ssl — Ошибка сертификата при открытии сайта с уcтройства Android — Stack Overflow на русском

ssl - Ошибка сертификата при открытии сайта с уcтройства Android - Stack Overflow на русском Сертификаты

На андроид проблемы с сертификатом безопасности, что делать? ⋆ my-sertif.ru

Иногда возникают на Андроид проблемы с сертификатом безопасности при попытке запустить любую web-страничку в браузере.

андроид проблемы с сертификатом

Если возникла проблема с сертификатом безопасности на телефоне Android, вы можете почитать детальную информацию об этой проблеме, нажав кнопку “Просмотреть”. Но это, скорее всего, ситуацию не изменит.

Решение проще, чем может показаться, но не все его знают. Чтобы вновь обрести доступ к сайтам, на которых всплывало сообщение с проблемой:

  1. Нужно попасть в настройки девайса
  2. Тапнуть по разделу “Дата и время”
  3. Убедиться, что эти параметры актуальные, если нет – исправить

После изменения этих настроек неполадки должны исчезнуть.

Помог ли вам данный простой метод? Если нет, то сообщите в комментариях, попробуем исправить проблему вместе, чтобы обойтись без сброса к заводским настройкам или перепрошивки телефона. А если вы знаете иные возможные решения, также поделитесь ими.

Почему планшет пишет угроза безопасности?

Необыкновенная практичность, многофункциональность, а также удобство пользования планшетов с Android привели к тому, что таковая оболочки в быстро распространилась в гаджетах известных производителей.

Такая ОС постоянно находится в процессе совершенствования, а ее самые последние версии отмечаются владельцами за похвальную, бесперебойную работу.

Большое количество разнообразных вспомогательных программ делают планшет истинным помощником во множестве повседневных задач: приложения позволят не позабыть ни одного важного мероприятия, представить интерфейс по-особому, перевести наиболее трудные словообороты, воспользоваться мультимедийными программами.

Одновременно с этим, по причине возрастания известности Android, не спят и злостные создатели вредных инсталляций и обыкновенных вирусов. Именно малокачественный софт – главная угроза безопасности планшета. Дорогостоящий гаджет может отказать на очень длительное время без выполнения главных требований.

файлы не имеют в себе вреда, в худшем случае произойдет утрата данных. Зато к ПО требуется относиться с огромным вниманием. Рекомендуют для будущего использования на планшете ставить софт лишь из официальных источников.

Надежную работу системе, как и невосприимчивость к разным подозрительным программам, могут предоставить часто устанавливаемые апгрейды. Существование качественного антивируса никак не навредит гаджету.

Знаменитый AVG Antivirus для Android может быстро предупредить установку приложений, которые содержат какие-то угрозы. Утрата или несанкционированная передача информации может случится по причине легкомысленного применения незащищенного Wi-Fi.

Всегда следует использовать пароли, проводя передачу важной информации по закрытому каналу.

Всегда нужно использовать личные пароли и никому не говорить о них. При помощи такого обычного метода осуществляется защита персональной информации. Пароль должен быть довольно простым для запоминания, но не содержать в себе имен, дат рождения или иных данных, которые просто «раскусить».

К тому же сейчас есть сервис KeePass, который качественно и централизованно сможет сохранить все пароли. Планшеты с андроидом – надежное инновационное устройство. Нужно просто критически относится к софту и порядку пользования устройством, и планшет сможет ответить длительным временем службы.

Как понять, что в телефоне вирус

Да, вредоносные программы опасны не только для компьютера, но и для смартфона. Тем более сейчас, с развитием технологий, злоумышленники просто мечтают подкрасться поближе к устройству, на котором есть все ваши личные и платежные данные. Итак, что должно насторожить вас и заставить подумать, как удалить вирус с телефона:

    В телефоне стало слишком много рекламы. Баннеры вылетают отовсюду, появляются на рабочем столе, уведомления всплывают даже тогда, когда вы не используете телефон.

Телефон стал быстро разряжаться, сильно нагревается, даже тогда, когда вы им не пользуетесь. Возможно, как раз в это время он участвует в DDOS атаке или майнит для кого-то биткойны.

  • Приложения стали работать неправильно. Они закрываются без спроса (хотя это также может быть следствием недостатка оперативной памяти), появляются ошибки во время работы приложения.
    • После установки нового приложения, пусть даже скачанного из официального магазина, стали появляться ошибки, телефон стал глючить, выключаться, греться.


    На карте или в памяти телефона появились поврежденные файлы, не открываются фотографии, аудио-файлы. В телефоне появляются странные папки, которые непонятно к чему относятся.

    Смартфон стал слишком самостоятельным и теперь сам устанавливает то, что хочет без вашего участия.

  • Возросли расходы на связь, объемы расходуемого интернет-трафика, передача данных и WI-FI включаются автоматически. Это уже очень веский повод задуматься, как удалить вирус с телефона Андроид и не опустить дальнейшего разорения.
  • Есть три наиболее распространенных группы «плохих программ».

      Первое это всплывающие баннеры, которые никак нельзя отключить. Они сильно затрудняют работу пользователя и избавиться от них сложно, чаще всего приходится возвращаться к заводским настройкам и удалять все содержимое телефона.

    Второе — шпионские программы, которые записывают все, что делает пользователь телефона и отправляет злоумышленникам. Выследить такую активность легко по увеличившемуся объему передаваемого трафика. Такие вирусы могут своровать данные вашей карточки, важные пароли — и в итоге вы лишитесь денег.

  • Трояны и черви, поселившиеся в вашем мобильнике, тоже неприятные гости. Они шарят по закоулкам хранилища и передают в сеть файлы — например, интимные фото, вашу личную переписку. Кроме того, они просто могут вредить, убивая телефон, шифруя данные, удаляя важные файлы. За избавление они могут требовать деньги.
  • Вирус на телефон Андроид попадает вместе с программами, которые вы спокойно качаете из официальных магазинов. Это могут быть полезные календари и планировщики, игры и программы, считающие, например, ваш рацион и калории. Они могут содержать вредоносный код или же быть полностью написаны для воровства данных с вашего телефона.

    Вирус также можно подцепить, открывая письма от незнакомых номеров, переходя по ссылкам из них, скачивая файлы, присланные таким образом или же «левыми» пользователями соцсетей. Даже если затем удалить загрузку, программа может успеть запуститься на вашем телефоне. Также зараженной может оказаться флешка, которую вы присоединяли к компьютеру или получили от кого-то из знакомых.

    Андройд ругается на ssl сертификат

    С этого поста я начинаю свой блог. Писать я особо не умею, но решил написать данный пост т.к. решил актуальную проблему, а в инете решения четкого нет. Искал решение как побороть ошибку подключения ssl на андроид, часа три и все же с миру по нитке насобирал какие-то ответы на свои вопросы, а главное решил задачу.

    Итак, у меня была ситуация, когда заказчику надоел свой хостер timeweb (главная причина медленная и тупая тех поддержка) и поставил он на меня задачу найти подходящий сервер для своего интернет магазина на битрикс, главные критерии – быстрота работы и адекватная поддержка . И конечно же все остальное:

    • Размер жесткого диска 30Г
    • Тестовый период
    • Web сервер apache nginx – это лучшая связка под битрикс
    • Php как модуль apache – лучшая производительность
    • Доступ по SSH
    • Адекватная техническая поддержка
    • Возможность увеличивать CPU, RAM и HDD, без смены тарифа

    Выбор пал на ispserver. Заказал обычный виртуальный хостинг, для теста, но как выяснилось, он не подходит для нашего проекта, по тому как для корректной работы битрикс необходимо изменение многих директив и модулей php и самого сервера, а изменить или добавить подобные параметры нет возможности, так как они общие для всех клиентов, по крайней мене так заявил сам хостер.

    Попросил для теста Виртуальный выделенный сервер VDS. Как оказалось, после теста – хороший хостинг, подходит по всем параметрам. Настроил сервер под проект, перенес сайт.

    Задача осталась за малым – перенести ssl сертификат с таймвеба. Скопировал с сервера все нужные файлы, а именно

    • сертификат в формате xxx_a9e57_2bd75_1491868799_c5…10.crt
    • и ключ к нему в формате a9e57_2bd75_2b…2e.key
    Про сертификаты:  Клей для обоев QUELYD ТДВ стеклообои 500 г купить в интернет-магазине Идеи для дома

    Блокировка смарта на неофициальных телевизорах samsung и как легко ее обойти

    Временное решение

    Чтобы обойти эту проблему, установите сертификат с собственной подписью Microsoft Windows Small Business Server 2003 (Windows SBS) на клиентском компьютере. Чтобы сделать это, выполните следующие действия.

      В Windows Internet Explorer нажмите кнопку Продолжить для этого веб-узла (не рекомендуется) .

    Появится красная адресная строка и предупреждение о сертификате.

  • Чтобы открыть окно с дополнительными сведениями, нажмите кнопку Ошибка сертификата .
  • Нажмите кнопку Просмотр сертификатов и нажмите кнопку Установить сертификат .
  • В появившемся окне предупреждения нажмите кнопку Да , чтобы установить сертификат.
  • Примечания

    • В Windows Vista то же самое происходит с самозаверяющие сертификаты. Однако возможность установки сертификатов недоступна Windows Internet Explorer будет выполняться с правами администратора. Чтобы сделать это, щелкните правой кнопкой мыши значок Internet Explorer и выберите Запуск от имени администратора .
    • Когда клиентский компьютер подключается к веб-сервер под управлением Windows Server 2003, клиентский компьютер использует центра сертификации. Клиентский компьютер не использует другой сертификат, подписанный центром сертификации.

    Проблема посещения небольших сайтов с сертификатами безопасности, не являющимися доверенными, тревожит многих пользователей сети. Но иногда данная неполадка появляется на знаменитых, явно рабочих сайтах. Особенно часто конфликтует с сертификатами интернет-страниц браузер Google Chrome.

    Как устранить неприятную проблему и возобновить вход на сайт, не прибегая к помощи компьютерных мастеров, расскажем в данной статье.

    Как убрать сообщения о проблеме с сертификатом, добавив сайт в исключения

    Добавить сайт в исключение из проверки защищенных соединений возможно в Kaspersky Anti-Virus, Kaspersky Internet Security, Kaspersky Total Security версии 18 и выше, а также Kaspersky Small Office Security 6 и выше. В более ранних версиях эта функция недоступна.

    1. Перейдите в раздел Дополнительно и выберите Сеть.
    1. Нажмите Настроить исключения.

    Путешествуя по интернету, пользователи иногда сталкиваются с пугающим предупреждением , внезапно выдаваемым браузером при переходе на сайт.

    Что это означает и что в таких случаях делать? Когда вы подключаетесь к какому-нибудь сайту, использующему протокол SSL, удалённый сервер, на котором лежит этот сайт, предоставляет браузеру специальный цифровой документ, подтверждающий подлинность сайта. Это и есть сертификат безопасности.

    Содержащаяся в нём информация представлена сведениями о сайте, подтверждённые независимой доверенной организацией. Однако выпускать сертификаты сайтов могут не только доверенные организации, в принципе, это может сделать кто угодно.

    Если выпустившая сертификат организация не занесена в список доверенных, при переходе на сайт появляется предупреждение, о котором говорилось выше.

    По здравом размышлении от посещения такого сайта желательно отказаться, но есть два исключения.

    Либо вы абсолютно уверены в его подлинности и безопасности, либо это сайт одной из крупных интернет-компаний, например, Google, Яндекс и т.п. В последнем случае причина появления предупреждения кроется уже не в сайте, а в вашем компьютере.

    Иногда причиной ошибки становится неверно настроенные дата и время в операционной системе. Проверьте настройки даты/времени и исправьте их, если они были неверны.

    Если таким способом устранить ошибку не удалось, сертификат безопасности придётся установить вручную.

    Отключение информирования об ошибке

    Способ, предполагающий полное доверие со стороны пользователя к посещаемым ресурсам. При наличии уверенности, что на веб-страницах отсутствует всё то, чем любят пользоваться интернет-злоумышленники (фиктивные страницы, редиректы, вирусы, спам-баннеры и т.д.), можно изменить настройки браузерных уведомлений.

    Делается это так:

    • В правой верхней части окна Internet Explorer нажмите на пиктограмму в виде шестерни, вызвав основное меню обозревателя.
    • Перейдите в пункт «Свойства обозревателя».
    • В разделе «Дополнительно» отыщите подраздел «Параметры», где надо активировать отметку напротив пункта «Предупреждать о несоответствии адреса сертификата».
    • Сохраните внесённые изменения нажатием кнопки «Применить», а следом «ОК».

    Если речь идёт об организациях, в которых интернет-соединение управляется и контролируется серверными решениями Майкрософт, то процедура несколько сложнее.

    • В «Панели управления» нужно открыть ссылку «Администрирование», а следом выбрать «Средство управления групповой политикой».
    • Отметить имеющуюся или создать новую политику.
    • В «Редакторе управления групповыми политиками» нужно отыскать раздел «Конфигурация пользователя», затем «Настройка» — «Параметры панели управления» — «Параметры обозревателя». Вызвав ПКМ контекстное меню, выбрать пункт «Создать», а следом браузер нужной версии.
    • С правой стороны выбрать свойства элемента, а во вкладке «Дополнительные параметры связи» снять отметку со строки «Предупреждать о несоответствии адреса сертификата».
    • Сохранить сделанные изменения и закрыть окно настроек.
    • Далее следует воспользоваться консолью (команда «cmd»), чтобы сервер принял внесённые ранее поправки и обновил новые правила политики: в консоли набрать «gpupdate /force».
    • Проделать операцию из предыдущего пункта на каждой из требуемых рабочих станций, после чего проверить работоспособность.
    Про сертификаты:  Интерактивные доски: купить интерактивную доску для демонстраций, цены в интернет-магазине

    В Internet Explorer специалистами Майкрософт была предусмотрена возможность добавления сертификатов вручную. Речь идёт, разумеется, о вполне безопасных ресурсах, возникновение ошибки на которых не связано с угрозами безопасности.

    Для добавления ключа такого сертификата в браузер нужно, проигнорировав ошибку безопасности, перейти на соответствующий сайт и отыскать при наличии ссылку на загрузку ключа. (файлы типа *.cer, *pkcs, *.crt и др.). Загрузив сертификат, можно добавить его в браузер. Для этого требуется:

    • В правом верхнем углу окна Internet Explorer нужно нажать на значок шестерёнки, вызывая таким способом основное меню обозревателя.
    • Перейти в пункт «Свойства обозревателя».
    • Во вкладке «Содержание» выбрать «Сертификаты», затем «Импорт».
    • Откроется «Мастер импорта сертификатов», где нужно нажать «Далее».
    • Кликнуть «Обзор», после чего перейти в папку, куда файлы сертификатов были загружены, и выбрать нужный.
    • Определить место хранения ключей: автоматически (по выбору системы) или вручную, выбрав место хранения и название хранилища, после чего нажать кнопку «Далее».
    • Когда процесс создания хранилища будет завершён, «Мастер импорта сертификатов»» отобразит финальное диалоговое окно, в котором будут отображены заданные пользователем параметры.
    • После нажатия кнопки «Готово» сертификаты будут загружены в браузер, а также проверена их актуальность. Если не возникло никаких проблем, интеграция и настройка сертификатов будет завершена, что Мастер подтвердит сообщением «Импорт успешно выполнен».

    Отключение приложений, которые используют права администратора

    Если для шифрования своего устройства вы использовали дополнительный софт, то он также может стать причиной возникновения ошибки. Лучшим вариантом возвращения нормальных условий эксплуатации гаджета будет деинсталляция данного приложения. Если это вам не подходит, попробуйте просто отключить программу на время и посмотреть на результат.

    Сделать это можно с помощью стандартных инструментов системы Андроид:

    1. Перейдите в настройки девайса.
    2. Найдите в перечне каталог «Приложения» и тапните по нему.
    3. Перед вами откроется перечень установленного на устройство софта, в котором вы должны будете найти то самое стороннее приложение для обеспечения шифрования. Как только вы его найдете, тапните по нему и в открывшихся настройках выберете «Остановить».
    4. После перейдите в настройки безопасности и посмотрите, произошли ли какие-либо изменения и не выпадает ли снова ошибка, связанная с шифрованием и администрированием.

    Следует отметить, что разработчики не рекомендуют использовать сторонние программы для блокирования и шифрования данных на устройствах Андроид. Все манипуляции, связанные с безопасностью гаджетов, можно выполнить с помощью стандартных встроенных утилит.

    Сброс к заводским настройкам

    Порой не один из перечисленных способов не помогает вернуть гаджет к привычным настройкам и тогда пользователю приходится осуществить сброс настроек девайса до заводских. Сделать это можно несколькими способами, но наиболее простым является сброс посредством предусмотренного операционной системой функционала.

    Для так называемого обнуления гаджета вам понадобится перейти в настройки устройства, найти раздел меню «Восстановление и сброс» и выбрать в нем пункт «Сброс настроек». Эта процедура сотрет все пользовательские файлы и вернет ваш гаджет к первоначальному виду.

    Перед обнулением скопируйте все важные файлы в отдельную папку на персональном компьютере или внешней карте памяти, чтобы уберечь их от удаления.

    Ошибка сертификата при открытии сайта с уcтройства android

    от проекта letsencrypt вы получаете (в числе прочих) примерно такие файлы:

    • cert.pem — ваш сертификат
    • chain.pem — сертификат удостоверяющего центра
    • fullchain.pem — оба сертификата в одном файле

    ошибка, которую показывает openssl по поводу сертификата, который предоставляет ваш сервер:

    $ :| openssl s_client -connect b2bfamily.trafficmanager.net:443 > /dev/null
    depth=0 CN = b2bfamily.trafficmanager.net
    verify error:num=20:unable to get local issuer certificate
    verify return:1
    depth=0 CN = b2bfamily.trafficmanager.net
    verify error:num=27:certificate not trusted
    verify return:1
    depth=0 CN = b2bfamily.trafficmanager.net
    verify error:num=21:unable to verify the first certificate
    verify return:1
    DONE
    

    свидетельствует о том, что в качестве сертификата вы явно указали cert.pem — файл, в котором содержится только ваш сертификат, без сертификата удостоверяющего центра.

    выхода как минимум два:


    после такой переконфигурации openssl не будет показывать той ошибки, что присутствует сейчас:

    $ :| openssl s_client -connect b2bfamily.trafficmanager.net:443 > /dev/null
    depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3
    verify return:1
    depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
    verify return:1
    depth=0 CN = b2bfamily.trafficmanager.net
    verify return:1
    DONE
    

    отсутствие же ошибки в некоторых браузерах, насколько я понимаю, вызвано тем, что у них уже прописан сертификат удостоверяющего центра, используемого проектом letsencrypt.

    Причины появления сообщения

    • Сертификат может быть отозван. Например, по заявлению владельца, если его сайт взломали.
    • Сертификат выписан нелегально. Сертификат должен быть получен в удостоверяющем центре после прохождения проверки.
    • Нарушена цепочка сертификатов.

      Сертификаты проверяются по цепочке от самоподписанного до доверенного корневого сертификата, который предоставляет удостоверяющий центр. Промежуточные сертификаты предназначены для подписания (подтверждения) другого сертификата в цепочке.

      Причины, по которым может быть нарушена цепочка сертификатов:

      • Цепочка состоит из одного самоподписанного сертификата. Такой сертификат не заверяется удостоверяющим центром и может быть опасен.
      • Цепочка не завершается доверенным корневым сертификатом.
      • Цепочка содержит сертификаты, не предназначенные для подписывания других сертификатов.
      • Истекло или не наступило время действия корневого или промежуточного сертификата. Удостоверяющий центр выдает сертификат на определенный период времени.
      • Цепочка не может быть выстроена.
    • Домен в сертификате не соответствует сайту, с которым устанавливается соединение.
    • Сертификат не предназначен для подтверждения подлинности узла. Например, сертификат предназначен только для шифрования соединения между пользователем и сайтом.
    • Нарушены политики использования сертификата.

      Политика сертификата – набор правил, определяющий использование сертификата с заданными требованиями безопасности. Каждый сертификат должен соответствовать хотя бы одной политике сертификата. Если их приведено несколько, сертификат должен удовлетворять всем политикам.

    • Нарушена структура сертификата.
    • Возникла ошибка при проверке подписи сертификата.

    Проблема устаревших корневых сертификатов. на очереди let’s encrypt и умные телевизоры

    ssl - Ошибка сертификата при открытии сайта с уcтройства Android - Stack Overflow на русском

    Чтобы браузер мог аутентифицировать веб-сайт, тот представляет себя действительной цепочкой сертификатов. Типичная цепочка показана сверху, в ней может быть больше одного промежуточного сертификата. Минимальное количество сертификатов в действительной цепочке равно трём.

    Корневой сертификат — сердце центра сертификации. Он буквально встроен в вашу ОС или браузер, он физически присутствует на вашем устройстве. Его не поменяешь со стороны сервера. Нужно принудительное обновление ОС или встроенного ПО на устройстве.

    Специалист по безопасности Скотт Хельме (Scott Helme) пишет, что основные проблемы возникнут у центра сертификации Let’s Encrypt, потому что сегодня это самый популярный ЦС в интернете, а его корневой сертификат скоро «протухнет». Смена корня Let’s Encrypt назначена на 8 июля 2020 года.

    Конечные и промежуточные сертификаты удостоверяющего центра (CA) доставляются клиенту с сервера, а корневой сертификат у клиента уже есть, поэтому с помощью этой коллекции сертификатов можно построить цепочку и аутентифицировать веб-сайт.

    Проблема заключается в том, что у каждого сертификата есть срок действия, после чего он нуждается в замене. Например, с 1 сентября 2020 года в браузере Safari планируют ввести ограничение на срок действия серверных TLS-сертификатов максимум 398 дней.

    Это значит, что всем нам придётся заменять серверные сертификаты по крайней мере каждые 12 месяцев. Это ограничение распространяется только на сертификаты сервера, оно не распространяется на корневые сертификаты CA.

    Сертификаты CA регулируются другим набором правил, поэтому имеют разные ограничения на срок действия. Очень часто встречаются промежуточные сертификаты со сроком действия 5 лет и корневые сертификаты со сроком службы даже 25 лет!

    Про сертификаты:  Как выгрузить, открыть или извлечь сертификат ЭЦП рабочий стол компьютера

    С промежуточными сертификатами обычно нет проблем, потому что они поставляются клиенту сервером, который сам гораздо чаще меняет свой собственный сертификат, так что просто в ходе этой процедуры заменяет и промежуточный. Его довольно легко заменить вместе с сертификатом сервера, в отличие от корневого сертификата CA.

    Как мы уже говорили, корневой CA встроен непосредственно в само клиентское устройство, в ОС, в браузер или другое программное обеспечение. Изменение корневого CA веб-сайт не может контролировать. Здесь требуется обновление на клиенте, будь то обновление ОС или софта.

    Некоторые корневые CA существуют уже очень давно, речь о 20-25 годах. Скоро некоторые из самых старых корневых CA приблизятся к концу своей естественной жизни, их время почти истекло. Для большинства из нас это вообще не будет проблемой, потому что CA создали новые корневые сертификаты, и они уже много лет распространяются по всему миру в обновлениях ОС и браузеров. Но если кто-то очень давно не обновлял ОС или браузер, это своего рода проблема.

    Такая ситуация возникла 30 мая 2020 года в 10:48:38 GMT. Это точное время, когда протух корневой сертификат AddTrust от центра сертификации Comodo (Sectigo).

    Он использовался для перекрёстной подписи, чтобы обеспечить совместимость с устаревшими устройствами, в хранилище которых нет нового корневого сертификата USERTrust.

    К сожалению, проблемы возникли не только в устаревших браузерах, но и в небраузерных клиентах на базе OpenSSL 1.0.x, LibreSSL и GnuTLS. Например, в телевизионных приставках Roku, сервисе Heroku, в приложениях Fortinet, Chargify, на платформе .NET Core 2.0 под Linux и многих других.

    Предполагалось, что проблема затронет только устаревшие системы (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9 и т.п.), поскольку современные браузеры могут задействовать второй корневой сертификат USERTRust. Но по факту начались сбои в сотнях веб-сервисов, которые использовали свободные библиотеки OpenSSL 1.0.x и GnuTLS. Безопасное соединение перестало устанавливаться с выводом ошибки об устаревании сертификата.

    Ещё один хороший пример предстоящей смены корневого CA — центр сертификации Let’s Encrypt. Ещё

    в апреле 2021 года

    они планировали перейти с цепочки Identrust на собственную цепочку ISRG Root, но этого

    не произошло

    .

    ssl - Ошибка сертификата при открытии сайта с уcтройства Android - Stack Overflow на русском

    «Из-за опасений по поводу недостаточного распространения корня ISRG на устройствах Android мы решили перенести дату перехода к собственному корню с 8 июля 2021 года на 8 июля 2020 года», — сказано в официальном сообщении Let’s Encrypt.

    Дату пришлось перенести из-за проблемы, которую называют «распространением корня» (root propagation), а точнее, отсутствием распространения корня, когда корневой CA не слишком широко распространён на всех клиентах.

    Сейчас Let’s Encrypt использует перекрёстно подписанный промежуточный сертификат с цепочкой до корня IdenTrust DST Root CA X3. Этот корневой сертификат был выдан ещё в сентябре 2000 года и истекает 30 сентября 2021 года. До этого времени Let’s Encrypt планирует перейти на собственный самоподписанный корень ISRG Root X1.

    ssl - Ошибка сертификата при открытии сайта с уcтройства Android - Stack Overflow на русском

    Корень ISRG выпущен 4 июня 2021 года. После этого начался процесс его утверждения в качестве центра сертификации, который завершился 6 августа 2021 года. С этого момента корневой CA был доступен всем клиентам через обновление операционной системы или программного обеспечения. Всё, что нужно было сделать, — это установить обновление.

    Но в этом и проблема.

    Если ваш мобильный телефон, телевизор или другое устройство не обновлялось два года — как оно узнает о новом корневом сертификате ISRG Root X1? А если его не установить в системе, то все серверные сертификаты Let’s Encrypt ваше устройство признает недействительными, как только Let’s Encrypt перейдёт на новый корень. А в экосистеме Android много устаревших устройств, которые давно не обновлялись.

    ssl - Ошибка сертификата при открытии сайта с уcтройства Android - Stack Overflow на русском
    Экосистема Android

    Вот почему Let’s Encrypt отложил переход к собственному корню ISRG и всё ещё использует промежуточное звено, которое спускается к корню IdenTrust. Но переход в любом случае придётся сделать. И датой смены корня назначено 8 июля 2020 года.

    Для проверки, что на вашем устройстве (телевизор, приставка или другой клиент) установлен корень ISRG X1, откройте тестовый сайт https://valid-isrgrootx1.letsencrypt.org/. Если не появляется предупреждение безопасности, то обычно всё в порядке.

    Let’s Encrypt не единственный, кому предстоит решить проблему с переходом на новый корень. Криптографию в интернете начали использовать чуть более 20 лет назад, так что как раз сейчас наступает момент окончания действия многих корневых сертификатов.

    С такой проблемой могут столкнуться владельцы умных телевизоров, которые много лет не обновляли программное обеспечение Smart TV. Например, новый корень GlobalSign R5 Root выпущен в 2021 году, и после некоторые старые Smart TV не могут построить цепочку к нему, потому что этот корневой CA у них просто отсутствует. В частности, эти клиенты не могли установить защищённое соединение с сайтом bbc.co.uk. Чтобы решить проблему, админам BBC пришлось пойти на хитрость: они построили для этих клиентов альтернативную цепочку через дополнительные промежуточные сертификаты, задействуя старые корни R3 Root и R1 Root, которые ещё не протухли.

    www.bbc.co.uk (Leaf)
    GlobalSign ECC OV SSL CA 2021 (Intermediate)
    GlobalSign Root CA - R5 (Intermediate)
    GlobalSign Root CA - R3 (Intermediate)

    Это временное решение. Проблема никуда не уйдёт, если не обновить клиентское ПО. Умный телевизор — это по сути ограниченный в функциональности компьютер под Linux. И без обновлений его корневые сертификаты неизбежно протухнут.

    Это касается всех устройств, не только телевизоров. Если у вас любое устройство, которое подключено к интернету и которое рекламировали как «умный» девайс, то проблема с протухшими сертификатами почти наверняка касается его. Если устройство не обновляется, то корневое хранилище CA со временем устареет, и в конечном итоге проблема всплывёт на поверхность. Как скоро возникнет проблема, зависит от времени последнего обновления корневого хранилища. Это может быть за несколько лет до даты реального выпуска устройства.

    Кстати, в этом проблема, почему некоторые крупные медиаплатформы не могут использовать современные автоматизированные центры сертификации типа Let’s Encrypt, пишет Скотт Хельме. Для умных ТВ они не подходят, и количество корней слишком мало, чтобы гарантировать поддержку сертификата на устаревших устройствах. В противном случае ТВ просто не сможет запустить современные стриминговые сервисы.

    Последний инцидент с AddTrust показал, что даже крупные IT-компании бывают не готовы к тому, что у корневого сертификата заканчивается срок действия.

    Решение проблемы только одно — обновление. Разработчики умных устройств должны заранее обеспечить механизм обновления программного обеспечения и корневых сертификатов. С другой стороны, производителям невыгодно обеспечивать работу своих устройств по окончании срока гарантии.


    ssl - Ошибка сертификата при открытии сайта с уcтройства Android - Stack Overflow на русском

    Способ второй

    Более сложен в исполнении, но не менее действенен. Для этого необходимо:

    ssl - Ошибка сертификата при открытии сайта с уcтройства Android - Stack Overflow на русском

    Если проблема не решается сканирования сертификатов, то переходим в раздел «Личные данные» и снимаем галочку со строчки «Защитить устройство от опасных сайтов», т.е. отключаем «защиту от фишинга и вредоносного ПО».

    Отключение сканирования файлов в браузере требуется в лишь старых версиях Chrome. С 2021 года, после выхода обновлений, Google решил отменить автоматическую проверку сертификатов. Теперь, в дополнительных настройках браузера данная функция отключена.

    Если вы не уверены в надежности сертификата, а посетить сайт вам очень нужно, примите следующие меры безопасности:

    • Для домашнего компьютера . Обновите антивирус и просканируйте компьютер на наличие вредоносного ПО. Если антивирус обнаружит и удалит установленный злоумышленником сертификат, предупреждение в браузере больше появляться не будет. Если антивирус не удалит подозрительный сертификат, вы можете удалить его сами средствами Windows. Будьте осторожны — если сертификат был установлен не вредоносным ПО, а полезной программой, его удаление может привести к нарушению работы системы.
    • Для служебного компьютера . Для удаления подозрительного сертификата обратитесь к системному администратору. Если он не устанавливал данный сертификат, он его удалит. Если сертификат был установлен администратором в целях безопасности, можете нажимать кнопку Доверять этому сертификату . Но учтите, что после этого администратор сможет просматривать ваши личные данные и электронные платежи.
    Оцените статью
    Мой сертификат
    Добавить комментарий