения об отзыве сертификата безопасности для этого сайта недоступны вы хотите продолжить

На первый взгляд это кажется немного странным, потому что сервер как будто «сам удостоверяет» собственный сертификат как неотозванный, но всё работает правильно. Ответ OCSP действует только короткий промежуток времени и подписан CA точно так же, как сертификат. Так что если браузер может удостовериться, что сертификат подписан CA, то точно так он может удостовериться, что ответ OCSP тоже подписан этим CA. Это устраняет большую проблему приватности и избавляет клиента от бремени выполнять внешний запрос. Лучший вариант! Но на самом деле не лучший, извините. OCSP Stapling — отличная вещь, и все мы должны поддерживать эту технологию на своих сайтах, но действительно ли мы думаем, что её будет поддерживать злоумышленник? Нет, я так не думаю, конечно же он не будет этого делать. Что нам на самом деле нужно — так это заставить сервер поддерживать OCSP Stapling, и вот для чего нужен OCSP Must-Staple. При запросе нашего сертификата у CA мы просим его установить на нём флаг OCSP Must-Staple. Этот флаг указывает браузеру, что сертификат должен поставляться с откликом OCSP или он будет отвергнут. Установить флаг легко.

Сведения об отзыве сертификата безопасности для этого сайта недоступны вы хотите продолжить

После установки этого флага мы должны гарантировать, что используется OCSP Staple, иначе браузер отвергнет сертификат. В случае компрометации, если злоумышленник получит наш ключ, ему также придётся использовать OCSP Staple вместе с нашим сертификатом, а если он не включит OCSP Staple, то ответ OCSP скажет, что сертификат отозван, и браузер его не примет. Тада!

Сведения об отзыве сертификата безопасности для этого сайта недоступны вы хотите продолжить

Мы сейчас видим настоящую золотую лихорадку вокруг сертификатов, поскольку всё больше сайтов внедряют HTTPS. Кроме очевидных преимуществ безопасности и приватности, есть и другие выгоды от внедрения защищённых соединений, которые я перечислил в статье «Вы всё ещё думаете, что вам не нужен HTTPS?». Обычно именуемые «SSL-сертификаты» или «HTTPS-сертификаты» разлетаются со скоростью, которой мы никогда не видели в истории интернета. Каждый день я исследую сайты из первого миллиона по посещаемости и анализирую различные аспекты их безопасности, а каждые 6 месяцев публикую отчёт. Вы можете изучить эти отчёты здесь, но сейчас посмотрим на темпы внедрения HTTPS.

Сведения об отзыве сертификата безопасности для этого сайта недоступны вы хотите продолжить

Процент сайтов из первого миллиона самых популярных сайтов по статистике Alexa, где стоит редирект на версию HTTPS

Мы не просто продолжаем внедрять HTTPS, но скорость внедрения тоже увеличивается. Так выглядит настоящий прогресс. Процесс получения сертификата со временем становится более простым, благодаря великолепному Let’s Encrypt, к тому же ещё и сертификаты стали бесплатными. Если вкратце, мы просто отправляем запрос на получение сертификата (Certificate Signing Request, CSR) в центр сертификации (CA), а тот предлагает доказать факт владения доменом. Обычно это делается с помощью изменения записи DNS TXT или размещения специального кода где-нибудь по случайному URL на нашем домене. Как только задание выполнено, CA выдаёт сертификат, и мы можем предъявлять его браузерам и наслаждаться зелёным замком и указанием HTTPS в адресной строке.

Сведения об отзыве сертификата безопасности для этого сайта недоступны вы хотите продолжить

Я написал несколько инструкций по этому процессу, в том числе с чего начать, как грамотно обновить и как использовать двойные сертификаты. Это всё здорово, не правда ли? Но в чём проблема? А проблема возникнет тогда, когда всё пойдёт не по плану и у вас случится плохой день.

Нас хакнули

Никто и никогда не хотел бы услышать эти слова, но реальность такова, что нам приходится их слышать чаще, чем хотелось бы. Хакеры могут получить что угодно, когда у них есть доступ к нашему серверу, и часто им нужен секретный ключ. Сертификаты HTTPS — это публичные документы, которые мы отправляем каждому посетителю нашего сайта, но единственная вещь, которая не позволяет другим использовать такой же сертификат — отсутствие нашего секретного ключа. Когда браузер устанавливает защищённое соединение с сайтом, он проверяет, что у сервера есть секретный ключ для используемого сертификата. Вот почему никто не может использовать наш сертификат. Если хакер получает секретный ключ, то ситуация меняется.

Сведения об отзыве сертификата безопасности для этого сайта недоступны вы хотите продолжить

Если злоумышленник завладел нашим секретным ключом, то он может выдать себя за нас. Повторим это: кто-то в интернете может доказать, что он — это вы, хотя в реальности он таковым не является. Это реальная проблема, и прежде чем вы подумаете «Со мной такого никогда не произойдёт», вспомните Heartbleed. Этот крошечный баг в библиотеке OpenSSL позволял злоумышленнику украсть ваш секретный ключ, даже если вы соблюдали все меры безопасности. Кроме этого, было бесчисленное множество случаев, когда секретные ключи утекали из-за случайности или небрежности. Реальность такова, что мы можем потерять наш секретный ключ, а когда это случается, нам требуется способ помешать злоумышленнику использовать наш сертификат. Нужно его отозвать.

Протокол проверки статуса сертификата

OCSP предлагает намного более красивое решение проблемы и имеет значительное преимущество перед CRL. Здесь мы спрашиваем у CA статус единственного, конкретного сертификата. Это значит, что CA должен вернуть только простой ответ: сертификат либо хороший, либо отозван, и такой ответ гораздо меньше по размеру, чем список CRL. Отлично!

Сведения об отзыве сертификата безопасности для этого сайта недоступны вы хотите продолжить

Сертификат для pornhub.com валидный?

Проприетарные механизмы

Если сайт скомпрометирован и злоумышленник получил секретный ключ, то он может подделать этот сайт и причинить некоторый вред. Здесь ничего хорошего, но могло быть и хуже. Что если CA скомпрометирован и злоумышленник получил секретный ключ для промежуточного сертификата? Это было бы катастрофой, потому что тогда злоумышленник может подделать буквально любой сайт, который захочет, подписав собственный сертификат. Поэтому вместо онлайновой проверки промежуточных сертификатов на предмет отзыва у Chrome и Firefox есть собственные механизмы для той же задачи.

Сведения об отзыве сертификата безопасности для этого сайта недоступны вы хотите продолжить

В Chrome он называется CRLsets, а в Firefox — OneCRL. Эти механизмы проверяют списки отозванных сертификатов, объединяя доступные CRL и выбирая оттуда сертификаты. Так проверяются особо ценные сертификаты вроде промежуточных, но что насчёт обычных, наших с вами?

OCSP Expect-Staple

Хотя Must-Staple кажется отличным решением проверки отзыва сертификатом, это не совсем так. На мой взгляд, одной из самых больших проблем является то, что я как оператор сайта не могу точно знать, насколько надёжны метки OCSP Staple и как их принимает клиент. Без включенного OCSP Must-Staple это не является проблемой, но если включить OCSP Must-Staple и мы не уверены в надёжности или правильности OCSP Staple, это проблема для сайта. Чтобы попытаться и получить некую обратную связь о качестве меток OCSP Staple, мы можем активировать функцию под названием OCSP Expect-Staple. Я писал о ней раньше, и вы можете узнать все подробности в блоге OCSP Expect-Staple, но здесь тоже объясню вкратце. Вдобавок к списку предзагрузки HSTS вы запрашиваете браузер прислать отчёт, удовлетворён ли он меткой OCSP Staple. Вы можете собирать отчёты сами или использовать мой сервис report-uri.io, в обоих случаях вы точно узнаете, когда ваш сайт столкнулся с проблемами при работе OCSP Must-Staple. Поскольку использование списка предзагрузки HSTS не настолько очевидно, как мне бы хотелось, я также написал спецификацию для определения нового заголовка безопасности под названием Expect-Staple, чтобы обеспечивать ту же функциональность ценой меньших усилий. Идея в том, что теперь вы можете установить этот заголовок и включить функцию отправки отчётов, которые так нам нужны, ещё до активации Must-Staple. Установка заголовка будет простой, как и всех остальных заголовков безопасности:

Expect-Staple: max-age=31536000; report-uri=»https://scotthelme.report-uri.io/r/d/staple»; includeSubDomains; preload

Исправление проблемы

Прямо сейчас в данный конкретный момент времени реальность такова, что мы не можем исправить ситуацию. Впрочем, кое-что можно предпринять и, возможно, в будущем механизм отзыва сертификатов станет по-настоящему надёжным.

Частичный сбой

На самом деле сегодня браузеры выполняют так называемую проверку отзыва сертификата с частичным сбоем. То есть браузер попытается проверить статус сертификата, но если ответ не пришёл совсем или не пришёл за короткий промежуток времени, то браузер просто забывает об этом. Ещё хуже, что Chrome даже не пытается проверить сертификат. Да, вы прочитали правильно, Chrome даже не пытается проверить статус сертификата, который ему поступает. Вы можете найти это странным, но я полностью согласен с их подходом и я рад сообщить, что Firefox тоже, вероятно, скоро начнёт работать так же. Позвольте объяснить. Проблема с полным сбоем очевидна: если у CA плохой день, то у нас тоже он будет, вот так мы пришли к логике частичного сбоя. Браузер теперь пытается осуществить проверку сертификата на предмет отзыва, но полностью отказывается от неё, если она занимает слишком много времени или если кажется, что CA ушёл в офлайн. Погодите, какие были последние слова? Проверка сертификата на предмет отзыва отменяется, «если кажется, что CA ушёл в офлайн». Интересно, может ли злоумышленник имитировать такие условия?

Читать также:  Как найти сертификат безопасности на компьютере

Сведения об отзыве сертификата безопасности для этого сайта недоступны вы хотите продолжить

Если вы осуществляете атаку MiTM, то вам нужно всего лишь блокировать запрос на проверку сертификата и создать впечатление, что CA не работает. Браузер тогда столкнётся с частичным сбоем проверки и продолжит радостно использовать отозванный сертификат. Если вас никто не атакует, то каждый раз при проверке этого конкретного сертификата вы тратите время и ресурсы на проверку, что сертификат не отозван. И один раз, когда вас атакуют — тот единственный раз, когда вам по-настоящему нужна такая проверка — злоумышленник просто блокирует соединение, и браузер проходит через частичный сбой. Адам Лэнгли из Google лучше всех описал, что такое отзыв сертификата: это ремень безопасности, который рвётся в момент аварии, и он прав. Вы каждый день садитесь в машину и пристёгиваете ремень безопасности — и он даёт вам приятное и комфортное ощущение безопасности. А потом в один день что-то идёт не по плану — вы попадаете в аварию, и вот тут вы вылетаете в ветровое стекло. В тот единственный раз, когда он действительно нужен, ремень безопасности вас подводит.

Как браузеры реализуют отзыв цифровых сертификатов

В нашем посте, посвященном уязвимости Heartbleed, мы указывали, что одной из дополнительных мер безопасности при работе с HTTPS подключением является включенная в браузере опция проверки отозванного цифрового сертификата. Для Heartbleed это особенно актуально, так как после обновления уязвимой версии OpenSSL на сервере, специалистам компании необходимо заново получить новый приватный ключ (SSL/TLS) и сгенерировать новый сертификат, а старый отозвать. Браузеры должны различать подобные ситуации (использования в HTTPS отозванного цифрового сертификата) и уведомлять своих пользователей о том, что используемое ими соединение с сервером уже не является доверенным.

Цифровые сертификаты SSL или TLS используются для привязки криптографического открытого ключа к информации об организации (компании, сервисе и т. д.). Таким образом, будучи выданным центром сертификации (Certification Authority), он гарантирует клиенту этой организации, что используемый открытый ключ шифрования принадлежит именно этой организации. Безопасное HTTPS соединение использует преимущество такой системы шифрования с открытым ключом, при которой сертификаты SSL/TLS, а также закрытый ключ сервера, используются для установки полностью безопасного подключения, которому пользователь может безоговорочно доверять при передаче своих данных.

Сведения об отзыве сертификата безопасности для этого сайта недоступны вы хотите продолжить

Рис. Перевыпущенный Yahoo цифровой сертификат.

Когда на сервере выполнено обновление одной из уязвимых версий OpenSSL до необходимой 1.0.1g, был получен новый сертификат открытого ключа (и соответствующий ему закрытый ключ сервера), старый сертификат отозван, а пользователь сменил пароль на свой аккаунт, он все равно может оставаться уязвим, работая со своим браузером. Мы указывали, что злоумышленники могут позднее использовать похищенный закрытый ключ для того, чтобы представиться сервером или организовать атаку типа Man-in-the-Middle, скомпрометировав таким образом HTTPS. Так может произойти потому, что используемый браузер не обновил информацию об отозванном цифровом сертификате и продолжает считать его доверенным.

Существуют два основных способа, с помощью которых браузер может проверить информацию о состоянии сертификата (т. е. является ли он действительным или отозванным): протокол получения статуса сертификата (Online Certificate Status Protocol, OCSP) и список отозванных сертификатов (Certificate Revocation List, CRL). Через OCSP клиент может получить информацию от CA о статусе сертификата перед созданием HTTPS подключения с соответствующим сервером. CRL содержит список отозванных цифровых сертификатов, причем этот список кэшируется браузером в процессе работы.

В феврале 2012 г., Google отключил проверку отозванных цифровых сертификатов для Chrome в новых версиях браузера. Такое решение было обусловлено медленностью и временными задержками, которые необходимы для обработки запроса получения статуса сертификата через OCSP. Проверка статуса занимала около 300 миллисекунд или почти секунду для каждого нового HTTPS подключения. В Google также посчитали, что такая задержка может препятствовать переходу сервисов на использование HTTPS из-за того, что мало кому из их клиентов понравилась бы такая задержка при каждом подключении к серверу (установке нового подключения). Также компания отказалась от постоянного контроля статуса сертификатов, поскольку исследования показали, что большинство сертификатов были отозваны не из-за их компрометации со стороны злоумышленников, а из-за иных административных решений компаний.

Браузер проверяет статус сертификатов с использованием списков отозванных сертификатов CRL (набор CRL), но такая практика связана с кэшированием, и браузер не будет иметь самую свежую информацию об используемых сертификатах. Для того, чтобы включить своевременную проверку цифровых сертификатов перед их использованием в HTTPS, в настройках браузера необходимо установить опцию «Проверять, не отозван ли сертификат сервера». По умолчанию эта опция отключена. Когда эта настройка активирована, браузер будет использовать упоминавшиеся OCSP запросы для проверки статусов сертификатов при попытке установить новое HTTPS подключение. Браузер не позволит пользователю просматривать веб-страницу с отозванным сертификатом, отобразив соответствующее предупреждение.

Сведения об отзыве сертификата безопасности для этого сайта недоступны вы хотите продолжить

Рис. Настройка Google Chrome.

Разработчики Firefox отказались от постоянной проверки статуса сертификатов с использованием списков CRL в последних версиях браузера, вместо этого там используется протокол OCSP, который включен по умолчанию. В то же время, списки CRL в браузере все еще присутствуют и информация для них обновляется на регулярной основе (асинхронно, вне зависимости от устанавливаемых подключений, через т. н. механизм Revocation List Push). Также как и Chrome, Firefox предупреждает пользователя об использовании сервером отозванного сертификата, блокируя таким образом доступ пользователя к запрашиваемой странице. Как видно на скриншоте ниже, браузер содержит опцию «При ошибке соединения с сервером OCSP рассматривать сертификат как недействительный», которая по умолчанию выключена. Таким образом в случае, если запрашиваемый CA недоступен, для проверки статуса сертификата, пользователь получит сообщение об ошибке при работе с любым сертификатом, так как невозможно утверждать является ли он действительным или отозванным.

Сведения об отзыве сертификата безопасности для этого сайта недоступны вы хотите продолжить

Рис. Соответствующая опция проверки статуса цифрового сертификата с Mozilla Firefox.

MS Internet Explorer

Поведение браузера зависит от соответствующей версии и используемой ОС. На современных выпусках Windows 7 и Windows 8 Internet Explorer (начиная с 8-й версии) поддерживает проверку сертификатов новых подключений через OCSP, а также использует списки CRL в качестве запасного варианта. По умолчанию для проверки статуса сертификата используется OCSP. Как Google Chrome и Mozilla Firefox, Internet Explorer не разрешает пользователю просматривать веб-страницы, для подключения к которым используется отозванный цифровой сертификат.

Сведения об отзыве сертификата безопасности для этого сайта недоступны вы хотите продолжить

Рис. Настройка проверки отозванных сертификатов в IE 8+ на Windows 7+ (включено по умолчанию).

Сведения об отзыве сертификата безопасности для этого сайта недоступны вы хотите продолжить

На основе первоисточника: blog.cisecurity.org/how-browsers-handle-certificate-revocation

Заключение

В настоящий момент существует реальная проблема, что мы не можем отозвать сертификат, если кто-то получил наш секретный ключ. Только представьте, во что это выльется при раскрытии следующей глобальной уязвимости масштаба Heartbleed! Одна вещь, которую вы можете попытаться сделать — это ограничить размер ущерба от утечки, сократив срок действия своего сертификата. Вместо трёх лет указывайте один год или даже меньше. Let’s Encrypt выдаёт только сертификаты, которые действительны всего лишь 90 дней! С сокращением времени жизни вашего сертификата у злоумышленника будет меньше времени для злоупотреблений. Кроме этого мы мало что можем сделать.

Я бы хотел закончить статью вопросом: следует ли нам исправлять процедуру отзыва сертификатов? Впрочем, это тема для другой статьи.

В случае компрометации мы должны отозвать сертификат, чтобы исключить возможность злоупотреблений. Как только сертификат помечен как отозванный, браузер знает, что ему нельзя доверять, даже если у него не закончился срок действия. Владелец запросил отзыв, и ни один клиент больше не должен принимать этот сертификат.

Сведения об отзыве сертификата безопасности для этого сайта недоступны вы хотите продолжить

Как только мы узнаём о факте взлома, мы связываемся с CA и просим отозвать наш сертификат. Нужно доказать факт владения сертификатом, и как только мы сделали это, то CA помечает сертификат как отозванный. Теперь нужен способ сообщить об этом факте каждому клиенту, которому может потребоваться данная информация. Прямо в этот момент браузер, конечно, ничего не знает, и это проблема. Есть два механизма, которые используются для распространения информации: это список отозванных сертификатов (Certificate Revocation List, CRL) и протокол проверки статуса сертификата (Online Certificate Status Protocol, OCSP).

Авторизация центров сертификации

Предотвратить выдачу сертификата намного проще, чем пытаться отозвать его, и именно для этого нужна авторизация центров сертификации (CAA). Опять же, подробности есть в статье по ссылке, но вкратце суть в том, что мы можем авторизовать только конкретные центры сертификации выдавать нам сертификаты, в отличие от нынешней ситуации, когда мы не можем указать вообще никаких предпочтений. Авторизация делается так же просто, как создание записи DNS:

scotthelme.co.uk. IN CAA 0 issue «letsencrypt.org»

Хотя авторизация CA — не особенно сильный механизм, и он не способен помочь во всех ситуациях некорректной выдачи сертификатов, но в некоторых случаях он полезен, так что следует заявить о своих предпочтениях, создав запись CAA.

Отзыв сертификатов не работает

Прямо сейчас у нас есть небольшая проблема, но на мой взгляд, со временем ситуация может только ухудшиться. Всё больше и больше сайтов получают сертификаты — необходимые документы для внедрения HTTPS — но у нас нет механизма для защиты от злоупотреблений.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *