Проверка наличие корневого сертификата ISRG Root X1 в системе:
Откройте диспетчер сертификатов: нажмите кнопку «Пуск», в поле Поиск введите
certmgr.msc и нажмите клавишу ВВОД. Требуется разрешение администратора: введите пароль администратора или подтверждение пароля, если появится соответствующий запрос.
Меню -> Действие -> «Поиск сертификатов»
-> в поле Содержит: ISGR Root X1
нажать кнопку «Найти»
Если нашло «ISGR Root X1» значит у вас все в порядке,
можно настраивать подключение следуя основной инструкции.
Если нет, то необходимо скачать сертификат
ISGR Root X1 или
отсюда.
Для скачивания используйте Internet Explorer или firefox, так как Chrome не даст вам его скачать.
И установить в «Сторонние корневые центры сертификации» и в «Доверенные корневые центры сертификации» для этого:
Корневой сертификат ISRG Root X1 установлен, теперь можно настраивать подключение следуя основной инструкции.
Содержание:
- Введение
- Что случилось?
- Как можно проверить проблему и что делать бесполезно
- Установка обновлений на Windows 7
- Установка сертификата на Windows 7
- Переходим на новую операционную систему
- Установка сертификата на мобильных устройствах
- iOS (iPhone и iPad с ОС до 10 версии)
- Android (ОС Android до 7.1.1)
- Заключение
Введение
Так как помимо всего прочего я занимаюсь еще поддержкой, то мое утро пятницы 1 октября 2021 года началось со звонков, что пользователи не могут зайти на некоторые сайты. Выходит ошибка, хотя еще недавно всё было в порядке. Данная проблема носила массовый характер с которой пришлось разбираться и как-то объяснять людям в чем причина, что же произошло с интернетом.
Что случилось?
Как оказалось, у одного из крупных поставщиков сертификатов Let`s Encrypt, 30 сентября в 14.01 по Гринвичу (17.01 мск) 2021 года истек корневой сертификат безопасности «IdentTrust DST Root CA X3».
Let’s Encrypt – некоммерческая организация по выпуску бесплатных цифровых сертификатов для шифрования соединений между устройствами и интернетом. Основная цель сертификатов – это защита данных от перехвата во время передачи данных.
Этот сертификат использовался на миллионах устройств, выпущенных до 2015 года. И теперь при попытке зайти на некоторые сайты браузер стал выдавать ошибку:
В основном с этим столкнулись пользователи старых систем, например, такие как: Windows XP, Windows 7, iOS-устройства (до версии iOS 10), Android (до версии 7.1.1), MAC (до версии 10.12.0), консоли старых поколений (PlayStation, Xbox), Ubuntu (до версии 16.04) и т.д.
Далее мы разберемся, как нам победить эту ошибку, а вы уже сами решите какой из способов вам подходит.
Как можно проверить проблему и что делать бесполезно
Но прежде чем продолжить дальше, я расскажу, что я пробовал сделать. Это будет полезно чтобы убедиться, что у вас проблема именно с сертификатом.
- Попробуйте сменить дату на компьютере, например, на 29.10.21 год. Браузер, скорее всего будет ругаться на некорректную дату, но на сайты пускать начнет.
- Перезагрузка роутера, компьютера.
- Отключение проверки HTTPS.
- Переустановка браузера и очистка SSL кэша.
- Отключение всех антивирусных программ.
Переходим к решению проблемы.
Установка обновлений на Windows 7
Чтобы убрать ошибку на Windows 7, будет достаточно установить всего два обновления системы. В редких случаях может потребоваться третье:
- Сначала необходимо установить обновление «KB3020369» (Скачать x64 / Скачать x86),
- Далее устанавливаем «KB3125574» (Скачать x64 / Скачать x86),
- Если два обновления выше не помогли, устанавливаем третье «KB3004394» (Скачать x64 / Скачать x86).
Все обновления вы можете скачать с официального сайта Microsoft, но с «KB3125574» у меня постоянно возникает проблема — не получается корректно скачать. Поэтому я решил выгрузить их и сохранить у себя, чтобы использовать, когда потребуются.
Кроме этих обновлений, вы можете воспользоваться программой «Update_Root_Certificates_v1.6», которая автоматически обновит нужные сертификаты.
Установка сертификата на Windows 7
Если вам не нравится вариант с установкой обновлений, тогда просто скачайте новый сертификат безопасности и установите его. В большинстве случаев это помогает.
- Скачать обновленный сертификат «ISRG Root X1»,
- Запустить установку,
- Нажимаем кнопку «Установить сертификат»,
- Расположение хранилища выбрать «Локальный компьютер»,
- Выберите «Поместить все сертификаты в следующее хранилище»,
- Выберите пункт «Доверенные корневые центры сертификации»,
- Заканчиваем установку нажатием кнопки «ОК» и сообщением об успешном импорте.
Далее желательно перезагрузить компьютер и проверить сайты, которые не открывались.
Переходим на новую операционную систему
Самым трудоёмким и оптимальным вариантом в 2021-2022 год будет переход на Windows 10 (11), так как Windows 7 уже давно не поддерживается и считается устаревшей, а многие программы так и так требуют «десятку».
Я же лично считаю, что Windows 10 сильно преобразилась за последние годы и рекомендую к установке. Особенно радует встроенный антивирус, которого более чем хватает при использовании в домашних условиях.
Установка сертификата на мобильных устройствах
Что же касается мобильных устройств, то с ними всё гораздо сложнее, в отличии от ПК. Давайте попробуем разобраться с ними.
iOS
(iPhone и iPad с ОС до 10 версии)
Вам нужно скачать файл сертификата «ISRG Root X1» на ваше устройство.
Далее вам нужно будет перейти в настройки установить этот сертификат:
- Заходим в «Настройки»,
- Переходим в «Основные»,
- Смотрим «Профили и управление устройством»,
- Выбираем сертификат «ISRG Root X1»,
- Нажимаем «Установить».
И в конце, нужно включить следующую настройку:
- Заходим опять в «Настройки»,
- Переходим в «Основные»,
- Находим в разделе «Об этом устройстве» — «Настройки доверия сертификатов»
- «Включить полное доверие для корневых сертификатов» включаем доверие для сертификата.
Всё. После этого у вас должно всё заработать, как и было.
Android
(ОС Android до 7.1.1)
С устройствами на Android дела обстоят гораздо лучше. Let’s Encrypt удалось договориться с IdenTrust о выпуске на 3 года кросс-подписи истекшего DST Root CA X3. Новый сертификат будет действовать до 2024 года, поэтому владельцам «зеленого робота» можно пока спать спокойно и дальше пользоваться своей техникой.
Заключение
К сожалению, для большинства старых мобильных устройств это будет не преодолимая проблема. Придется или смириться с не работающим интернетом, или задумать об обновлении вашего устройства.
Сейчас, новые сертификаты действительны до 2035 года и все устройства, при условии, что они получают обновления, будут работать до этого года.
Всем удачи!
Если при переходе на FinanceMarker.ru появляется ошибка «Подключение не защищено», то эта статья для Вас.
У крупного поставщика сертификатов HTTPS, Let’s Encrypt, 30 сентября истек срок действия корневого сертификата IdentTrust DST Root CA X3, который использовался на многих устройствах, выпущенных или обновленных до 2015 года.
В результате, на Windows 7 и других ранних операционных системах на некоторых сайтах, в том числе FinanceMarker.ru выходит сообщение «Подключение не защищено».
Как решить данную проблему.
К сожалению, со своей стороны, мы изменить ничего не можем, так как глобальное изменение в работе сайтов связано с сертификатами Let’s Encrypt.
Предлагаем несколько вариантов, решение проблемы. Выбирайте тот, который Вам наиболее подходит.
1. Обновить операционную систему
2. Попробовать зайти на FinanceMarker.ru через браузер Mozilla Firefox, по отзывам в интернете, в этом браузере сайты работают.
3. Скачать и установить сертификат ISRG Root X1 (формат «der») с сайта Let’s Encrypt https://letsencrypt.org/certificates/
Let’s Encrypt — это бесплатный, автоматизированный, открытый Центр Сертификации.
Инструкция по скачиванию и установке сертификата ISRG Root X1.
Инструкция составлена на основе операционной системы Windows 7 профессиональная (64).
· Скачиваем сертификат
· Находим загруженный сертификат на своем устройстве
· Нажимаем открыть, далее установить сертификат
· Нажимаем далее
· Выбираем «Поместить все сертификаты в следующее хранилище».
Нажимаем «Обзор», выбираем пункт «Доверенные корневые центры сертификации». Жмем «ОК»
· Затем «Далее»
· Подтвердите завершение импорта кнопкой «Готово»
· После нажатия кнопок «Ок», «Далее » и «Готово» может появиться предупреждение о безопасности (зависит от внутренних настроек операционной системы) с вопросом «Установить данный сертификат?», нажмите «Да».
· Если, Вы все сделали правильно, появится окошко «Импорт успешно выполнен».
После выполнения вышеуказанных действий, рекомендуется перезагрузить устройство.
Совет:
Если Вы также не можете зайти на сайт Let’s Encrypt, либо другой нужный сайт с сертификатом IdentTrust DST Root CA X3, можно установить на устройстве дату ранее 30.09.2021 г, например 29.09.2021 г, после этого ошибка «Подключение не защищено» исчезнет.
Спасибо.
30 сентября 2021 истек срок действия сертификата DST Root CA X3 Let’s Encrypt. Браузеры Google Chrome, Opera и Edge теперь не могут открыть большинство сайтов https. Лишь Mozilla Firefox работает нормально.
РЕШЕНИЕ
Если у вас установлена не Windows, а иная операционная система, попробуйте обратиться за решением к следующей теме на официальном форуме Let’s Encrypt – https://community.letsencrypt.org/t/help-thread-for-dst-root-ca-x3-expiration-september-2021/149190/3
А для Windows простейшим решением будет загрузить сертификат ISRG Root X1 с официального сайта Let’s Encrypt и вручную импортировать его в хранилище доверенных корневых центров сертификации. Для этого:
1. Загрузите версию “Self-signed DER” сертификата ISRG Root X1 со страницы https://letsencrypt.org/certificates/
2. Откройте скачанный вами файл isrgrootx1.der
3. Импортируйте его в хранилище доверенных корневых центров сертификации следующим образом.
Нажмите “Установить сертификат”:
Выберите “Поместить все сертификаты в следующее хранилище”.
Нажмите “Обзор”.
Выберите “Доверенные корневые центры сертификации”:
Если появится сообщение с вопросом, ответьте “Да”.
***
А через командную строку третий шаг можно выполнить так: certutil -ent -addstore Root isrgrootx1.der
30 сентября 2021 компания Microsoft прекратила поддержку корневых сертификатов ISRG Root X1 в Windows 7, 8, 10 и многие пользователи столкнулись с проблемой не возможностью открыть сайты по протоколу https с сообщением об ошибки подключение не защищено, время установлено не правильно итп, в данной справки решение как это исправить.
Переходим на сайт SSL (Авторизуйтесь, для доступа к ссылке) и скачиваем этот сертификат:
Если у вас не открывает сайт с сертификатами тогда попробуйте перейти на него через браузер EDGE (Авторизуйтесь, для доступа к ссылке) или браузер Firefox (https://www.comss.ru/page.php?id=258).
ISRG Root X1
нажимаем WIN+R вставляем команду:
certmgr.msc
нажимаем Enter.
в открывшемся окне выбираем:
Доверенные корневые центры сертификации, нажимаем правой кнопкой мыши по сертификаты, все задачи, импорт, в открывшемся окне нажимаем далее:
в следующем окне нажимаем обзор, переходим по пути куда ранее сохранили файл скаченный с сайта сертификатов, что бы увидеть свой файл ставим все файлы и нажимаем открыть:
после этого нажимаем далее.
В следующем окне ставим точку на Поместить все сертификаты в следующее хранилище:
нажимаем далее.
на последнем окне нажимаем готово:
дожидаемся надписи об успешном импорте, нажимаем ОК.
перезагружаем компьютер и проверяем сайты которые ранее у вас перестали открываться.
UPD.
Для тех у кого не получилось самостоятельно добавить новые сертификаты (особенно это касается обладателей 32 битных операционных систем) сделайте следующее:
скачайте Авторизуйтесь, для доступа к ссылке архив, распакуйте его, перейдите в папку «скрипт для сертификатов», запустите файл «setup.bat», поставьте букву «Y» нажмите Enter, после добавления сертификатов нажмите любую кнопку, компьютер автоматически перезагрузиться, все должно заработать.
———
В благодарность за информацию посмотрите рекламу, может что-то заинтересует) Отключите антибаннер в вашем браузере.
Содержание
- Этап 1: Получение сертификатов
- Этап 2: Установка новых сертификатов в Windows 7
- Вопросы и ответы
Этап 1: Получение сертификатов
Так как поддержка Windows 7 пользовательских редакций прекращена, единственный способ получения необходимых обновлений – это выгрузка таковых на актуальной системе, в частности, Windows 10 последних версий.
- Первым делом создайте каталог, куда будут выгружены сертификаты (например, папка на диске C: под названием Certs).
- Далее понадобится запустить «Командную строку» с привилегиями администратора – в «десятке» проще всего будет найти оснастку в «Поиске» по запросу
cmd
и воспользоваться опциями запуска.Подробнее: Как открыть «Командную строку» от администратора в Windows 10
- Далее введите команду следующего вида:
certutil.exe -generateSSTFromWU *полный путь к целевой папке*roots.sst
Вместо
*полный путь к целевой папке*
введите адрес каталога, созданного на шаге 1. Проверьте правильность ввода всех аргументов и нажмите Enter. - После сообщения о завершении работы откройте нужную директорию – в ней должен появиться файл roots.sst.
Скопируйте этот файл и перенесите его на компьютер с «семёркой».
Для того чтобы успешно выполнить рассматриваемую процедуру, понадобится загрузить специальную утилиту, которая называется rootsupd – она доступна по ссылке далее.
Скачать rootsupd для Windows 7
- Выберите любой подходящий вам каталог, куда сохраните полученный на первом этапе пакет сертификатов и туда же распакуйте архив с утилитой для обновления.
- Запустите интерфейс ввода команд от администратора – как и в случае с «десяткой», откройте «Пуск», выбрать поиск, в который введите запрос
cmd
, а после обнаружения результата кликните по нему правой кнопкой мыши и выберите вариант «Запуск от имени администратора».Подробнее: Как запустить «Командную строку» от имени администратора в Windows 7
- Далее напишите в окне «Командной строки» следующее:
*папка с сертификатом и утилитой*rootupd.exe /c /t:*папка с сертификатом и утилитой*
Вместо
*папка с сертификатом и утилитой*
укажите полный путь к каталогу, выбранному на шаге 1, проверьте правильность ввода и нажмите Enter.Появится небольшое окно с предложением перезаписать файл – нам это не требуется, поэтому выберите «No».
- После этих действий откройте папку с утилитой и сертификатами – там должны появиться новые элементы, в том числе исполняемый файл с именем updroots. Если он есть, можно продолжать выполнение процедуры, если отсутствует, повторите действия из третьего шага и внимательнее введите необходимые значения.
- Вернитесь к окну «Командной строки» и пропишите там такую команду:
*папка с сертификатом и утилитой*updroots.exe *папка с сертификатом и утилитой*roots.sst
Убедитесь, что все аргументы указаны верно, затем выполните команду нажатием на Enter.
- Утилита никак не сигнализирует о выполнении задачи, поэтому единственный способ убедиться в работоспособности – открыть поддерживаемый браузер и удостовериться в том, что сайты и веб-приложения, которые раньше выдавали ошибки, теперь функционируют нормально.
Если вы по-прежнему наблюдаете сбои, это означает, что какое-то из действий Этапа 2 выполнено неверно, и процедуру понадобится повторить.
Еще статьи по данной теме: