Ошибки ssl/tls и способы их исправления

Поддержка разных версий протокола SSL клиентом и сервером

Если конфликт протоколов наблюдается при попытке зайти на один из государственных порталов, нужно сделать следующие действия:

1. Если используется браузер Internet Explorer, необходимо выполнить проверку совместимости 10-й и 11-й версий.
2. Зайти в «Доверенные узлы» и включить в список нужный сайт.
3. Осуществить настройку параметров безопасности и всплывающих окон.
4. Установить автоматизированную обработку cookie.
5. Произвести удаление временных файлов, cookie, и очистить историю просмотров.
6. Активировать просмотр в режиме совместимости для нужного сайта.
7. Выполнить установку и настройку криптографической защиты Крипто ПРО CSP.
8. Выполнить инсталляцию и настройку плагина Крипто ПРО ЭЦП Browser (plug-in предназначен для проверки электронных подписей на различных ресурсах).

ERR_CERT_DATE_INVALID Ошибка

В качестве ответа err_cert_date_invalid — это системная ошибка, известная под названием «ваше соединение не защищено», чаще всего встречается в Google Chrome. Эта ошибка чаще всего возникает при попытке получить доступ к определенным веб-сайтам, даже если они заслуживают доверия и законны. Однако вы можете не получать удовольствия от просмотра этих веб-страниц.

Ошибка err_cert_date_invalid просто означает, что ваше устройство или подключение к Интернету не позволяет Google Chrome открывать эту конкретную веб-страницу просто потому, что она небезопасна, и доступ к ней может потенциально представлять риск для вашей конфиденциальности. Следовательно, вы можете не получить доступ к популярным веб-сайтам, таким как Facebook, Amazon, Google, YouTube и т. Д.

Большинство людей, которые склонны получать это сообщение err_cert_date_invalid, обычно пытаются закрыть браузер или просто конкретную вкладку; это считается самым простым решением. Однако, если ошибка err_cert_date_invalid обнаружена для PUP (потенциально нежелательной проблемы) или киберугрозы, основанной на вредоносном ПО, этот простой ответ может не дать вам решение, которое вы ищете.

К сожалению, как только система уже будет повреждена вредоносной программой, вам нужно будет сразу же посетить ИТ-специалиста! Но мы рекомендуем сначала выполнить полное сканирование системы с помощью надежного программного обеспечения для удаления вредоносных программ, которое может помочь вам избавиться от сообщения об ошибке err_cert_date_invalid.

PS: здесь вы разберетесь, как выполнить Родительский контроль Google Chrome и Помощник Google Chrome.

Подробное объяснение: что такое ошибка err_cert_date_invalid?

Ошибка err_cert_date_invalid чаще всего встречается на сайтах, которые работают на HTTPS (или должны работать на нем). Каждый раз, когда вы посещаете новую веб-страницу, браузер сначала отправляет запрос на сервер, на котором размещается сайт. Затем браузер проверит установленную сертификацию, чтобы убедиться, что она не соответствует всем обновленным стандартам конфиденциальности. Некоторые другие вещи, которые проверяются, включают расшифровку сертификата, уполномоченный орган проверяет сертификат и подтверждение TLS.

Если браузер обнаружит, что определенный веб-сайт недействителен, он попытается запретить вам посещать эту страницу. Большинство популярных браузеров сегодня оснащены этой функцией для защиты пользователей. Если сертификация не была настроена должным образом, это означает, что веб-страница не была зашифрована должным образом, что делает сайт небезопасным, особенно те, которые обрабатывают платежную информацию или имеют логины. В этом случае вас встретит сообщение «Ваше соединение не является частным».

Кроме того, нажмите здесь, чтобы исправить Ошибка 0x80070032 и ERR_ADDRESS_UNREACHABLE в Google Chrome без труда.

Можно ли игнорировать это предупреждение о ERR_CERT_DATE_INVALID?

Нет, нельзя нажимать, чтобы продолжить, и игнорировать это предупреждение. Эта ошибка err_cert_date_invalid означает, что устройство или подключение к Интернету не позволяют правильно загрузить определенную страницу, поскольку она представляет собой угрозу и является небезопасной.

Кроме того, узнайте больше о том, как исправить err_connection_reset Chrome, а также Сертификат для этого сервера недействителен выпускать без особых усилий.

Способ 5: Отключение антивирусной программы

Доступ к файлам сертификата может блокировать антивирус, установленный на компьютере. Стоит отметить, что речь идет о стороннем программном обеспечении, встроенный «Защитник Windows» делать этого не может. Необходимо временно отключить приложение, чтобы проверить его влияние на работу сайтов в браузере. В случае обнаружения этой зависимости следует удалить программу полностью.

На нашем сайте есть статьи, посвященные теме отключения и удаления наиболее распространенных антивирусных программ. В них подробно описаны все действия по выполнению поставленной задачи с приложенными изображениями.

Подробнее: Как отключить / удалить антивирус с компьютера

Поддержка протоколов

Для доступа к открытым веб-ресурсам без каких-либо затруднений можно воспользоваться усложненным способом (в отличие от описанных выше), который предполагает активацию поддержки SSL и TLS протоколов. Из-за того, что мошенники используют разные уловки и приемы для перехвата информации в HTTPS-трафике, указанные протоколы могут быть отключены. Активация устаревших версий SSL и TLS представляет собой серьезную угрозу для безопасности ОС во время пользования интернетом.

Прибегать к данному способу рекомендуется только в том случае, если перечисленные выше варианты не помогли устранить конфликт протоколов. Большинство популярных браузеров отказалось от ненадежных старых протоколов в пользу актуальных. Для активации устаревших TLS/SSL протоколов нужно проделать такие действия:

1. Открыть «Панель управления» и зайти в раздел «Свойства браузера».
2. Выбрать меню дополнительных настроек.
3. Установить галочки напротив строк TLS0, 1.1, 1.2 и SSL 2.0, 3.0.
4. Закрыть и снова открыть браузер.
5. Нажать на кнопку «Применить» и подтвердить выбор, кликнув по клавише «Ok».

Если данный алгоритм не помог решить проблему, стоит воспользоваться следующим вариантом:

1. Зайти в системную папку «System 32», найти «hosts» и убедиться в том, что статистические записи заполнены корректно.
2. Открыть «Сетевое подключение», перейти в раздел настроек, выбрать меню приоритетного DNS-сервера и вбить в поле для адреса 8.8.8.8.

Остается в «Панели управлений» кликнуть по свойствам браузера и установить средний либо высокий уровень безопасности для интернет-соединения. Пропускать данный шаг нельзя, в противном случае устранить проблему с блокировкой сайтов не получится.

Отключение лишних расширений

Конфликт протоколов может быть вызван различными расширениями и дополнениями, которые были установлены в используемый браузер. Первым делом нужно отключить плагины, вмешивающиеся в трафик (VPN, антивирусные утилиты, proxy), и межсетевые экраны (программно-аппаратные средства, предназначенные для информационной защиты от анализа трафика). Для этого потребуется открыть меню расширений и удалить лишние. Если проблема с открытием нужного сайта не решилась, стоит отключить все дополнения. Открыть раздел настройки плагинов можно, вставив в адресную строку следующую комбинацию:

• Mozilla – about:addons;
• Opera Browser – opera://extensions;
• Яндекс Браузер – browser://tune/;
• Гугл Хром – chrome://extensions/.

Включенный экспериментальный протокол QUIC

QUIC — это новый экспериментальный протокол, который нужен для быстрого подключения к интернету. Основная задача протокола QUIC состоит в поддержке нескольких соединений. Вы можете отключить этот протокол в конфигурации вашего браузера.

Показываем как отключить QUIC на примере браузера Google Chrome:

• Откройте браузер и введите команду chrome://flags/#enable-quic;
• В появившемся окне будет выделен параметр: Experimental QUIC protocol (Экспериментальный протокол QUIC). Под названием этого параметра вы увидите выпадающее меню, в котором нужно выбрать опцию: Disable.

Этот способ работает и в Windows и в Mac OS.

Бесплатные сертификаты

Самоподписанные сертификаты

Самоподписанный (самоизданный, самозаверенный, self-signed) сертификат — тот, который вы сами создали для своего домена или IP-адреса. Многим владельцам сайтов может показаться, что это идеальный вариант:

• Бесплатно.
• Доступно. Такой SSL-сертификат может создать любой владелец домена.
• Без обращения к поставщикам услуг. Не нужно ждать ответа от центра сертификации.
• Быстро. Но только если вы знаете, что делать и как пользоваться специальными программами или библиотеками. Например, для Windows можно воспользоваться криптографическим хранилищем OpenSSL или консолью PowerShell. 
• Можно создать сколько угодно сертификатов.

Вам уже кажется, что выбор сделан и читать дальше нет смысла? Всё не совсем так.

Минусы

• Нет надёжной защиты. Браузеры не доверяют таким сертификатам, потому что заверяют их не специальные центры, а неизвестный им человек или юрлицо. 
• Есть риск потерять данные. Причём как пользователей, так и ваши, с сайта компании.
• Отпугивает посетителей сайта. Пользователи, заходя на страницу с самоподписанным сертификатом, видят предупреждение о небезопасности: в результате количество посетителей сайта, готовых совершать на нем действия, снижается. Мало ли что — вдруг сайт мошеннический.
• Возможные ошибки в оформлении и отображении сертификата, если он был создан неправильно.

Если вам нужно провести тесты на внутренних ресурсах компании, а заморачиваться с доверенными сертификатами не хочется, можно сделать самоизданный SSL-сертификат. Но и здесь вы рискуете: если у вас крупная компания, понадобится много труда и времени, чтобы наладить работу и объяснить всем сотрудникам, что делать с этим страшным предупреждением об опасности. В целом же, на практике использовать такой сертификат точно не стоит.

Бесплатные доверенные сертификаты

Такие SSL-сертификаты можно оформить довольно быстро. Часто ими пользуются стартапы, чтобы понять, что вообще такое SSL и как это работает. Бывают только одного вида — DV SSL (Domain Validation). Это сертификаты, удостоверяющие доменное имя. 

Плюсы

• Быстро. Такой сертификат могут выдать вам уже через несколько минут. Всё потому, что тип такого сертификата — DV (Domain Validation) SSL и для его оформления нужно только подтверждение владения доменом, как и у платных DV.
• Просто получать и устанавливать.
• Отлично подойдёт для теста с возможностью сэкономить в первые несколько месяцев.
• Известные компании-поставщики. Те же Let’s Encrypt на рынке с 2012 года и поддерживаются Google, Facebook и другими крупными корпорациями.

Минусы

• Небольшой срок действия. Например, сертификаты Let`s Encrypt необходимо перевыпускать каждые 3 месяца.
• Сложности с продлением. Хостеры автоматически продлевают некоторые бесплатные сертификаты. Но здесь бывают проблемы. Перед выпуском сертификационный центр обращается к сайту за специальным файлом. Иногда он в системе не обнаруживается: не было места на диске и файл не записался, во время проверки почему-то закрылся доступ к сайту и пр. Итог один — сертификат не обновляется, а вы даже не узнаете об этом, если не решите вдруг проверить срок действия вручную.
• Отсутствие поддержки. Для корректной работы SSL-сертификата важна грамотная полноценная поддержка (по телефону, по email, в чатах). Она недоступна для бесплатных SSL. На официальных сайтах удостоверяющих центров, как правило, размещены ответы на часто задаваемые вопросы, которые в основном описывают общие случаи и могут быть бесполезны для решения конкретной проблемы. Также есть неофициальная информация на тематических форумах, но среди неё ещё надо найти нужную.
• Есть вероятность не заметить, что сертификат не работает. Как мы писали выше, посмотреть сроки действия сертификата можно вручную. Есть и другой способ: проверять даты с помощью специального скрипта, который не так просто создать. Поддержки нет. Если не проверять сроки, можно пропустить время продления, и сертификаты будут аннулированы. В безопасности сайта появятся дыры, посетители, увидев уведомление о ненадёжности сайта, станут покидать сайт и трафик снизится.

В 2017 году кредитное бюро Equifax сообщило о масштабном взломе: хакеры украли данные 143 млн человек — почти половины населения США. Это произошло отчасти из-за истечения срока действия сертификата, который был неактивным в течение 19 месяцев.

Сводная статистика: есть над чем задуматься

1. В ходе инструментального анализа обнаружены 9483 уязвимости на 599 узлах. Выявленные уязвимости связаны с отсутствием актуальных обновлений ПО, использованием устаревших алгоритмов и протоколов, недостатками конфигурации, ошибками в коде веб-приложений, учетными записями с простыми паролями и паролями по умолчанию.Рисунок 2. Среднее число уязвимостей на одном узле в зависимости от уровня риска
2. Для 10% выявленных уязвимостей существуют общедоступные эксплойты, а значит — каждую десятую уязвимость злоумышленник может проэксплуатировать даже не имея профессиональных навыков программирования или опыта обратной разработки.Рисунок 3. Распределение уязвимостей по уровню риска
3. В 84% организаций выявлены уязвимости высокого уровня риска. В 58% организаций обнаружены уязвимости высокого уровня риска, для которых существуют общедоступные эксплойты.Рисунок 4. Максимальный уровень риска уязвимостей (доля организаций)

Корень зла — устаревшие версии ПО и небезопасные протоколы

Как показывают результаты инструментального анализа защищенности сетевых периметров, почти половина (47%) выявленных уязвимостей могут быть устранены установкой актуальных версий ПО. Проблемы с наличием обновлений были выявлены во всех организациях, а в 42% организаций используются программные продукты, производители которых официально прекратили поддержку и больше не выпускают обновления безопасности. Например, в 32% организаций есть приложения, написанные на языке программирования PHP версии 5, который не поддерживается с января 2019 года. К слову, возраст самой старой уязвимости, обнаруженной в ходе инструментального анализа, составляет 16 лет.

Рисунок 7. Самые распространенные уязвимости на сетевом периметре (количество узлов)Рисунок 8. Уязвимое ПО (доля уязвимостей, связанных с использованием устаревших версий)

В ходе инструментального анализа было выявлено более тысячи уязвимостей, связанных с устаревшими версиями OpenSSH, для 27% из них в свободном доступе есть эксплойты. Так, например, в 58% организаций в ходе инструментального анализа была найдена уязвимость CVE-2018-15473 в пакете OpenSSH версий ниже 7.7. Она позволяет определить идентификаторы существующих в системе пользователей. Для этого злоумышленнику требуется отправить специально сформированный запрос на аутентификацию. Если включенный в запрос идентификатор не существует в системе, то сервер ответит сообщением об ошибке, а если существует — соединение будет прервано без ответа. Для автоматизации процесса есть общедоступный инструмент. Эту уязвимость наши специалисты неоднократно использовали в ходе тестов на проникновение.

Рисунок 9. Эксплуатация уязвимости CVE-2018-15473

С использованием небезопасных версий протокола SSL/TLS и устаревших версий криптографической библиотеки OpenSSL связаны 16% всех выявленных уязвимостей. В каждой организации выявлены узлы, уязвимые для атаки SWEET32 (CVE-2016-2183), в 84% организаций — для атаки POODLE (CVE-2014-3566). Отметим, что для реализации этих атак у злоумышленника должна быть возможность перехватывать информацию между клиентом и сервером и модифицировать ее. В случае успешной эксплуатации злоумышленник может восстановить зашифрованные данные, например значения HTTP-cookies. Предотвратить атаку SWEET32 возможно отказавшись от использования блочных алгоритмов шифрования с длиной блока 64 бита (Blowfish, DES, 3DES). Для защиты от атаки POODLE откажитесь от использования SSL версии 3. Если по каким-то причинам это невозможно, активируйте механизм TLS_FALLBACK_SCSV.

В 53% организаций обнаружены узлы, уязвимые для атаки DROWN. Атака возможна из-за уязвимости CVE-2016-0800 в реализации протокола SSL версии 2. В результате атаки при определенных условиях злоумышленник может завладеть сеансовыми ключами, которые передаются в SSL-сессиях, а значит — получить доступ ко всей информации, передаваемой по зашифрованному каналу.

В двух организациях были выявлены серверы, подверженные нашумевшей в 2014 году уязвимости Heartbleed (CVE-2014-0160) в OpenSSL 1.0.1. Она позволяет извлечь из оперативной памяти сервера закрытые ключи шифрования и пароли пользователей. Для уязвимости существует готовый эксплойт.

Рисунок 10. Известные уязвимости в SSL/TLS и OpenSSL (доля организаций)

Уязвимости, из-за которых разработчики ПО вынуждены периодически выпускать обновления безопасности, а компании — тщательно следить за выходом этих обновлений, связаны с ошибками, допущенными в программном коде. Каждую такую уязвимость мы соотнесли с недостатками ПО из списка Common Weakness Enumeration (CWE). В результате мы выяснили, что 30% уязвимостей, выявленных в устаревших версиях ПО и коде веб-приложений, связаны с наиболее опасными программными ошибками по версии MITRE (рейтинг 2019 CWE Top 25 Most Dangerous Software Errors). В рейтинг MITRE вошли наиболее распространенные критические ошибки, которые злоумышленники легко находят и эксплуатируют, что позволяет им похитить информацию, вызвать отказ в обслуживании или получить полный контроль над уязвимым приложением.

Неактивное соединение SSL VPN в Windows

Всякий раз, когда появляется сообщение этого типа, в котором они информируют нас об ошибке, у нас может быть невозможность просмотра Интернета. Особенно, когда речь идет о чем-то, что влияет на VPN это может быстро отключить нас.

Следует отметить, что эта проблема может появиться у пользователей, у которых есть FortiClient инструмент для Windows, что позволяет повысить безопасность, настроить VPN, родительский контроль и другие функции. Они внезапно находят эту неисправность и видят, как их оборудование не может нормально подключиться.

Как обычно в этих случаях, есть много причин, которые могут вызвать этот тип ошибки. Таким образом, у нас также могут быть разные решения, чтобы все работало как можно лучше и иметь доступ к сети без проблем.

Проблема обычно возникает, когда пользователь подключается к VPN. Через несколько секунд эта ошибка автоматически появляется и отключается. Это делает невозможным нормальную навигацию, и необходимо искать решения.

Способ 3: Ручная установка сертификатов

При обновлении корневых сертификатов путем установки апдейтов операционной системы могут быть сбои, из-за чего нужные файлы не попадут в Windows. В таком случае потребуется выполнить инсталляцию вручную с помощью предустановленной консольной программы certutil.exe. Для этого сделайте следующее:

1. Откройте «Командную строку» от имени администратора. Есть несколько способов сделать это, каждый из которых подробно описан в отдельной статье на нашем сайте.

   Подробнее: Как запустить «Командную строку» от имени администратора

2. После появления окна консоли впишите команду и нажмите клавишу Enter.

3. Скачайте утилиту rootsupd.exe на компьютер, воспользовавшись ссылкой ниже. Откройте папку с загруженным архивом и извлеките его содержимое.

   Подробнее: Как извлечь файлы из архива с помощью WinRAR

4. В корневом каталоге диска C создайте папку с именем CA и переместите в нее исполняемый файл rootsupd.exe. Перейдите по пути , найдите документ roots.sst и скопируйте его в ту же директорию CA.

5. Откройте «Командную строку» от имени администратора и впишите следующую команду:

   В появившемся окне утилиты нажмите по кнопке No, чтобы не перезаписывать уже существующий файл сертификатов безопасности.

6. В директории CA после выполнения предыдущего шага появятся дополнительные утилиты, с помощью которых можно выполнить установку корневых сертификатов. Для этого в «Командной строке» впишите следующее:

Обратите внимание, что после ввода команды нет никакой выдачи — это нормально, операция по установке все равно выполнится

Способ 11: Переустановка браузера

Если удаление расширений и очистка кэша не помогли в решении проблемы, необходимо переустановить браузер. Эта процедура позволит избавиться от всех возможных причин, которые вызывают ошибку сертификата безопасности

Важно при этом скачивать установочный файл обозревателя с официального ресурса разработчика, чтобы не занести в операционную систему вредоносную программу. На нашем сайте есть статья, в которой рассказано, как это сделать на примере всех известных браузеров

Подробнее: Как правильно переустановить браузер на компьютере

Опишите, что у вас не получилось.
Наши специалисты постараются ответить максимально быстро.

Установка SSL-сертификата

Дальнейшие шаги зависят от того, где размещается ваш сайт, на хостинге или собственном сервере и какое окружение на нем используется.

Как установить SSL-сертификат на хостинг

Найдите раздел SSL панели управления хостингом.

Если сертификат куплен у того же хостинг-провайдера где размещен ваш сайт, скорее всего нужно будет лишь связать сертификат с доменом (хостингом), например как на скриншоте ниже для хостинг-провайдера .

Если сертификат приобретался в другом месте, вручную загрузите файлы сертификата, файл приватного ключа и укажите домен (хостинг).

Аналогичным образом процедура выглядит для других хостеров. На скриншоте ниже скриншот с примером для Hostland.

Подробные инструкции можно найти у своего хостинг провайдера.

Как установить SSL-сертификат в панели управления ISPmanager

Войдите в панель управления ISPmanager.

Перейдите в раздел «SSL-сертификаты» и нажмите «Создать».

Укажите тип сертификата «Существующий» и нажмите «Далее».

На открывшейся странице заполните поля:

• Имя SSL-сертификата – любое имя латиницей, под ним сертификат будет отображаться в панели управления;
• SSL-сертификат – содержимое файла SSL-сертификата;
• Ключ SSL-сертификата – приватный ключ сертификата;
• Цепочка SSL-сертификатов – последовательно укажите сначала корневой сертификат, а затем с новой строки без пробела – промежуточный.

Затем нажмите Завершить.

В разделе «SSL-сертификаты» появится добавленный сертификат.

Далее сертификат следует подключить к домену, для этого перейдите в раздел «WWW-домены», дважды кликните по домену, для которого добавляется сертификат, поставьте галочку напротив Защищенное соединение (SSL) и нажмите «Ок». Здесь же можно включить редирект с HTTP на HTTPS.

Как установить SSL-сертификат на сервер с Nginx

Объедините три сертификата (SSL-сертификат, корневой и промежуточный) в один файл. Для этого с помощью блокнота или другого редактора создайте текстовый документ с именем domain.crt и поочередно поместите в него содержимое каждого из сертификатов (без лишних пробелов и пустых строк).

Так же понадобится приватный ключ, который был получен на этапе генерации CSR запроса на сертификат. Переименуйте его в domain.key.

Оба файла загрузите на сервер в директорию /etc/ssl/ или /etc/nginx/ssl/

Отредактируйте виртуальный хост сайта, для которого устанавливается сертификат. Файл /etc/nginx/sites-available/site.conf или или другой, в зависимости от особенностей сервера.

Указаных настроек должно быть достаточно, чтобы SSL заработал.

Дополнительно можно внести еще несколько настроек для работы HTTPS. Оптимизация и безопасность Nginx тема отдельной статьи, поэтому используйте их на свое усмотрение или ограничьтесь конфигурацией выше.

Где:

• /etc/ssl/ca.crt – путь до файла с корневым сертификатом (его предварительно нужно загрузить на сервер);
• 8.8.8.8 – DNS-сервер.

Затем убедитесь, что конфигурационный файл Nginx не содержит ошибок.

Чтобы изменения вступили в силу, перезагрузите сервер Nginx.

Ubuntu

CentOS 6

CentOS 7

Как установить SSL-сертификат на сервер с Apache

Понадобится файл SSL-сертификата, назовите его domain.crt и приватный ключ, который был получен на этапе генерации CSR запроса на сертификат, переименуйте его в domain.key.

Так же, создайте текстовый документ, например с именем chain.crt и поместите в него цепочку сертификатов — поочередно добавьте в него содержимое промежуточного сертификата и следом за ним корневого (без лишних пробелов и пустых строк).

Все 3 файла загрузите на сервер в директорию /etc/ssl/

Откройте конфигурационный файл Apache сайта, для которого устанавливается сертификат. Если сайт один, конфигурационный файл скорее всего будет одним из указанных ниже:

• для CentOS: /etc/httpd/conf/httpd.conf;
• для Fedora/CentOS/RHEL: /etc/apache2/apache2.conf;
• для OpenServer конфиг в корневой папке.

Убедиться, что открытый файл действительно является конфигурацией сайта можно, найдя в нем строку ServerName. Ее значение должно соответствовать домену, для которого устанавливается SSL-сертификат (напр. domain.ru).

В конце файла создайте копию секции «VirtualHost». Измените в ней порт на 443 и добавьте следующие строки.

Затем убедитесь, что конфигурационный файл Apache не содержит ошибок.

Чтобы изменения вступили в силу, перезагрузите Apache.

Centos

Debian или Ubuntu

Генератор конфигурационных файлов SSL

У Mozilla есть инструмент , он позволяет генерировать конфигурационные файлы для подключения SSL под большинство популярных серверов. Можно взять за основу рекомендуемые настройки или сверить текущим конфиг.