Почему возникают ошибки ssl-соединения и как их исправить?

Как убрать ошибку безопасности в Internet Explorer?

Уведомление о невозможности посетить сайт может появляться на одном или нескольких веб-ресурсах.

Основными причинами, почему браузер выдает уведомление о неполадке в Internet Explorer, являются:

• Неправильно указана дата на компьютере, ноутбуке или мобильном устройстве.
• Срок действия сертификата истек.
• Сайт ненадежный и его использование может нанести вред устройству (вирусы, вредоносные файлы, сбор личных данных и т.д.).

В зависимости от причины проблемы подбирается и способ ее решения.

Способ 1: Меняем дату на компьютере

Если браузер не видит сертификат, причиной неполадки может быть неправильная дата компьютера. Потому что сертификат безопасности действителен в течение определенного периода времени. Поэтому, если на компьютере неправильно установлено время, сообщение об ошибке будет появляться на многих страницах.

Проверьте дату на компьютере. Обычно после правильной установки даты откроется доступ к веб-ресурсам в обычном режиме.

Если это не помогло, возможно сертификат безопасности веб-сайта истек, или веб-сайт не заслуживает доверия. Поэтому никогда не используйте важные пароли или идентификаторы входа на таких ​​страницах.

Если приведенное выше решение не помогло, возможно, в системных файлах компьютера есть ошибки. Чтобы их найти, нужно использовать средства обслуживания ПК. Например, можно установить стороннее ПО — Wondershare 1-Click PC Care.

Программа может обнаружить ошибки в системных файлах и исправить их за 1 клик. Загрузите и установите приложение на свой компьютер (установка описана на официальном сайте), затем оно автоматически проверит систему. Останется нажать кнопку «Исправить сейчас», и все разрешимые проблемы в операционной системе будут устранены.

Способ 3: Добавить сайт в список надежных

Если пользователь уверен, что веб-сайт является надежным, можно вручную указать его в качестве безопасного веб-сайта в обозревателе Internet Explorer. Добавить сертификат не получится, так как его нет, но сайт можно будет просматривать. Для этого:

• Выберите «Сервис» и «Свойства браузера».
• Щелкните «Безопасность», выберите «Надежные сайты» и перейдите в «Сайты».
• Подтвердите соответствие URL и нажмите «Добавить», затем «Закрыть».
• Закройте диалоговое окно «Свойства обозревателя», нажав «ОК» или «Отмена».
• Обновите текущую страницу.

Доступ к сайту открыт. Так же можно и удалить его из списка надежных ресурсов.

Что делать при отсутствии своего сертификата в списке на странице «Ваши сертификаты»

Если подобный объект не был установлен, переходят на интернет-страницу удостоверяющего центра, скачивают и устанавливают компоненты личной электронной подписи. Если сертификат скачан ранее, проверяют правильность его загрузки. Для этого выполняют следующие действия:

1. Переходят в пусковое меню. Выбирают раздел «Все программы». После этого нужно найти в списке «КриптоПро».
2. В открывшемся окне выбирают вариант «Личное», переходят во вкладку «Сертификаты».
3. Двойным нажатием открывают объект, который не отображается в списке. Переходят в раздел «Путь сертификации». Здесь находится цепочка, включающая личные файлы, корневые сертификаты удостоверяющего центра, ключи вышестоящих инстанций, выполнявших аккредитацию.
4. Проверяют, присутствуют ли возле найденных объектов предупредительные знаки, например, крестики. При наличии таковых сертификат считается недействительным. Нажав на файл, можно посмотреть причину ошибки.
5. Если объекты просрочены, необходимо обратиться в удостоверяющий центр для продления. Если предупредительные знаки отсутствуют, а доступные файлы не проходят проверку, переустанавливают корневой сертификат личной электронной подписи.

Удалите соответствующую ветку реестра

Эффективным способом решить проблему «При формировании запроса произошла ошибка: Error CertEnroll…» является удаление ветки (веток) реестра, ответственной за несовпадающий закрытый ключ. Перед выполнением соответствующих операций вам будет необходимо узнать, какой разрядности ваша система (32 или 64 бита). Для этого будет необходимо нажать а сочетание кнопок Win+Pause, и в появившейся странице основных сведений о компьютере просмотрите данные в строке «Тип системы».

32-разрядная ОС Виндовс

Если у вас 32-разрядная система, тогда выполните следующее:

• Нажмите на Win+R, в появившемся окне для выполнения введите regedit и нажмите Энтер;
• В открывшемся окне системного реестра перейдите по пути:

* Удалите там ветку:

Для этого наведите курсор на данную ветку, кликните ПКМ, и выберите «Удалить»;

Удалите указанную ветку реестра

Закройте системный реестр, перезагрузите ПК, и попытайтесь вновь выполнить запрос на создание сертификата.

64 разрядная ОС

Если у вас 64-разрядная система, тогда выполните следующее:

• Нажмите на Win+R, в появившемся окне для выполнения введите regedit и нажмите Энтер;
• В открывшемся окне системного реестра перейдите по пути:

и удалите там ветку:

Удалите указанную ветку реестра

Затем перейдите по пути:

и удалите там ветку:

Закройте реестр, перезагрузите ваш ПК и попытайтесь вновь исполнить запрос на создание сертификата.

Как устранить ошибку

1) Обратите внимание на адрес сайта

Первое, что сделайте — просто обратите внимание на адрес сайта (возможно, что вы по ошибке набрали не тот URL). Также иногда такое происходит по вине сервера, на котором расположен сайт (возможно, вообще, сам сертификат просто устарел, ведь его выдают на определенное время)

Попробуйте посетить другие сайты, если с ними все OK — то вероятнее всего, что проблема не в вашей системе, а у того конкретного сайта.

Пример ошибки «Сертификат безопасности сайта не является доверенным»

Однако, отмечу, что если ошибка появляется на очень известном сайте, которому вы (и многие другие пользователи) всецело доверяете — то высока вероятность проблемы в вашей системе…

2) Проверьте дату и время, установленные в Windows

Второй момент — подобная ошибка может выскакивать, если у вас в системе неверно задано время или дата. Для их корректировки и уточнения достаточно щелкнуть мышкой по «времени» в панели задач Windows (в правом нижнем углу экрана). См. скрин ниже.

Настройка даты и времени

После установки правильного времени, перезагрузите компьютер и попробуйте заново открыть браузер и сайты в нем. Ошибка должна исчезнуть.

Также обращаю внимание на то, что, если у вас постоянно сбивается время — вероятно у вас села батарейка на материнской плате. Представляет она из себя небольшую «таблетку», благодаря которой компьютер помнит введенные вами настройки, даже если вы его отключаете от сети (например, те же дата и время как-то высчитываются?)

Батарейка на материнской плате ПК

3) Попробуйте провести обновление корневых сертификатов

4) Установка «доверенных» сертификатов в систему

Этот способ хоть и рабочий, но хотелось бы предупредить, что он «может» стать источником проблем в безопасности вашей системы. По крайней мере, прибегать к этому советую только для таких крупных сайтов как Google, Яндекс и т.д.

Для избавления от ошибки, связанной с недостоверностью сертификата, должен подойти спец. пакет GeoTrust Primary Certification Authority.

Кстати, чтобы скачать GeoTrust Primary Certification Authority:

Теперь необходимо скачанный сертификат установить в систему. Как это делается, по шагам расскажу чуть ниже:

1. сначала нажимаем сочетание кнопок Win+R, и вводим команду certmgr.msc, жмем OK;

2. должен открыться центр сертификатов в Windows. Необходимо раскрыть вкладку «Доверенные корневые центры сертификации/сертификаты», щелкнуть по ней правой кнопкой мышки и выбрать «Все задачи — импорт».

3. далее запустится мастер импорта сертификатов. Просто жмем «Далее».

4. после нажмите кнопку «Обзор» и укажите ранее загруженный нами сертификат. Нажмите «Далее» (пример показан ниже);

5. в следующем шаге укажите, что сертификаты нужно поместить в доверенные центры сертификации и нажмите «Далее».

6. в следующем шаге вы должны увидеть, что импорт успешно завершен. Собственно, можно идти проверять, как будет отображаться сайт в браузере (может потребоваться перезагрузка ПК).

5) Обратите внимание на антивирусные утилиты

В некоторых случаях эта ошибка может возникать из-за того, что какая-нибудь программа (например, антивирус) проверяет https трафик. Это видит браузер, что пришедший сертификат не соответствует адресу, с которого он получен, и в результате появляется предупреждение/ошибка…

Поэтому, если у вас установлен антивирус/брандмауэр, проверьте и на время отключите настройку сканирования https трафика (см. пример настроек AVAST на скрине ниже).

Avast — основные настройки (отключение сканирование https трафика)

На этом у меня всё…

За дополнения по теме — отдельное мерси!

Всего доброго!

RSS 
(как читать Rss)

Из-за чего появляется ошибка Error CertEnroll

В большинстве своём у отечественных пользователей ошибка Error CertEnroll возникает на сайте ФЗС «Росказна», являющегося веткой информационной системы Удостоверяющего центра казначейства. Данный портал позволяет формировать запросы на сертификаты, выполнять поиск сертификатов, создавать справки по статусу сертификатов, проверять действительную подлинность ЭП, выполнять другие схожие операции.

При создании запроса на издание сертификата пользователь сталкивается с сообщением « При формировании запроса произошла ошибка: error: сertenroll: ». За данным сообщением обычно следует код ошибки (обычно это 0x80091002) и упоминание об «неизвестном криптографическом алгоритме».

Причиной ошибки Error CertEnroll обычно является следующее:

• Случайный сбой на пользовательском ПК;
• В системе используется несовпадающий закрытый ключ, ссылка на который имеется в реестре;
• Для связи с порталом ФЗС «Росказна» используется устаревшая версия браузера;
• Версия КриптоПро на ПК пользователя работает некорректно;
• На пользовательском ПК присутствует вирусный зловред;
• В браузере установлены расширения (дополнения) препятствующие корректной работе CSP «КриптоПро».

Давайте разберёмся, как исправить ошибку Error CertEnroll на вашем ПК. Но прежде чем приступать к реализации приведённых ниже советов, попробуйте просто перезагрузить ваш ПК. Самый банальный совет может оказаться весьма эффективным.

Разбираем, как решить возникшую ошибку

Удалите соответствующую ветку реестра

Эффективным способом решить проблему «При формировании запроса произошла ошибка: Error CertEnroll…» является удаление ветки (веток) реестра, ответственной за несовпадающий закрытый ключ. Перед выполнением соответствующих операций вам будет необходимо узнать, какой разрядности ваша система (32 или 64 бита). Для этого будет необходимо нажать а сочетание кнопок Win+Pause, и в появившейся странице основных сведений о компьютере просмотрите данные в строке «Тип системы».

32-разрядная ОС Виндовс

Если у вас 32-разрядная система, тогда выполните следующее:

• Нажмите на Win+R, в появившемся окне для выполнения введите regedit и нажмите Энтер;
• В открывшемся окне системного реестра перейдите по пути:

* Удалите там ветку:

Для этого наведите курсор на данную ветку, кликните ПКМ, и выберите «Удалить»;

Удалите указанную ветку реестра

Закройте системный реестр, перезагрузите ПК, и попытайтесь вновь выполнить запрос на создание сертификата.

64 разрядная ОС

Если у вас 64-разрядная система, тогда выполните следующее:

• Нажмите на Win+R, в появившемся окне для выполнения введите regedit и нажмите Энтер;
• В открывшемся окне системного реестра перейдите по пути:

и удалите там ветку:

Удалите указанную ветку реестра

Затем перейдите по пути:

и удалите там ветку:

Закройте реестр, перезагрузите ваш ПК и попытайтесь вновь исполнить запрос на создание сертификата.

Что делать, чтобы исправить ошибку “Недостаточно информации для проверки этого сертификата”

Сначала нужно проверить, произведена ли на компьютере установка всех без исключения сертификатов.

1. Для этого найдите в кнопке “Пуск” программу КриптоПро.
2. Перейдите в раздел “Сертификаты”→”Текущий пользователь”.
3. Затем пройдите путь “Доверенные корневые центры сертификации”→”Реестр”→”Сертификаты”.

Многие юзеры сообщают, что корневым сертификатом у них ранее был документ с названием УЦ либо УЦ 1 ИС ГУЦ. При этом все работало без сбоев. Но теперь ситуация немного изменилась. Если сертификат вам выпустили до 15 апреля 2016 года, то при проведении проверки не должно возникать ошибок (при отсутствии проблем с технической стороны в КриптоПро либо на компьютере).

Если же вы получили свой сертификат после вышеуказанной даты, то могут возникать сбои. Для их устранения с официального интернет-портала правовой информации нужно скачать и инсталлировать корневые сертификаты ГУЦ (которым выступает Министерство связи и массовых коммуникаций РФ). Они и будут возглавлять цепочку ваших сертификатов.

Цепочка сертификатов

Как отмечают пользователи, столкнувшиеся с данной проблемой, описанный вариант реально помог с решением ошибки с недостатком информации для проверки сертификата. На вышеуказанном портале также размещены сведения о корневых и списки отозванных сертификатов (вместе со ссылками на скачивание). При нажатии на нужные вам данные файл сразу начнет загружаться на компьютер.

Еще одной причиной недостаточности информации для проверки этого сертификата может быть несоответствие в работе КриптоПро и операционной системы, установленной на пользовательском ПК. При обновлении либо переустановке КриптоПро применяйте только лицензионную версию. Если лицензия у вас приобретена, а сертификат все же не проходит проверку, попробуйте предпринять следующее:

• переустановите личный сертификат;
• удалите и произведите установку корневого сертификата;
• заново проверьте документ.

Результат не достигнут и ошибка продолжает выскакивать? Переустановите приложение КриптоПро. Возможно, в прошлый раз инсталляция была произведена некорректно, что послужило причиной проблем при проверке сертификатов. Важную роль играет и человеческий фактор, ведь установщики КриптоПро и сертификатов могут ошибиться или проявить невнимательность, в результате чего и будут появляться различные проблемы при проверке.

Я надеюсь, что предоставленная информация оказалась полезной для вас, ведь даже тот, кто говорит “Странно, у меня все в порядке, все функционирует”, не застрахован от ошибок разного рода.

Что может быть причиной возникновения проблем при проверке сертификатов

Причинами проблемы могут служить несколько факторов. Одна из ошибок при проверке сертификата связана со сбоями в работе КриптоПро. Это – утилита, которая:

• является средством работы с сертификатами;
• организует структуру PKI;
• защищает конфиденциальные данные;
• генерирует ЭЦП;
• производит другие действия, обеспечивающие криптозащиту информации, пересылаемой по интернету.

Что такое КриптоПро

Если инсталлированная версия КриптоПро не подходит под ОС, установленную на ПК, то в ее функционировании также будут наблюдаться разные ошибки. Еще одной причиной сбоя «Недостаточно информации для проверки этого сертификата» бывает именно недостаточность информации для проверки этого сертификата. Так как по ошибке установщиков важные сведения могут не прогрузиться вместе с инсталляцией программы КриптоПро.

Вопросы и ответы

Вопрос: Как получить СКЗИ (КриптоПро)?
Ответ: Для получения СКЗИ необходимо предоставить в РЦР:
а) заявку на получение средств криптографической зашиты информации (количество запрашиваемых лицензий на СКЗИ не должно превышать количество сотрудников (Заявителей), наделенных правом подписи электронных документов);
б) оптический носитель однократной записи (CD-R, DVD-R).

Вопрос: Необходимо ли организации-заявителю получать КриптоПро в РЦР, если у неё уже есть свое КриптоПро?
Ответ: Если у организации-заявителя имеется достаточное количество лицензий и дистрибутивов, то нет необходимости в получении новых. Для работы в информационных системах Федерального казначейства необходимо иметь сертифицированное КриптоПРО 4.0 или выше.

Вопрос: Мы хотим изготовить ЭП. В каком программном средстве нам необходимо это делать?
Ответ: Для изготовления ЭП необходимо использовать Портал Формирования запросов на сертификаты информационной системы «Удостоверяющий центр Федерального казначейства», через Онлайн сервис подачи документов для сертификата.

Вопрос: Как установить новые корневые сертификаты?
Ответ: Для установки корневых сертификатов необходимо выполнить действия, указанные в Инструкции по установке корневых сертификатов ГУЦ и УЦ ФК. Инструкция расположена на сайте Управления в разделе ГИС / Удостоверяющий центр / Инструкции и разъяснения.

Вопрос: Какой установлен срок создания сертификата?
Ответ: Сертификат создается после подтверждения достоверности представленных сведений в течение 6 рабочих дней со дня поступления заявления на сертификат и прилагаемых документов. Срок создания сертификата может быть увеличен до 30 дней в случае несвоевременного получения сведений, находящихся в распоряжении государственных органов, иных органов, необходимых для создания сертификата.

Вопрос: Какой установлен срок выдачи СКЗИ по письменному обращению организации?
Ответ: Выдача СКЗИ и эксплуатационной документации к ним осуществляется не позднее 3 рабочих дней с даты приема письменного обращения заявителя с указанием лица, получающего средство ЭП, и съемного носителя информации (CD-R, DVD-R).

Вопрос: Какой срок действия доверенности от Организации-заявителя устанавливать?
Ответ: Срок действия доверенности определяется организацией в соответствии с законодательством Российской Федерации.

Вопрос: Как посмотреть срок действия ключа электронной подписи?
Ответ: Открыть «Пуск»> «Панель управления» > «КриптоПро CSP» > вкладка «Сервис» > кнопка «Протестировать». В открывшемся окне необходимо нажать кнопку «Обзор». Выбрать ключевой контейнер и нажать кнопку «Далее». В окне «Работа мастера проверки контейнера завершена» найти строку «Срок действия закрытого ключа» Вопрос: При формировании ЭП с помощью онлайн портала возникает ошибка: При формировании запроса произошла ошибка: Error: Невозможно создание объекта сервером программирования объектов.
Ответ: 1. Необходимо переустановить «КриптоПРО ЭЦП Browser Plugin» версии 2.0.
2. Необходимо зарегистрировать библиотеку capicom:
Установка
• Скопируйте CAPICOM.dll в системную папку Windows (system32).
• Запустите Командную строку Windows(cmd) от имени администратора.
• Зарегистрируйте, для этого в папке с установленным CAPICOM.dll в командной строке введите команду:
regsvr32 CAPICOM.dll
CAPICOM 1.0 — может быть использовано в среде MicrosoftWindows 95, MicrosoftWindows 98, MicrosoftWindowsME, MicrosoftWindowsNT 4.0, MicrosoftWindows 2000, WindowsXPиWindows.NETServer.
CAPICOM 2.0 — Windows 98, Windows Me, Windows NT 4.0, Windows 2000, Windows XP и Windows.NET Server.
Для обоих CAPICOM 1.0 и CAPICOM 2.0, требуется наличие Microsoft Internet Explorer не младше версии 5.0.

Вопрос: При формировании ЭП с помощью онлайн портала возникает ошибка: При формировании запроса произошла ошибка: Error: CertEnroll::CX509Enrollment::_CreateRequest: Неизвестный криптографический алгоритм. 0x80091002 (-2146889726) 

Ответ: Необходимо удалить две ветки реестра в случае Windows x64 (либо только одну первую, если операционная система x32):

По оставшимся вопросам можно написать на электронную почту ufk-rsibi@yandex.ru

Ошибки «Invalid CSR» при генерации сертификата из панели управления облачного провайдера

В процессе активации сертификата можно столкнуться с ошибкой «Invalid CSR». Такая ошибка возникает по следующим причинам:

• Неправильное имя FQDN (полное имя домена) в качестве Common Name (в некоторых панелях управления это поле может также называться Host Name или Domain Name). В этом поле должно быть указано полное доменное имя вида domain.com или subdomain.domain.com (для субдоменов). Имя домена указывается без https://. В качестве данного значения нельзя использовать интранет-имена (text.local). В запросе для wildcard-сертификатов доменное имя необходимо указывать как *.domain.com.
• В CSR или пароле есть не латинские буквы и цифры. В CSR поддерживаются только латинские буквы и цифры – спецсимволы использовать запрещено. Это правило распространяется и на пароли для пары CSR/RSA: они не должны содержать спецсимволов.
• Неверно указан код страны. Код страны должен быть двухбуквенным ISO 3166-1 кодом (к примеру, RU, US и т.д.). Он указывается в виде двух заглавных букв.
• В управляющей строке не хватает символов. CSR-запрос должен начинаться с управляющей строки ——BEGIN CERTIFICATE REQUEST—— и заканчиваться управляющей строкой ——END CERTIFICATE REQUEST——. С каждой стороны этих строк должно быть по 5 дефисов.
• В конце или начале строки CSR есть пробелы. Пробелы на концах строк в CSR не допускаются.
• Длина ключа меньше 2048 бит. Длина ключа должна быть не менее 2048 бит.
• В CRS-коде для сертификата для одного доменного имени есть SAN-имя. В CSR-коде для сертификата, предназначенного защитить одно доменное имя, не должно быть SAN (Subject Alternative Names). SAN-имена указываются для мультидоменных (UCC) сертификатов.
• При перевыпуске или продлении сертификата изменилось поле Common Name. Это поле не должно меняться.

ORA-20015: Не удалось определить состояние ЭЛН:

Для перехода в статус ‘Продлен’ необходимо добавить период нетрудоспособности;Для перехода в статус ‘Закрыт’ необходимо заполнить поля: ‘Приступить к работе с: дата’ или ‘Иное: код’;Для перехода в статус ‘Направление на МСЭ’ необходимо заполнить поле ‘Дата направления в бюро МСЭ’

Причина:

1. В системе существует ЭЛН с таким же номером и такими же данными, которые Вы присылаете (дублирование данных);

2. Присылаемые данные в ЭЛН не соответствуют этапу оформления (заполнения) ЭЛН:

• недостаточно данных для определения состояния ЭЛН;
• внесенные данные относятся к разным этапам оформления (заполнения) ЭЛН.

Что делать: 

1. Запросите актуальное состояние ЭЛН из системы, тем самым Вы исключите повторную отправку тех же данных;

2. Выполните необходимую дальнейшую операцию с ЭЛН в соответствии с порядком 624н:

• продление (добавить новый период нетрудоспособности);
• закрытие (добавить информацию о закрытии);
• направление на МСЭ (добавить информацию о направлении на МСЭ).

Причины появления сообщения

• Сертификат может быть отозван. Например, по заявлению владельца, если его сайт взломали. 
• Сертификат выписан нелегально. Сертификат должен быть получен в удостоверяющем центре после прохождения проверки. 

• Нарушена цепочка сертификатов. Сертификаты проверяются по цепочке от самоподписанного до доверенного корневого сертификата, который предоставляет удостоверяющий центр. Промежуточные сертификаты предназначены для подписания (подтверждения) другого сертификата в цепочке.

  Причины, по которым может быть нарушена цепочка сертификатов:

  • Цепочка состоит из одного самоподписанного сертификата. Такой сертификат не заверяется удостоверяющим центром и может быть опасен.
  • Цепочка не завершается доверенным корневым сертификатом.
  • Цепочка содержит сертификаты, не предназначенные для подписывания других сертификатов.
  • Истекло или не наступило время действия корневого или промежуточного сертификата. Удостоверяющий центр выдает сертификат на определенный период времени. 
  • Цепочка не может быть выстроена.
• Домен в сертификате не соответствует сайту, с которым устанавливается соединение.
• Сертификат не предназначен для подтверждения подлинности узла. Например, сертификат предназначен только для шифрования соединения между пользователем и сайтом.
• Нарушены политики использования сертификата. Политика сертификата — набор правил, определяющий использование сертификата с заданными требованиями безопасности. Каждый сертификат должен соответствовать хотя бы одной политике сертификата. Если их приведено несколько, сертификат должен удовлетворять всем политикам. 
• Нарушена структура сертификата.
• Возникла ошибка при проверке подписи сертификата.

Заключение

Многие бизнес-структуры работают с программой Сбербанк Бизнес Онлайн, и не редки случаи возникновения ошибок TLS соединений. Поскольку денежный оборот у многих компаний существенен, то принимать решение об устранении неполадки следует сразу. Нельзя надеяться, что это обыкновенный сбой системы. Такое может быть, как и неполадки на сервере. Но чаще всего подобное возникает из-за несоответствия требований, предъявляемых техническому оснащению при подключении к программе. Следует серьезно подойти к ПО, чтобы в дальнейшем не возникало подобных проблем. В любом случае, чтобы ускорить решение данного вопроса стоит сразу обратиться в службу технической поддержки банковского учреждения.