Российские сайты не открываются из-за сертификатов безопасности: причины и решение проблемы
C начала марта у российских государственных учреждений и организаций иностранные центры сертификации начали отзывать ранее выданные SSL-сертификаты. Причина все та же – санкционная политика иностранных государств. Первоначально с проблемой столкнулся Центробанк и попавшие в санкционный лист банки РФ — ВТБ, Совкомбанк, Промсвязьбанк. Затем сертификатов лишись сайты госорганов, компаний с госучастием и домены обычных коммерческих фирм. Западные поставщики SSL-сертификатов заявили о прекращении их выпуска для российских и белорусских сайтов. Продлить ранее выданные сертификаты теперь тоже нельзя. Как следствие, при попытке перейти на нужный сайт пользователь получает сообщение об ошибке с надписью: «Соединение небезопасно». А небезопасные соединения браузер блокирует.
SSL-сертификат или Secure Socket Layer (в переводе на русский язык – «уровень защищенного сокета») – это средство защиты информации в Интернете от фишинга и других схем кибермошенничества. Цифровой сертификат позволяет подтвердить подлинность веб-сайта и установить с ним зашифрованное, а значит, безопасное соединение. Иначе говоря, это цифровая подпись сайта. При ее наличии обмен данными происходит по протоколу SSL, что обеспечивает безопасную передачу информации браузером пользователя веб-серверу. Если на сайте установлен SSL-сертификат, вы можете свободно передать свои персональные и банковские данные, не опасаясь, что они станут доступны третьим лицам.
Сейчас применяется новая, более совершенная версия SSL-сертификатов под названием TLS. Но так как интернет-пользователям больше привычна аббревиатура SSL, TLS-сертификаты продолжили называть по-старому — SSL.
Для этого нужно посмотреть в адресную строку. Сайт, защищенный сертификатом безопасности, будет помечен значком закрытого замка. Если нажать на него, появится оповещение о безопасном подключении. Кликнув на надпись: «Сертификат», отобразятся сведения кому, кем и на сколько выдан SSL-сертификат. На сайтах, не защищенных сертификатами, нет значка с закрытым замком, а в адресной строке отображается надпись: «Не защищено».
Также на сайтах c SSL URL-адрес (находится в адресной строке) будет начинаться с указания на протокол HTTPS. Если URL-адрес начинается с HTTP, то этот сайт не защищен SSL-сертификатом и обмен данными с ним небезопасен.
Дело в том, что практически все владельцы сайтов в той или иной мере выступают операторами персональных данных. Если функционал сайта предусматривает оставление заявки для обратной связи, указание имейла, публикацию комментариев, подписку на новостную рассылку, регистрацию личного кабинета, возможность оплаты товаров, работ или услуг, то все это подпадает под определение «Обработка персональных данных». Согласно положениям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» оператор при обработке персональных данных обязан обеспечить их безопасность, в том числе путем принятия технических мер безопасности. Установка на сайт SSL-сертификата является одной из таких мер. Поэтому браузеры блокируют доступ к сайтам c отозванными иностранными сертификатами или вовсе не имеющим таких сертификатов. Даже если пользователь не собирается оставлять свои персональные данные, браузер ограничит ему доступ к небезопасному сайту.
Теперь есть. Раньше сертификаты безопасности выдавали только иностранные удостоверяющие центры через свои партнерские компании. После массового отзыва в начале марта зарубежных сертификатов Минцифры анонсировало скорый запуск работы национального удостоверяющего центра по бесплатной выдаче TLS-сертификатов российским компаниям, лишившимся сертификатов безопасности из-за санкций. Как пояснили в министерстве, получить TLS-сертификат можно дистанционно на портале госуслуг. Здесь же публикуется список доменов, которым уже выпустили сертификаты. При этом в ведомстве пообещали, что поддерживать отечественные TLS-сертификаты будут все работающие на территории России браузеры и операционные системы.
Уже в конце марта научно-исследовательский институт «Восход» сообщил о готовности информационной системы национального удостоверяющего центра, которая обеспечивает выпуск TLS-сертификатов. Однако в институте уточнили, что сертификаты выпускают с применением не только российских криптографических алгоритмов, но и иных, а работоспособность сайтов с их использованием поддерживают только российские браузеры «Яндекс» и «Атом». А это значит, что проблемы доступа к сайтам из-за SSL-сертификатов все равно останутся.
Это происходит ввиду того, что корневой сертификат российского удостоверяющего центра, то есть файл с данными об отечественном удостоверяющем центре, пока интегрирован только в браузеры РФ. В иностранные браузеры и операционные системы, которые массово используются в России, он не встроен. Поэтому при открытии через них сайт ошибка о небезопасном соединении все равно появится.
Способ № 1. Установите «Яндекс.Браузер»
Самый легкий способ решения проблемы – установить российский браузер. Скачать «Яндекс.Браузер» можно по ссылке https://browser.yandex.ru/. Нажмите «Скачать», откройте скачанный файл и нажмите «Установить». Способ посоветовало Минцифры РФ после появления перебоев в доступе к госуслугам.
Способ № 2. Установите браузер Atom
Это второй российский браузер, установка которого позволит решить проблему блокировки перехода на сайт. Скачать браузер Atom можно по ссылке https://browser.ru/. Нажмите «Установить» и откройте скачанный файл, после чего начнется установка.
Способ № 3. Установите корневой сертификат удостоверяющего центра РФ в Windows
Этот способ позволит открывать сайты через иностранные браузеры — Google Chrome, Mozilla Firefox, Opera и другие, а не только через «Яндекс.Бразуер» и Atom.
В Windows 10 выполните следующие действия:
- перейдите по ссылке https://www.gosuslugi.ru/tls;
- найдите раздел «Корневой сертификат удостоверяющего центра» и нажмите кнопку «Скачать сертификат»;
- откройте скачанный zip-файл, кликните на файл rootca_ssl_rsa2022.cer и нажмите кнопку «Установить сертификат»;
- нажмите «Далее» и выберите пункт «Поместить все сертификаты в следующее хранилище»;
- кликните кнопку «Обзор» и, выбрав «Доверенные корневые центры сертификации», нажмите «Ок»;
- кликните кнопку «Далее», затем «Готово». Если компьютер попросит подтвердить установку, нажмите «Да». Сертификат установится, появится оповещение «Импорт успешно выполнен».
Способ № 4. Обратитесь в IT-отдел вашей компании
Менее продвинутым пользователям ПК вышеописанные действия могут показаться сложными. Поэтому рекомендуем ознакомить с инструкцией сотрудников IT-отдела, чтобы они помогли выполнить необходимые настройки.
Почему возникают ошибки SSL-соединения и как их исправить?
Зачастую после установки SSL-сертификатов многие пользователи сталкиваются с ошибками, которые препятствуют корректной работе защищенного протокола HTTPS.
Предлагаем в данной статье разобраться с видами и со способами устранения подобных ошибок.
Что такое SSL? SSL (Secure Socket Layer) — это интернет-протокол для создания зашифрованного соединения между пользователем и сервером, который гарантирует безопасную передачу данных.
Когда пользователь заходит на сайт, браузер запрашивает у сервера информацию о наличии сертификата. Если сертификат установлен, сервер отвечает положительно и отправляет копию SSL-сертификата браузеру. Затем браузер проверяет сертификат, название которого должно совпадать с именем сайта, срок действия сертификата и наличие корневого сертификата, выданного центром сертификации.
Причины возникновения ошибок SSL-соединения
Когда сертификат работает корректно, адресная строка браузера выглядит примерно так:
Но при наличии ошибок она выглядит несколько иначе:
Существует множество причин возникновения таких ошибок. К числу основных можно отнести:
- Некорректную дату и время на устройстве (компьютер, смартфон, планшет и т.д.);
- Ненадежный SSL-сертификат;
- Брандмауэр или антивирус, блокирующие сайт;
- Включенный экспериментальный интернет-протокол QUIC;
- Отсутствие обновлений операционной системы;
- Использование SSL-сертификата устаревшей версии 3.0;
- Появление ошибки «Invalid CSR» при генерации сертификата из панели управления облачного провайдера.
Давайте рассмотрим каждую из них подробнее.
Проблемы с датой и временем
Если на устройстве установлены некорректные дата и время, ошибка SSL-соединения неизбежна, ведь при проверке сертификата происходит проверка срока его действия. Современные браузеры умеют определять такую ошибку самостоятельно и выводят сообщение о неправильно установленной дате или времени.
Для исправления этой ошибки достаточно установить на устройстве актуальное время. После этого необходимо перезагрузить страницу или браузер.
Ненадежный SSL-сертификат
Иногда при переходе на сайт, защищенный протоколом HTTPS, появляется ошибка «SSL-сертификат сайта не заслуживает доверия».
Одной из причин появления такой ошибки, как и в предыдущем случае, может стать неправильное время. Однако есть и вторая причина — браузеру не удается проверить цепочку доверия сертификата, потому что не хватает корневого сертификата. Для избавления от такой ошибки необходимо скачать специальный пакет GeoTrust Primary Certification Authority, содержащий корневые сертификаты. После скачивания переходим к установке. Для этого:
- Нажимаем сочетание клавиш Win+R и вводим команду certmgr.msc, жмем «Ок». В Windows откроется центр сертификатов.
- Раскрываем список «Доверенные корневые центры сертификации» слева, выбираем папку «Сертификаты», кликаем по ней правой кнопкой мышки и выбираем «Все задачи — импорт».
- Запустится мастер импорта сертификатов. Жмем «Далее».
- Нажимаем кнопку «Обзор» и указываем загруженный ранее сертификат. Нажимаем «Далее»:
- В следующем диалоговом окне указываем, что сертификаты необходимо поместить в доверенные корневые центры сертификации, и нажимаем «Далее». Импорт должен успешно завершиться.
После вышеперечисленных действий можно перезагрузить устройство и проверить отображение сайта в браузере.
Брандмауэр или антивирус, блокирующие сайт
Некоторые сайты блокируются брандмауэром Windows. Для проверки можно отключить брандмауэр и попробовать зайти на нужный сайт. Если SSL-сертификат начал работать корректно, значит дело в брандмауэре. В браузере Internet Explorer вы можете внести некорректно работающий сайт в список надежных и проблема исчезнет. Однако таким образом вы снизите безопасность своего устройства, так как содержимое сайта может быть небезопасным, а контроль сайта теперь отключен.
Также SSL может блокировать антивирусная программа. Попробуйте отключить в антивирусе проверку протоколов SSL и HTTPS и зайти на сайт. При необходимости добавьте сайт в список исключений антивируса.
Включенный экспериментальный протокол QUIC
QUIC — это новый экспериментальный протокол, который нужен для быстрого подключения к интернету. Основная задача протокола QUIC состоит в поддержке нескольких соединений. Вы можете отключить этот протокол в конфигурации вашего браузера.
Показываем как отключить QUIC на примере браузера Google Chrome:
- Откройте браузер и введите команду chrome://flags/#enable-quic;
- В появившемся окне будет выделен параметр: Experimental QUIC protocol (Экспериментальный протокол QUIC). Под названием этого параметра вы увидите выпадающее меню, в котором нужно выбрать опцию: Disable.
- После этого просто перезапустите браузер.
Этот способ работает и в Windows и в Mac OS.
Отсутствие обновлений операционной системы
Проблемы с SSL-сертификатами могут возникать и из-за того, что на вашей операционной системе давно не устанавливались обновлений. Особенно это касается устаревших версий Windows (7, Vista, XP и более ранние). Установите последние обновления и проверьте работу SSL.
Использование SSL-сертификата версии 3.0
Некоторые сайты используют устаревший SSL-протокол версии 3.0, который не поддерживают браузеры. По крайней мере, по умолчанию. Чтобы браузер поддерживал устаревший SSL необходимо сделать следующее (на примере браузера Google Chrome):
- Откройте браузер и перейдите в раздел «Настройки».
- Прокрутите страницу настроек вниз и нажмите «Дополнительные».
- В разделе «Система» найдите параметр «Настройки прокси-сервера» и кликните на него.
- Откроется окно. Перейдите на вкладку «Дополнительно».
- В этой вкладке вы увидите чекбокс «SSL 3.0».
- Поставьте галочку в чекбоксе, нажмите кнопку «Ок» и перезагрузите браузер.
Ошибки «Invalid CSR» при генерации сертификата из панели управления облачного провайдера
В процессе активации сертификата можно столкнуться с ошибкой «Invalid CSR». Такая ошибка возникает по следующим причинам:
Как исправить ошибки SSL
Чтобы сайт работал по защищенному протоколу (https), устанавливается SSL-сертификат. Закрытый замочек в адресной строке, подсказывает пользователям, что сайт, на котором они находятся безопасен и трафик, передаваемый, между сайтом и браузером клиента шифруется. Более подробно что такое SSL вы можете узнать на этой странице.
Но бывает так, что сайт выдает ошибку протокола SSL. Это может произойти по ряду причин, рассмотрим их более подробнее.
1. Сбились системные настройки даты и времени
Пример (браузер Google Chrome):
Для того чтобы это исправить достаточно просто изменить дату и время на текущие.
2. Срабатывает вредоносный скрипт
В интернете часто встречаются интернет-мошенники, которые хотят похитить Ваши персональные данные. Ошибка возникает, скорее всего, из-за того что браузер переадресовывает Вас на сайт-клон.
Проверьте компьютер на наличие вирусов и произведите очистку имеющихся вирусов. Если проблема осталась, следует обратиться к специалисту, который выявит ошибку подключения SSL и исправит ее.
3. Антивирус может блокировать некоторый трафик по https
Например антивирусная программа может не принять самоподписанный сертификат или SSL-сертификат Let`s Encrypt.
Проверьте настройки антивируса, возможно у Вас подключена «проверка протокола https» . Выключите данную функцию. Если ошибка все равно не пропала отключите антивирус.
4. Изменились настройки браузера
Временно добавьте страницу в исключения браузера. Очистите кеш браузера и используйте http ссылку вместо https. Попробуйте открыть сайт в другом браузере. Если сайт открылся, то проверьте не нужно ли обновить браузер. Также возможно произошел сбой браузера — тогда следует перезагрузить браузер. Кроме того, у Вас могут быть установлены антивирусные расширения. Попробуйте отключить их в разделе «Расширения». Пример браузер Google Chrome:
5. Ошибка подключение не защищено (Google Chrome)
Если в Google Chrome пишет, что подключение не защищено, это может обозначать, что на сайте установлен самоподписанный сертификат безопасности или же не установлен вообще. Вы всё равно можете открыть сайт, для этого нажмите кнопку «Дополнительно».
Далее нажимаем кнопку «Перейти на сайт (небезопасно)». Готово.
6. Ошибка подключение не защищено (Firefox)
В браузере Firefox, также нужно нажать на кнопку «Дополнительно».
После нажать кнопку «Принять риск и продолжить». Готово.
Для владельца сайта, следует проверить:
- Действителен ли SSL-сертификат. Купить SSL-сертификат можно на нашем хостинге.
- Правильно ли установлен SSL-сертификат. Как установить SSL-сертификат читайте на нашем сайте.
- Настроен ли для сайта редирект с http на https.
- На какой домен установлен SSL-сертификат. Сертификат регистрируется на конкретный домен, для каждого поддомена требуется отдельный сертификат. Можно купить Wildcard сертификат, который позволяет защитить сразу несколько поддоменов.
Также обратите внимание, с 1 октября 2021 года закончился срок действия сертификата IdenTrust DST Root CA X3 (одного из основных корневых сертификатов, применяемых в сети), который установлен на многих устройствах. Из-за этого владельцы ПК на Windows 7 и ниже с выключенными обновлениями могут столкнуться с проблемой появления ошибки: «ERR_CERT_DATE_INVALID» при входе на многие сайты. В этом случае владельцу сайта придется устанавливать новый сертификат.