Проверка наличие корневого сертификата ISRG Root X1 в системе:
Откройте диспетчер сертификатов: нажмите кнопку «Пуск», в поле Поиск введите
certmgr.msc и нажмите клавишу ВВОД. Требуется разрешение администратора: введите пароль администратора или подтверждение пароля, если появится соответствующий запрос.
Меню -> Действие -> «Поиск сертификатов»
-> в поле Содержит: ISGR Root X1
нажать кнопку «Найти»
Если нашло «ISGR Root X1» значит у вас все в порядке,
можно настраивать подключение следуя основной инструкции.
Если нет, то необходимо скачать сертификат
ISGR Root X1 или
отсюда.
Для скачивания используйте Internet Explorer или firefox, так как Chrome не даст вам его скачать.
И установить в «Сторонние корневые центры сертификации» и в «Доверенные корневые центры сертификации» для этого:
Корневой сертификат ISRG Root X1 установлен, теперь можно настраивать подключение следуя основной инструкции.
Содержание:
- Введение
- Что случилось?
- Как можно проверить проблему и что делать бесполезно
- Установка обновлений на Windows 7
- Установка сертификата на Windows 7
- Переходим на новую операционную систему
- Установка сертификата на мобильных устройствах
- iOS (iPhone и iPad с ОС до 10 версии)
- Android (ОС Android до 7.1.1)
- Заключение
Введение
Так как помимо всего прочего я занимаюсь еще поддержкой, то мое утро пятницы 1 октября 2021 года началось со звонков, что пользователи не могут зайти на некоторые сайты. Выходит ошибка, хотя еще недавно всё было в порядке. Данная проблема носила массовый характер с которой пришлось разбираться и как-то объяснять людям в чем причина, что же произошло с интернетом.
Что случилось?
Как оказалось, у одного из крупных поставщиков сертификатов Let`s Encrypt, 30 сентября в 14.01 по Гринвичу (17.01 мск) 2021 года истек корневой сертификат безопасности «IdentTrust DST Root CA X3».
Let’s Encrypt – некоммерческая организация по выпуску бесплатных цифровых сертификатов для шифрования соединений между устройствами и интернетом. Основная цель сертификатов – это защита данных от перехвата во время передачи данных.
Этот сертификат использовался на миллионах устройств, выпущенных до 2015 года. И теперь при попытке зайти на некоторые сайты браузер стал выдавать ошибку:
В основном с этим столкнулись пользователи старых систем, например, такие как: Windows XP, Windows 7, iOS-устройства (до версии iOS 10), Android (до версии 7.1.1), MAC (до версии 10.12.0), консоли старых поколений (PlayStation, Xbox), Ubuntu (до версии 16.04) и т.д.
Далее мы разберемся, как нам победить эту ошибку, а вы уже сами решите какой из способов вам подходит.
Как можно проверить проблему и что делать бесполезно
Но прежде чем продолжить дальше, я расскажу, что я пробовал сделать. Это будет полезно чтобы убедиться, что у вас проблема именно с сертификатом.
- Попробуйте сменить дату на компьютере, например, на 29.10.21 год. Браузер, скорее всего будет ругаться на некорректную дату, но на сайты пускать начнет.
- Перезагрузка роутера, компьютера.
- Отключение проверки HTTPS.
- Переустановка браузера и очистка SSL кэша.
- Отключение всех антивирусных программ.
Переходим к решению проблемы.
Установка обновлений на Windows 7
Чтобы убрать ошибку на Windows 7, будет достаточно установить всего два обновления системы. В редких случаях может потребоваться третье:
- Сначала необходимо установить обновление «KB3020369» (Скачать x64 / Скачать x86),
- Далее устанавливаем «KB3125574» (Скачать x64 / Скачать x86),
- Если два обновления выше не помогли, устанавливаем третье «KB3004394» (Скачать x64 / Скачать x86).
Все обновления вы можете скачать с официального сайта Microsoft, но с «KB3125574» у меня постоянно возникает проблема — не получается корректно скачать. Поэтому я решил выгрузить их и сохранить у себя, чтобы использовать, когда потребуются.
Кроме этих обновлений, вы можете воспользоваться программой «Update_Root_Certificates_v1.6», которая автоматически обновит нужные сертификаты.
Установка сертификата на Windows 7
Если вам не нравится вариант с установкой обновлений, тогда просто скачайте новый сертификат безопасности и установите его. В большинстве случаев это помогает.
- Скачать обновленный сертификат «ISRG Root X1»,
- Запустить установку,
- Нажимаем кнопку «Установить сертификат»,
- Расположение хранилища выбрать «Локальный компьютер»,
- Выберите «Поместить все сертификаты в следующее хранилище»,
- Выберите пункт «Доверенные корневые центры сертификации»,
- Заканчиваем установку нажатием кнопки «ОК» и сообщением об успешном импорте.
Далее желательно перезагрузить компьютер и проверить сайты, которые не открывались.
Переходим на новую операционную систему
Самым трудоёмким и оптимальным вариантом в 2021-2022 год будет переход на Windows 10 (11), так как Windows 7 уже давно не поддерживается и считается устаревшей, а многие программы так и так требуют «десятку».
Я же лично считаю, что Windows 10 сильно преобразилась за последние годы и рекомендую к установке. Особенно радует встроенный антивирус, которого более чем хватает при использовании в домашних условиях.
Установка сертификата на мобильных устройствах
Что же касается мобильных устройств, то с ними всё гораздо сложнее, в отличии от ПК. Давайте попробуем разобраться с ними.
iOS
(iPhone и iPad с ОС до 10 версии)
Вам нужно скачать файл сертификата «ISRG Root X1» на ваше устройство.
Далее вам нужно будет перейти в настройки установить этот сертификат:
- Заходим в «Настройки»,
- Переходим в «Основные»,
- Смотрим «Профили и управление устройством»,
- Выбираем сертификат «ISRG Root X1»,
- Нажимаем «Установить».
И в конце, нужно включить следующую настройку:
- Заходим опять в «Настройки»,
- Переходим в «Основные»,
- Находим в разделе «Об этом устройстве» — «Настройки доверия сертификатов»
- «Включить полное доверие для корневых сертификатов» включаем доверие для сертификата.
Всё. После этого у вас должно всё заработать, как и было.
Android
(ОС Android до 7.1.1)
С устройствами на Android дела обстоят гораздо лучше. Let’s Encrypt удалось договориться с IdenTrust о выпуске на 3 года кросс-подписи истекшего DST Root CA X3. Новый сертификат будет действовать до 2024 года, поэтому владельцам «зеленого робота» можно пока спать спокойно и дальше пользоваться своей техникой.
Заключение
К сожалению, для большинства старых мобильных устройств это будет не преодолимая проблема. Придется или смириться с не работающим интернетом, или задумать об обновлении вашего устройства.
Сейчас, новые сертификаты действительны до 2035 года и все устройства, при условии, что они получают обновления, будут работать до этого года.
Всем удачи!
30 сентября 2021 истек срок действия сертификата DST Root CA X3 Let’s Encrypt. Браузеры Google Chrome, Opera и Edge теперь не могут открыть большинство сайтов https. Лишь Mozilla Firefox работает нормально.
РЕШЕНИЕ
Если у вас установлена не Windows, а иная операционная система, попробуйте обратиться за решением к следующей теме на официальном форуме Let’s Encrypt – https://community.letsencrypt.org/t/help-thread-for-dst-root-ca-x3-expiration-september-2021/149190/3
А для Windows простейшим решением будет загрузить сертификат ISRG Root X1 с официального сайта Let’s Encrypt и вручную импортировать его в хранилище доверенных корневых центров сертификации. Для этого:
1. Загрузите версию “Self-signed DER” сертификата ISRG Root X1 со страницы https://letsencrypt.org/certificates/
2. Откройте скачанный вами файл isrgrootx1.der
3. Импортируйте его в хранилище доверенных корневых центров сертификации следующим образом.
Нажмите “Установить сертификат”:
Выберите “Поместить все сертификаты в следующее хранилище”.
Нажмите “Обзор”.
Выберите “Доверенные корневые центры сертификации”:
Если появится сообщение с вопросом, ответьте “Да”.
***
А через командную строку третий шаг можно выполнить так: certutil -ent -addstore Root isrgrootx1.der
С 1 октября 2021 года закончился срок действия сертификата IdenTrust DST Root CA X3 (одного из основных корневых сертификатов, применяемых в сети), который установлен на многих устройствах.
Из-за этого владельцы ПК на Windows 7, Windows Server 2008 с выключенными обновлениями и Windows XP могут столкнуться с проблемой появления ошибки: «ERR_CERT_DATE_INVALID»,«ERR_DATE_INVALID» и прочими ошибками сертификатов при входе на многие сайты.
Есть два способа решить эту проблему: либо установить новый сертификат, либо установить обновления ОС Windows.
Решение через ручную установку сертификата
Скачать сертификат можно по ссылке: https://letsencrypt.org/certs/isrgrootx1.der / зеркало (.der, 1.35Кб)
Необходимо запустить скачанный файл, на вкладке «Общие» нажать «Установить сертификат».
Выберите расположение «Локальный компьютер» и нажмите «Далее».
Выберите пункт «Поместить все сертификаты в следующее хранилище», нажмите «Обзор», выберите раздел «Доверенные корневые центры сертификации», нажмите «ОК» и «Далее», а в следующем окне – «Готово». При появлении вопросов об установке сертификатов – согласитесь на установку.
После этого перезапустите браузер и вновь попробуйте зайти на необходимый сайт.
Решение через установку обновлений
Для решения ошибки сертификата нужно установить обновления KB3020369 и KB3125574:
- KB3020369 из каталога Центра обновлений Microsoft
- KB3125574 из каталога Центра обновлений Microsoft
Дополнительно
Иногда установка одного лишь IdenTrust DST Root CA X3 может не помочь, так же рекомендуем дополнительно установить следующие корневые сертификаты:
- Go Daddy Root Certificate Authority
- GlobalSign Root CA
Если при заходе на сайт появляется предупреждение с красным значком «Подключение не защищено, срок действия сертификата истек» – тогда возможно причина в том, что устарел сертификат IdenTrust DST Root CA X3 на Вашем устройстве. Особенно это актуально для старых устройств, например, для ПК с системой Windows XP или Windows 7.
В новых устройствах сертификаты обновлены или же там нет такой необходимости, а некоторые старые устройства попросту игнорируют проверку срока действия сертификатов, например, некоторые версии системы Android. Даже довольно новые умные телевизоры могут столкнуться с этой ошибкой, если разработчики их ПО не позаботились об обновлении сертификатов — тогда потребуется обновление прошивки ТВ или ручная замена сертификатов. Например, в смарт-ТВ LG стандартный браузер может не открывать сайты с сертификатами от Let’s Encrypt по этой причине.
Еще проблема может возникнуть у систем, которые используют версию OpenSSL, меньшую чем 1.1.0 — это происходит потому, что происходит проверка всех сертификатов и присутствие просроченного дает отказ в проверке безопасности соединения. Стоит упомянуть, что некоторые браузеры имеют свое хранилище сертификатов и поэтому могут открывать сайты без ошибок, несмотря на истекший сертификат. Например, браузер Mozilla Firefox.
Всё вышеописанное стало актуально 30.09.2021, когда заканчивается срок действия сертификата IdenTrust DST Root CA X3. Это корневой сертификат, который используется для формирования защищенных подключений. Особенно это важно для сайтов, использующих бесплатные сертификаты Let’s Encrypt. Эти бесплатные сертификаты ссылаются на корневой IdenTrust DST Root CA X3, так как он присутствует в большинстве ОС. Хотя для Let’s Encrypt создан свой корневой сертификат ISRG Root X1, но пока набиралась популярность бесплатных Let’s Encrypt, он не мог быстро попасть во все системы.
Как исправить проблему с истекшим сертификатом? Для этого потребуется удалить старый сертификат и установить новый. Выполнить данную операцию можно на тех устройствах, которые позволяют это сделать. Например, на ПК с MS Windows 7.
Скачивать потребуется сертификат под названием ISRG Root X1, желательно только с официального сайта letsencrypt.org. Сертификат имеет полное название ISRG Root X1 (RSA 4096, O = Internet Security Research Group, CN = ISRG Root X1) и доступен по ссылкам:
— https://letsencrypt.org/certs/isrgrootx1.der, в формате DER;
— https://letsencrypt.org/certs/isrgrootx1.pem, в формате PEM.
Также возможно понадобится сертификат Let’s Encrypt R3 (RSA 2048, O = Let’s Encrypt, CN = R3), доступный по ссылкам ниже:
— https://letsencrypt.org/certs/lets-encrypt-r3.der, в формате DER;
— https://letsencrypt.org/certs/lets-encrypt-r3.pem, в формате PEM.
Установка сертификата достаточно проста:
1. Открыть скачанный сертификат и нажать «Установить сертификат».
2. В открывшемся мастере импорта сертификатов необходимо выбрать «Поместить все сертификаты в следующее хранилище» и нажать на кнопку «Обзор…», после чего там выбрать «Доверенные корневые центры сертификации».
3. Последний этап — нажать кнопку «Готово», что приведет к добавлению сертификата в устройство.
Управление сертификатами в MS Windows производится при помощи специальной программы, которую можно запустить следующим образом: нажать сочетание клавиш Win + R и написать certmgr.msc, после чего нажать Enter.
Это понадобится для того, чтобы вручную удалить истекший сертификат IdenTrust DST Root CA X3, а также для контроля успешности операции добавления новых сертификатов – они должны появиться в разделе «Доверенные корневые центры сертификации», подраздел «Сертификаты».
Там же необходимо найти старый сертификат и выполнить его удаление.
После этих процедур можно выполнить перезагрузку ПК или сразу проверить работу ранее неоткрывавшихся сайтов с ошибкой SSL. Сайты должны открываться, но время их открытия может стать немного большим, так как при каждом запросе происходит поиск нового сертификата в хранилище.
Таким образом, проблема с открытием сайтов решается установкой нового сертификата.
Обновлено: 24.12.2022
Опубликовано: 03.09.2020
Актуальные системы семейства Windows, подключенные к Интернету, могут автоматически обновлять корневые сертификаты. В противном случае, обновление необходимо выполнять вручную. Если это не делать, мы можем столкнуться с рядом проблем:
- Не открываются или выдают предупреждение безопасности некоторые (или все) сайты, работающие по https.
- Некорректная работа отдельных приложений (например, антивирусных систем).
- Ошибки при подключении по удаленному рабочему столу.
Это пример ошибок, который не претендует на свою полному. Чаще всего, проблемы встречаются на системах, снятых с обслуживания компанией Microsoft (Windows XP, 7, а также Server 2003, 2008).
Обновление сертификатов
Обновление доверенных корневых сертификатов выполняется во время обновления операционной системы. Если последнее включено, то нашего участия не требуется, иначе, можно установить обновление вручную. Пример такого пакета — KB931125 (ссылка).
Однако, если операционная система устарела, разработчик прекращает выпуск обновлений, и мы не можем воспользоваться средствами обновления системы. В таком случае, необходимо сделать выгрузку корневых сертификатов на актуальной системе и перенести их на устаревший.
Получение актуальных сертификатов
Для начала, выгрузим сертификаты на компьютере с актуальной версией Windows (10) и подключением к сети Интернет.
Создадим каталог, в который будет выгружен файл с корневыми сертификатами, например, C:CA (папка CA на диске C).
Открываем командную строку от администратора и вводим команду:
certutil.exe -generateSSTFromWU C:CAroots.sst
* где C:CA — каталог, который мы создали; roots.sst — файл, в который будут выгружены сертификаты.
* если мы получили ошибку Не удается найти указанный файл. 0x80070002, то необходимо убедиться, что каталог CA создан (в нашем примере в корне диска С).
В папке C:CA мы должны увидеть файл roots.sst.
Установка/обновление корневых сертификатов
Полученный на предыдущем этапе файл переносим на компьютер, где необходимо обновить доверенные корневые сертификаты, например, также в папку C:CA. Скачиваем утилиту rootsupd и распаковываем ее в этот же каталог.
Открываем командную строку от администратора и вводим команду:
C:CArootsupd.exe /c /t:C:CA
* где C:CA — папка, в которую мы перенесли корневые сертификаты.
В появившемся окне Roots Update:
… выбираем No, чтобы не переписывать наш файл roots.sst.
В папке C:CA должны появится новые файлы, в том числе, утилита updroots. Вводим теперь команду:
C:CAupdroots.exe C:CAroots.sst
Готово.
Была ли полезна вам эта инструкция?
Да Нет
С сентября 2021 года, Microsoft в Windows 7 прекратила поддержку корневых сертификатов ISRG Root X1 . Многие пользователи столкнулись с проблемой не возможностью открыть сайты. Начали выходить ошибки с сообщением подключение не защищено, время установлено не правильно.
В этой статье мы расписали решение как это исправить.
пример ошибок
Переходим на сайт SSL-tools и скачиваем этот сертификат:
- Если у вас не открывает сайт с сертификатами тогда попробуйте перейти на него через браузер EDGE или браузер Firefox.
Вам может быть интересно: Выбор браузера на 2022 год
ISRG Root X1
Вызовите команду «выполнить» (нажимаем WIN+R) и вставляем команду:
certmgr.msc
нажимаем Enter.
в открывшемся окне выбираем:
Доверенные корневые центры сертификации, нажимаем правой кнопкой мыши по сертификаты, все задачи, импорт, в открывшемся окне нажимаем далее:
Мастер импорта сертификатов
в следующем окне нажимаем обзор, переходим по пути куда ранее сохранили файл скаченный с сайта сертификатов, что бы увидеть свой файл ставим все файлы и нажимаем открыть:
после этого нажимаем далее.
В следующем окне ставим точку на Поместить все сертификаты в следующее хранилище:
нажимаем далее.
на последнем окне нажимаем готово:
дожидаемся надписи об успешном импорте, нажимаем ОК.
перезагружаем компьютер и проверяем сайты которые ранее у вас перестали открываться.
Вам может быть интересно: Российские браузеры
Для тех у кого не получилось
Сделайте следующее:
скачайте ЭТОТ архив, распакуйте его, перейдите в папку «установка сертификатов скриптом», запустите файл «setup.bat«, в открывшейся консоли поставьте букву «Y» нажмите Enter, нажмите любую кнопку, компьютер перезагрузится.
Все должно заработать!