Ваш сертификат либо не выдан, либо отклонен Сводфин Деп Мос России

При открытии сайтов в браузере иногда возникают ошибки – домен в адресной строке выделяется красным с зачеркиванием или ресурс вообще не открывается. Типовая причина скрывается в сбоях работы сертификата SSL. Исправить их может только администратор сайта, но перед обращением к нему стоит проверить собственный компьютер.

Что такое SSL

Текущие тенденции сайтостроения предполагают высокую безопасность соединения пользователя с веб-ресурсом. Это необходимо для защиты персональных данных, секретных номеров банковских карт и информации о проводимых сделках. Организуется безопасность подключением протокола шифрования Secure Sockets Layer (сокращенно SSL).

• Сертификат выпускается доверенным центром Certification Authority (CA).
• После выдачи он подключается к домену средствами провайдера хостинга.
• Срок его действия ограничен 1 годом, после чего требуется продление.

Комьюнити теперь в Телеграм

Подпишитесь и будьте в курсе последних IT-новостей

Я думаю, что почти каждый пользователь (особенно в последнее время) сталкивался с ошибкой в браузере о том, что сертификат такого-то сайта не является доверенным, и рекомендацией не посещать его.

С одной стороны это хорошо (все-таки и браузер, и вообще популяризация подобных сертификатов — обеспечивает нашу безопасность), но с другой — подобная ошибка иногда всплывает даже на очень известных сайтах (на том же Google)

Суть происходящего, и что это значит?

Дело в том, что когда вы подключаетесь к сайту, на котором установлен протокол SSL, то сервер передает браузеру цифровой документ (сертификат) о том, что сайт является подлинным (а не фейк или клон чего-то там. Кстати, если с таким сайтом все хорошо, то браузеры их помечают «зеленым» замочком напротив URL-строки: на скрине ниже показано, как это выглядит в Chrome.

Однако, сертификаты могут выпускать, как всем известные организации (Symantec, Rapidssl, Comodo и др. ), так и вообще кто-угодно. Разумеется, если браузер и ваша система «не знает» того, кто выпустил сертификат (или возникает подозрение в его правильности) — то появляется подобная ошибка.

я веду к тому, что под раздачу могут попасть как совсем белые сайты, так и те, которые реально опасно посещать. Поэтому, появление подобной ошибки это повод внимательно взглянуть на адрес сайта.

Ну а в этой статье я хочу указать на несколько способов устранения подобной ошибки, если она стала появляться даже на белых и известных сайтах (например, на Google, Яндекс, ВК и многих других. Их же вы не откажетесь посещать? 😉).

Судя по обновленной информации на сайте Sectigo, Российская Федерация и Республика Беларусь попали в Banned Country List, который следует американским законам об экспортном ограничении.

Это говорит о том, что компания больше не сможет выдавать SSL-сертификаты для владельцев регистраций (физическим и юридическим лицам, веб-сайтам или национальным доменам верхнего уровня) в отмеченных странах:

Что это значит для нас: выпускать сертификаты на российские данные и домены больше нельзя, а уже выпущенные сертификаты по заявлениям будут отозваны только у компаний, попавших под санкции.

Timeweb меняет поставщика коммерческих SSL. До момента полной замены будет устанавливаться SSL Let’s encrypt, а после он будет заменен приобретенным сертификатом (отличие будет состоять только в названии).

4 марта стало известно, что на фоне ухода западных удостоверяющих центров Минцифры планирует организовать бесплатную выдачу российских TLS-сертификатов для сайтов, пишет Коммерсантъ. Их будет выпускать Национальный удостоверяющий центр (НУЦ), а получить можно будет через Госуслуги. Кроме того, Министерство хочет обязать разработчиков браузеров и ОС, которые функционируют в стране, поддерживать национальные сертификаты, а Яндекс и VK уже сообщили о намерении внедрить их в свои продукты.

На многих сайтах в России сегодня установлены корневые сертификаты от иностранных компаний. Как пишет РБК, ранее с отзывом сертификатов уже сталкивались банки, попавшие под санкции. В частности, на сайте ВТБ 1 марта нельзя было произвести транзакции из-за просроченного SSL. Однако по информации издания финансовые организации уже получили новые сертификаты от других компаний.

Этот сайт не может обеспечить безопасное соединение. Сайт sitename. ru отправил недействительный ответ. ERR_SSL_PROTOCOL_ERROR.

Этот сайт не может обеспечить безопасное соединение. На сайте sitename. ru используется неподдерживаемый протокол. ERR_SSL_VERSION_OR_CIPHER_MISMATCH.

Или в Mozilla Firefox :

Secure Connection Failed

В Opera и Яндекс Браузере ошибки выглядит примерно также.

Как мне открыть такие сайты?

Ответ

• Очистите в брайзере кэш и куки, сбросьте SSL кэш
• Отключите сторонние расширения в браузере
• Проверьте настройки антивируса и файрвола
• Проверьте настройки даты и времени
• Обновите корневые сертификаты Windows
• Отключите поддержку протокола QUIC
• Проверьте версии протоколов TLS, поддерживаемых вашим браузером и сайтом
• Включите поддержку старых версий протоколов TLS и SSL

Причины появления ошибок SSL

Существует всего две причины, почему браузер отображает ошибку сертификата SSL со стороны сервера. Первая заключается в окончании срока активации, вторая – это покупка сертификата у поставщика без достаточных полномочий для выдачи «полноценной защиты». Например, виной может быть выбор самоподписанного сертификата, лишь эмулирующего работу реального протокола.

Остальные проблемы обычно скрываются на локальном компьютере:

• Произошел сброс системного времени.
• Неправильно настроена антивирусная программа.
• Сбоит браузер или установленное расширение.
• Срабатывает вредоносный скрипт.

Чтобы выяснить настоящую причину, пользователю браузера рекомендуется проверить все перечисленные факторы. При том же заражении компьютерными вирусами возможно проявление сразу нескольких симптомов – от изменения текущего времени и блокировки антивирусом до подключения перенаправления страниц в браузере и других неприятностей.

Изредка встречаются ситуации, когда проблема возникла со стороны администратора, если он ошибся при подключении нового сертификата или забыл продлить его действие. Обычно такие неполадки устраняются быстро, потому что после активации сайт проверяется и, в случае неработоспособности сертификата, проводится повторное подключение вплоть до получения положительного результата.

Время и дата

Сертификат SSL имеет четко обозначенный срок действия с датой активации и деактивации. Такой подход отчасти дает дополнительную защиту, потому что в случае технического сбоя в системных часах компьютера сайты перестают открываться. Сброс времени обычно происходит «назад», на дату изготовления материнской платы, на что и реагирует система.

Варианты исправления ситуации:

• Вручную внести корректную дату и время, после чего обновить страницу в браузере.
• Воспользоваться функцией синхронизации через интернет, встроенной в Windows.
• Заменить батарейку на памяти BIOS. При первом запуске ПК нужно внести корректные данные.

Каждый раз после изменения времени рекомендуется ручное обновление страницы или перезапуск браузера. Такой шаг активирует повторное соединение с сервером и позволяет зайти на сайт «с нуля», но уже с правильным временем, соответствующим сроку действия сертификата SSL (после активации и до ее завершения).

Настройки антивируса и брандмауэра

• Полностью выключить антивирусную программу. Перезагрузить ПК, открыть страницу.
• Сбросить настройки брандмауэра. Опять проводится перезапуск компьютера и веб-ресурса.

Функция временного отключения имеется в любой защитной программе, даже интегрированной в операционную систему Windows. Но это не гарантирует полную деактивацию приложения. В этом случае разобраться в ситуации поможет открытие сайта на другом компьютере или запуск безопасного режима (актуально для проводного подключения к интернету).

Браузер и операционная система

Наличие проблемы с браузером проще всего определить открытием сайта на другом устройстве или в другой программе. Иногда решение заключается в банальном обновлении версии приложения до актуальной. То же относится к операционной системе, если используется интегрированный браузер вроде Edge. Пакеты обновлений для того и выпускаются, чтобы устранять неполадки в ПО.

• Полностью очистить историю браузера вместе с кэшем и другими данными.
• Временно отключить все ранее установленные и активные расширения.
• Переустановить программу после ее полной деинсталляции.

Остается еще один вариант – сбросить настройки браузера до состояния «по умолчанию». Способ аналогичен переустановке, но экономит время. Правда, он неэффективен, если проблема возникла из-за сбоя в одном из служебных файлов программы. Отдельное внимание стоит уделить расширению, выполняющему функции антивирусной защиты, ведь оно часто блокирует даже безопасное соединение.

Заражение компьютерными вирусами

• Временно отключить все программы из автозагрузки.
• Провести очистку диска от временных файлов.
• Перезагрузить компьютер после предыдущих шагов.

Выполняются перечисленные действия программами типа CCleaner. Они дают прямой доступ как к автозагрузке операционной системе, так и к списку расширений установленных браузеров. Также в таких программах обычно есть функция удаления ненужных системных файлов, в которых запросто может быть тело компьютерного вируса.

Если предложенные способы устранения ошибки SSL не помогли, остается ждать, пока проблему устранит администратор, или воспользоваться любым другим тематическим сайтом с аналогичным контентом.

Как устранить ошибку

👉 1) Обратите внимание на адрес сайта

Первое, что сделайте — просто обратите внимание на адрес сайта (возможно, что вы по ошибке набрали не тот URL).

Также иногда такое происходит по вине сервера, на котором расположен сайт (возможно, вообще, сам сертификат просто устарел, ведь его выдают на определенное время). Попробуйте посетить другие сайты, если с ними все «OK» — то вероятнее всего, что проблема не в вашей системе, а у того конкретного сайта.

Пример ошибки «Сертификат безопасности сайта не является доверенным»

Однако, отмечу, что если ошибка появляется на очень известном сайте, которому вы (и многие другие пользователи) всецело доверяете — то высока вероятность проблемы в вашей системе.

👉 2) Проверьте дату и время, установленные в Windows

Второй момент: подобная ошибка может выскакивать, если у вас в системе неверно задано время или дата. Для их корректировки и уточнения достаточно щелкнуть мышкой по «времени» в панели задач Windows (в правом нижнем углу экрана).

Как настроить дату и время в Windows 10/11: см. пошаговую инструкцию

Настройка даты и времени

После установки правильного времени, перезагрузите компьютер и попробуйте заново открыть браузер и сайты в нем. Ошибка должна исчезнуть.

Также обращаю внимание на то, что, если у вас постоянно сбивается время — вероятно у вас села батарейка на материнской плате. Представляет она из себя небольшую «таблетку», благодаря которой компьютер помнит введенные вами настройки, даже если вы его отключаете от сети (например, те же дата и время как-то высчитываются?).

Батарейка на материнской плате ПК

👉 3) Попробуйте провести обновление корневых сертификатов

👉 4) Установка «доверенных» сертификатов в систему

Этот способ хоть и рабочий, но хотелось бы предупредить, что он «может» стать источником проблем в безопасности вашей системы. По крайней мере, прибегать к этому советую только для таких крупных сайтов как Google, Яндекс и т.

Для избавления от ошибки, связанной с недостоверностью сертификата, должен подойти спец. пакет GeoTrust Primary Certification Authority.

Кстати, на этой страничке расположено еще несколько сертификатов, их также можно до-установить в систему.

Теперь необходимо скачанный сертификат установить в систему. Как это делается, по шагам расскажу чуть ниже:

• сначала нажимаем сочетание кнопок , и вводим команду , жмем OK;
• должен открыться центр сертификатов в Windows. Необходимо раскрыть вкладку «Доверенные корневые центры сертификации/сертификаты», щелкнуть по ней правой кнопкой мышки и выбрать «Все задачи — импорт».
• далее запустится мастер импорта сертификатов. Просто жмем «Далее».
  Мастер импорта сертификатов
• после нажмите кнопку и укажите ранее загруженный нами сертификат. Нажмите (пример показан ниже); 👇
  Указываем сертификат, который загрузили
• в следующем шаге укажите, что сертификаты нужно поместить в доверенные центры сертификации и нажмите .
  Поместить сертификаты в доверенные. Далее
• в следующем шаге вы должны увидеть, что импорт успешно завершен. Собственно, можно идти проверять, как будет отображаться сайт в браузере (может потребоваться перезагрузка ПК).

👉 5) Обратите внимание на антивирусные утилиты

Либо, как вариант, на время удалите его или полностью отключите!

Управление экранами Avast — отключить на 10 минут

Чтобы открыть проблемный сайт — загрузите браузер MX5 (я о нем рассказывал в заметке о флеш-играх). При попытке перейти на «проблемный» сайт в нем — он вас предупредит, что это не безопасно, но если вы подтвердите свое намерение — н загрузит страничку!

В общем, рекомендую иметь такой инструмент под-рукой

На этом у меня всё.

За дополнения по теме — отдельное мерси!

Первая публикация: 2. 2018

Корректировка: 9. 2021

Очистите в брайзере кэш и куки, сбросьте SSL кэш

Кэш и куки браузера могут быть частой причиной возникновения ошибок с SSL сертификатами. Рекомендуем сначала очистить в браузере кэш и куки. В Chrome нужно нажать сочетание клавиш Ctrl + Shift + Delete, выберите промежуток времени (Все время) и нажмите кнопку очистки данных (Удалить данные / Clear Data).

Чтобы очистить SSL кэш в Windows:

• Щелкните по вкладке Содержание;
• Нажмите на кнопку Очистить SSL (Clear SSL State);
• Должно появится сообщение “SSL-кэш успешно очищен”;
• Осталось перезапустить браузер и проверить, осталась ли ошибка ERR_SSL_PROTOCOL_ERROR.

Отключите сторонние расширения в браузере

Рекомендуем отключить (удалить) сторонние расширения браузера, особенно всякие анонимайзеры, прокси, VPN, расширения антивируса и другие подобные Addon-ы, которые могут вмешиваться в прохождение трафика до целевого сайта. Посмотреть список включенных расширения в Chrome можно, перейдя в Настройки -> Дополнительные инструменты -> Расширения, или перейдя на страницу
chrome://extensions/. Отключите все подозрительные расширения.

Проверьте настройки антивируса и файрвола

Проверьте что у вас установлено правильно время и часовой пояс. Если время постоянно сбивается – смотри статью “Сбивается время на компьютере при выключении: что делать?”.

Обновите корневые сертификаты Windows

Если ваш компьютер находится в изолированном сегменте, давно не обновлялся или на нем совсем отключена служба автоматического обновления, на вашем компьютере могут отсутствовать новые корневые доверенные сертификаты (TrustedRootCA). Рекомендуем выполнить обновление системы: установить последние обновления безопасности и обновления часовых поясов.

Отключите поддержку протокола QUIC

• Перейдите на страницу: chrome://flags/#enable-quic;
• Найдите опцию Experimental QUIC protocol;
• Измените значение опции Default на Disabled;
• Перезапустите Chrome.

Проверьте версии протоколов TLS, поддерживаемых вашим браузером и сайтом

Онлайн сервис SSL Labs вернет список протоколов и методов шифрования, которые поддерживает ваш блаузер. Например, в моем примере Chrome поддерживает TLS 1. 3 и TLS 1. Все остальные протоколы (TLS 1. 1, TLS 1. 0, SSL3 и SSL 2) отключены.

Чуть ниже указан список поддерживаемых методов шифрования.

Cipher Suites (in order of preference)

Полный список методов шифрования, включенных в Windows можно вывести с помощью PowerShell:

Проверьте, все ли версии TLS/SSL поддерживаемые сайтом доступны в вашем браузере.

В этом примере видно, что сайт не поддерживает TLS 3. 1 и SSL3/2. Аналогично сравните список Cipher Suite.

Если метод шифрования не поддерживается вашим браузером, возможно нужно включить его в Windows.

Если сайт не поддерживает SSL протоколы, которые требует использовать клиент, то при подключении вы увидите ошибку “ Этот сайт не может обеспечить безопасное соединение”.

Включите поддержку старых версий протоколов TLS и SSL

И самый последний пункт. Cкорее всего для решения проблемы вам достаточно будет включить поддержку старых версий протоколов TLS и SSL. В большинстве случае он окажется самым эффективным, но я намеренно перенес его в конец статьи. Объясню почему.

Современные браузеры и ОС уже давно отказались от поддержки устаревших и уязвимых протоколов SSL/TLS (SSL 2. 0, SSL 3. 0 и TLS 1. Стандартном сейчас считаются TLS 1. 2 и TLS 1

Если на стороне сайта используется более старая версия протокола SSL/TLS, чем поддерживается клиентом/браузером, пользователь видит ошибку установки безопасного подключения ERR_SSL_VERSION_OR_CIPHER_MISMATCH. Такая ошибка появляется, если клиент на этапе TLS Handshake обнаружил, что на сайте используется протокол шифрования или длина ключа, которая не поддерживается вашим браузером. Выше мы показали, как определить набор протоколов и шифров, поддерживаемых сервером.

Чтобы разрешить использовать старые версии протоколов SSL/TLS в Windows (еще раз отмечаю – это небезопасно!):

• Перейдите на вкладку Дополнительно;
• Включите опции TLS 1.0, TLS 1.1 и TLS 1.2 (если не помогло, включите также SSL 3.0,2.0).
• Перезапустите браузер.

Если все рассмотренные способы не помогли избавиться от ошибки «Этот сайт не может обеспечить безопасное соединение» также попробуйте:

• Проверить, что в файле C:WindowsSystem32driversetchosts отсутствуют статические записи. Файл hosts может использоваться в Windows в том числе для блокировки доступа к сайтам. Выведите содержимое файла hosts с помощью PowerShell:
  Get-Content $env:SystemRootSystem32Driversetchosts
  Попробуйте использовать публичные DNS сервера, например – DNS сервер Google. В настройках сетевого подключения в качестве предпочитаемого DNS сервера укажите IP адрес 8.8.8.8;Возможно проблема связана с сертификатом сайта. Проверьте его с помощью онлайн утилит SSL Checker;Если на компьютере используется VPN или задан прокси сервер в Windows, попробуйте отключите их;В тестовых целях, если вам нужно быстро просмотреть содержимое сайта, можно отключить ошибки проверки SSL сертификатов в Chrome. Для этого нужно запустить его с параметром —ignore-certificate-errors:
  «C:Program Files (x86)GoogleChromeApplicationchrome.exe» —ignore-certificate-errors
  (не работайте в таком режиме постоянно и не отправляйте конфиденциальные данные пароли/кредитки в такой сессии);В Chrome проверьте, включен ли протокол TLS 1.3. В адресной строке перейдите в раздел настроек chrome://flags, С помощью поиска найдите параметр TLS 1.3. Убедитесь, что он включен (Enabled) или находится в состоянии Default. Если отключен – его нужно включить; Если у вас используется одна из старых версий ОС (Windows XP или Windows 7), установите вместо Chrome браузер Mozilla Firefox. В отличии от движков на базе Chromium, Mozilla не использует собственные модули реализации протоколов шифрования SSL/TLS, а не встроенные в Windows.
• Проверить, что в файле C:WindowsSystem32driversetchosts отсутствуют статические записи. Файл hosts может использоваться в Windows в том числе для блокировки доступа к сайтам. Выведите содержимое файла hosts с помощью PowerShell:
  Get-Content $env:SystemRootSystem32Driversetchosts
• Попробуйте использовать публичные DNS сервера, например – DNS сервер Google. В настройках сетевого подключения в качестве предпочитаемого DNS сервера укажите IP адрес 8.8.8.8;
• Возможно проблема связана с сертификатом сайта. Проверьте его с помощью онлайн утилит SSL Checker;
• Если на компьютере используется VPN или задан прокси сервер в Windows, попробуйте отключите их;
• В тестовых целях, если вам нужно быстро просмотреть содержимое сайта, можно отключить ошибки проверки SSL сертификатов в Chrome. Для этого нужно запустить его с параметром —ignore-certificate-errors:
  «C:Program Files (x86)GoogleChromeApplicationchrome.exe» —ignore-certificate-errors
  (не работайте в таком режиме постоянно и не отправляйте конфиденциальные данные пароли/кредитки в такой сессии);
• В Chrome проверьте, включен ли протокол TLS 1.3. В адресной строке перейдите в раздел настроек chrome://flags, С помощью поиска найдите параметр TLS 1.3. Убедитесь, что он включен (Enabled) или находится в состоянии Default. Если отключен – его нужно включить;
• Если у вас используется одна из старых версий ОС (Windows XP или Windows 7), установите вместо Chrome браузер Mozilla Firefox. В отличии от движков на базе Chromium, Mozilla не использует собственные модули реализации протоколов шифрования SSL/TLS, а не встроенные в Windows.