Ошибка нет доверия сертификату для mirror yandex ru
Если на вашем компьютере нет антивирусной программы, злоумышленники могли подменить сертификат безопасности при помощи вредоносного кода или атаки MITM. Проверьте ваш компьютер на вирусы с помощью бесплатных антивирусных программ: CureIt! от Dr.Web и Virus Removal Tool от «Лаборатории Касперского».
Если на вашем компьютере нет антивирусной программы, злоумышленники могли подменить сертификат безопасности при помощи вредоносного кода или атаки MITM. Проверьте ваш компьютер на вирусы с помощью бесплатных антивирусных программ: CureIt! от Dr.Web и Virus Removal Tool от «Лаборатории Касперского».
Откройте окно антивируса и нажмите кнопку в левом нижнем углу. Перейдите на вкладку Дополнительно и выберите пункт Сеть . В блоке Проверка защищенных соединений установите значение Не проверять защищенные соединения и подтвердите выбор. Откройте окно антивируса, перейдите на вкладку Настройка и нажмите ссылку Дополнительные настройки . В блоке Интернет и электронная почта → SSL/TLS отключите опцию Включить фильтрацию протокола SSL/TLS . ","prev_next":<"prevItem":<"disabled":false,"title":"Чужие письма","link":"/support/mail/web/security/strange-letters.html">,"nextItem":>,"breadcrumbs":[,],"useful_links":null,"meta":,"voter":","extra_meta":[>,>,>,>,>,>,>,>,>,>,>,>,>,>,>,>,>,>,>,>,>,>,>,>],"title":"Ошибки сертификата безопасности - Почта. Справка","canonical":"https://mail.yandex.ru/docs/support/web/problems/certificate-errors.html","productName":"Почта","extra_js":[[,"mods":,"__func137":true,"tag":"script","bem":false,"attrs":,"__func67":true>],[,"mods":,"__func137":true,"tag":"script","bem":false,"attrs":,"__func67":true>,,"mods":,"__func137":true,"tag":"script","bem":false,"attrs":,"__func67":true>],[,"mods":,"__func137":true,"tag":"script","bem":false,"attrs":,"__func67":true>]],"extra_css":[[],[,"mods":,"__func69":true,"__func68":true,"bem":false,"tag":"link","attrs":>,,"mods":,"__func69":true,"__func68":true,"bem":false,"tag":"link","attrs":>],[,"mods":,"__func69":true,"__func68":true,"bem":false,"tag":"link","attrs":>]],"csp":<"script-src":[]>,"lang":"ru">>>'>- ssl_error_bad_cert_domain
- err_cert_date_invalid
- sec_error_oscp_invalid_signing_cert
- sec_error_expired_issuer_certificate
- sec_error_expired_certificate
- sec_error_ocsp_future_response
- err_cert_common_name_invalid
- err_cert_authority_invalid
- sec_error_unknown_issuer
Если на вашем компьютере нет антивирусной программы, злоумышленники могли подменить сертификат безопасности при помощи вредоносного кода или атаки MITM. Проверьте ваш компьютер на вирусы с помощью бесплатных антивирусных программ: CureIt! от Dr.Web и Virus Removal Tool от «Лаборатории Касперского».
- ssl_error_bad_cert_domain
- err_cert_date_invalid
- sec_error_oscp_invalid_signing_cert
- sec_error_expired_issuer_certificate
- sec_error_expired_certificate
- sec_error_ocsp_future_response
- err_cert_common_name_invalid
- err_cert_authority_invalid
- sec_error_unknown_issuer
Если на вашем компьютере нет антивирусной программы, злоумышленники могли подменить сертификат безопасности при помощи вредоносного кода или атаки MITM. Проверьте ваш компьютер на вирусы с помощью бесплатных антивирусных программ: CureIt! от Dr.Web и Virus Removal Tool от «Лаборатории Касперского».
С августа 2018 года любой обновленный сервер на Centos 6.10 или Centos 7 не может получить доступ к сайтам с некоторыми сертификатами, так как нет доверия к центру сертификации, выдавшему сертификат.
Ноги растут из php c imap:
Причем 99% остальных ресурсов работают корректно.
Системы обновлены, ca-certificates.noarch тоже:
Эффект можно повторить на свежей виртуалке с Centos 6 или Centos 7 со всеми обновлениями.
Вот у Яндекса проблема, видимо, в этом - он не выдает корневой сертификат в цепочке сертификатов. Неужели в Яндексе так глупо поставили сертификат, с неполным chains?
С 1 октября 2021 года получили уже 2 обращения по этой ошибке. Обнаруживаются, в основном, на ПК под управлением ОС Windows 7, где отключено автоматическое обновление. Машины, на которые длительное время не ставились обновления Microsoft.
Ошибка «Невозможно установить безопасное соединение» при открытии веб-страниц на ПК Windows 7 Ошибка «Невозможно установить безопасное соединение» при открытии веб-страниц на ПК Windows 7«В чем причина, брат?»
Дело в том, что у части, одного или нескольких, сертификатов доверенных корневых удостоверяющих центров (УЦ) закончился срок действия. Таким образом, цепочки удостоверения доменов с 01.10.2021 считаются недействительными.
Пример сертификата корневого УЦ DST Root CA X3 с истекшим сроком действия Пример сертификата корневого УЦ DST Root CA X3 с истекшим сроком действияКак появляется ошибка:
- В виде предупреждения антивируса, что соединение с сайтом может быть опасным (не проходит проверку цепочка сертификатов, нет доверия к открываемому сайту).
- В виде ошибки браузера при обращении к домену — соединение с ресурсом не принимается операционной системой. Как на картинке выше.
Прочие рекомендации
1. Условия доступа
Еще раз ознакомьтесь с требованиями на странице выполнения условий доступа. Во время проверки сервис дает подсказки, на каком этапе есть ошибки. Позовите на помощь знакомого ИТ-специалиста.
2. Яндекс.Браузер
- обновите версию браузера до актуальной (Меню « Дополнительно — О браузере » или скачайте инсталлятор с официального сайта );
- в настройках активируйте опцию «Подключаться к сайтам, использующим шифрование по ГОСТ» (меню « Настройки — Системные — Сеть »);
- на вкладке «Настройки TLS» для КриптоПро CSP снимите галку « Не использовать устаревшие cipher suite-ы ».
3. Версии протоколов
Для теста включите в настройках браузера поддержку старых версий протоколов SSL/TLS.
Например, для IE — TLS 1.0, TLS 1.1 и TLS 1.2, а также SSL 2.0 и 3.0.
Пуск — Выполнить — inetcpl.cpl — вкладка «Дополнительно»
4. Очистка кэша SSL
Если вы работаете с несколькими учетными записями (сертификатами), при каждой смене пользователя необходимо очистить SSL ( Настройки — Свойства браузера — вкладка «Содержание» — Очистить SSL ).
Пуск — Выполнить — inetcpl.cpl — вкладка «Содержание»
5. Прямая ссылка на ЛК
6. Запуск браузера без расширений/другие браузеры
Отключите в настройках браузера дополнительные расширения, чтобы исключить их влияние на работу с порталом ФНС.
Протестируйте работу в другом браузере из списка поддерживаемых:
- Яндекс.Браузер версии 19.3 или выше;
- Спутник версии 4.1.2583.0 (Официальная сборка) или выше, gostssl (32 бит);
- Internet Explorer версии 11.0.9600.xxxxx или выше;
- Chromium-GOST.
7. Настройка антивируса/брандмауэра
Задача — отключение опции SSL-сканирования («SSL scan»). Либо настройте исключения для площадок ФНС.
8. Проверка времени и даты
Проверьте установку времени, даты и часового пояса на вашем ПК. При необходимости измените их значения на корректные или включите автоматическую синхронизацию по расписанию.
9. Другие средства защиты
Одновременная и корректная работа с разными криптопровайдерами (VipNet CSP, Континент-АП, Агава и др.) на одном ПК не гарантируется. Если установлены прочие СКЗИ — удалите их или перейдите на другое рабочее место.
✅ В настройке подключения есть свои тонкости и набор средств. Поэтому, каждый случай надо рассматривать отдельно. Универсального решения нет, проверьте рекомендации — что-то должно помочь. Успехов вам!
⚡ Подписывайтесь на канал или задавайте вопрос на сайте — постараемся помочь всеми техническими силами. Безопасной и производительной работы в Windows и 1С.
Chromium-GOST
Для тех, кто любит быстрые решения. Нас выручил специализированный Chromium-GOST , в который встроены алгоритмы шифрования ГОСТ.
На нем все запустилось, и мы сразу попали в личный кабинет ЮЛ.
Варианты действий
Если рассматривать сценарии, то можно пойти тремя путями:
- включать Центр обновлений, загружать все обязательные пакеты, в котором будет один из KB для автоматического обновления корневых сертификатов;
- искать и установить целевой (-ые) KB вручную — если у вас есть время и желание разобраться глубже;
- обновить корневые сертификаты в ручном режиме.
Первые два варианта не претендуют на 100% решение, т. к. часть ОС сняты с обслуживания компанией Microsoft (например, Windows XP, 7, а также Server 2003, 2008) и пакеты обновлений для них могут не выпускаться.
Как обновить сертификаты вручную
Используем следующий подход: делаем выгрузку корневых сертификатов на актуальной системе и переносим их в устаревшую.
Шаг 1. Выгружаем файл с корневыми сертификатами на ПК Windows 10 с подключением к Интернет, т. к. идет запрос к серверам Microsoft.
Например, создадим на диске C:\ каталог «cert», в который сохраним результат выгрузки. Запустите командную строку от имени администратора и выполните команду:
С такой ошибкой к нам обратился клиент. Подключение идет с ПК Windows 7, на борту КриптоПро и Яндекс.Браузер. Последний — в списке рекомендуемых . Но что-то мешает.
Описание ошибки
Как правило, в таких случаях следует проверить стандартный, не всеми любимый Internet Explorer. Открыли, но также быстро закрыли — версия устарела (требуется 11.0.9600.xxxxx или выше). Вариант отпадает.
Конечно же, сделали попытку обновления IE, но получили еще больше предупреждений — мол, не хватает нескольких обязательных обновлений WIndows. Получается процесс затяжного и неустойчивого характера — отложили идею, поставив на полку до лучших времен.
Проверили ключ, сертификат и формирование подписи на тестовой странице — ошибок нет.
Читайте также: