Как сделать доверие к сертификату

Protect: защита от недоверенных сертификатов

В рамках комплексной защиты Protect Яндекс.Браузер проверяет сертификаты сайтов. Если из-за проблем с сертификатом сайт не может обеспечить безопасное шифрование ваших данных, браузер предупреждает об этом.

Зачем нужен сертификат сайта

Ваши личные или платежные данные при отправке на сайт должны быть защищены. В интернете сайты используют для безопасного соединения протокол HTTPS. Протокол включает асимметричный алгоритм шифрования, когда данные зашифровываются с помощью открытого ключа и расшифровываются с помощью закрытого ключа. Для каждого сеанса связи браузер заново генерирует закрытый ключ и передает его на сайт с мерами предосторожности, исключающими кражу.

Однако, если вы попадете на фишинговый сайт, он может получить закрытый ключ и затем расшифровать ваши данные. Для защиты от фишинга сайты используют цифровые сертификаты, выданные специальными удостоверяющими центрами. Сертификат гарантирует, что ключи, используемые при шифровании, действительно принадлежат владельцу сайта.

Чем опасен недоверенный сертификат

Вы можете оказаться на фишинговом сайте или ваши данные окажутся без должной защиты на оригинальном сайте (например, если у сайта истек срок действия сертификата). В результате злоумышленники могут:

Блокировка сайтов с недоверенными сертификатами

Возможные причины блокировки

Яндекс.Браузер блокирует сайты, у которых есть следующие проблемы с сертификатами:

Значит, сертификат безопасности, хранящийся на сервере, относится не к тому сайту, который вы открываете. Есть вероятность, что вы попали на фишинговый сайт. В этом случае злоумышленники могут перехватить ваши данные.

Значит, сайт выдал сертификат сам себе. В этом случае вредоносное ПО или злоумышленники могут перехватить ваши данные. Подробнее см. статью Самозаверенный сертификат.

Значит, центр, подписавший сертификат, не является доверенным и не может гарантировать подлинность сайта. Вредоносное ПО или злоумышленники могут перехватить ваши данные. Подробнее о корневом сертификате см. статью Цепочка доверия.

Если сертификат просрочен, передаваемые данные не будут шифроваться, и злоумышленники могут их перехватить.

Значит, сертификат сайта был скомпрометирован и отозван. В этом случае передаваемые данные не будут шифроваться, и злоумышленники могут их перехватить.

Если сервер использует устаревший ненадежный алгоритм шифрования, злоумышленники могут перехватить ваши данные. Кроме того, возрастает вероятность того, что вы попали на фишинговый сайт.

Значит, браузер не может установить соединение HTTPS, потому что сайт использует шифры, которые браузер не поддерживает. В этом случае передаваемые данные не будут шифроваться, и злоумышленники могут их перехватить.

Значит, ключ корневого сертификата не совпадает с ключом, закрепленным на сайте. Возможно, злоумышленники пытаются подменить корневой сертификат. В этом случае они могут перехватить ваши данные. Подробнее о закреплении (привязывании) ключа см. статью HTTP Public Key Pinning.

Значит, браузер не смог включить шифрование и разорвал соединение. Сервер, на котором расположен сайт, обычно использует шифрование, так как на нем включен HSTS-протокол. Отсутствие шифрования может быть признаком хакерской атаки. В этом случае злоумышленники или вредоносное ПО могут перехватить ваши данные.

Если автор сертификата неизвестен

В этом случае сертификат может быть установлен либо администратором сети, либо неизвестным лицом. Вы увидите следующее предупреждение:

Если вы не уверены в надежности сертификата, а посетить сайт вам очень нужно, примите следующие меры безопасности:

Если сертификат установлен программой

Антивирусы, блокировщики рекламы, программы для мониторинга сети и другие программы могут заменять сертификаты сайта своими собственными. Чтобы расшифровывать трафик, они создают собственный корневой сертификат и устанавливают его в операционную систему, помечая как надежный.

Однако сертификат, установленный специальной программой, не может считаться надежным, потому что не принадлежит доверенному центру сертификации. Возникают следующие потенциальные опасности:

Яндекс.Браузер предупреждает о таких проблемах:

Чтобы посетить сайт:

Если после отключения проверки HTTPS браузер продолжает предупреждать о подозрительном сертификате, а программа, установившая сертификат, вам не нужна, попробуйте временно закрыть эту программу.

Пожаловаться на фишинговый сайт

Если вы столкнулись с подозрительным сайтом, сообщите нам о нем через форму обратной связи.

Источник

Настройка доверенных SSL/TLS сертификатов для защиты RDP подключений

В этой статье мы покажем, как использовать доверенные SSL/TLS сертификаты для защиты RDP подключений к компьютерам и серверам Windows в домене Active Directory. Эти сертфикаты мы будем использовать вместо самоподписанных RDP сертификатов (у пользователей появляется предупреждение о невозможности проверки подлинности при подключению к RDP хосту с таким сертификатом). В этом примере мы настроим специальный шаблон для выпуска RDP сертификатов в Certificate Authority и настроим групповую политику для автоматического выпуска и привязки SSL/TLS сертификата к службе Remote Desktop Services.

Предупреждение о самоподписанном сертификате RDP

По умолчанию в Windows для защиты RDP сессии генерируется самоподписанный

сертификат. В результате при первом подключении к RDP/RDS серверу через клиента mstsc.exe, у пользователя появляется предупреждение:

Чтобы продолжить установление RDP подключении пользователь должен нажать кнопку Да. Чтобы RDP предупреждение не появлялось каждый раз, можно включить опцию “Больше не выводить запрос о подключениях к этому компьютеру».

При этом отпечаток RDP сертификата сохраняется на клиенте в параметре CertHash в ветке реестра с историей RDP подключений (HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers\). Если вы скрыли уведомление о невозможности проверить подлинность RDP сервера, чтобы сбросить настройки, удалите ключ с отпечатком сертификата из реестра.

Создаем шаблон RDP сертификата в центре сертификации (CA)

Попробуем использовать для защиты RDP подключений доверенный SSL/TLS сертификат, выданный корпоративным центром сертификации. С помощью такого сертификата пользователь может выполнить проверку подлинности RDP сервера при подключении. Предположим, что у вас в домене уже развернут корпоративной центр сертификации (Microsoft Certificate Authority), в этом случае вы можете настроить автоматическую выдачу и подключение сертификатов всем компьютерам и серверам Windows в домене.

Н на вашем CA нужно создать новый тип шаблона сертификата для RDP/RDS серверов.

Настройка групповой политики для выдачи RDP сертификатов

Теперь нужно настроить доменную политику, которая будет автоматически назначать RDP сертификат компьютерам/серверам согласно настроенного шаблона.

Для применения нового RDP сертификата, перезапустите службу Remote Desktop Services:

Теперь при RDP подключении к серверу перестанет появляться запрос на доверие сертификату (чтобы появился запрос о доверии сертификату, подключитесь к серверу по IP адресу вместо FQDN имени сервера, для которого выпущен сертификат). Нажмите кнопку “Посмотреть сертификат”, перейдите на вкладку “Состав”, скопируйте значение поля “Отпечаток сертификата”.

Также можете в консоли Certification Authority в секции Issued Certificates проверить, что по шаблону RDPTemplate был выдан сертификат определённому Windows компьютеру/серверу. Также проверьте значение Thumbprint сертификата:

Теперь, при подключении к удаленном столу любого сервера или компьютера, на который действует эта политика, вы не увидите предупреждения о недоверенном RDP сертификате.

Подписываем RDP файл и добавляем отпечаток доверенного RDP сертификата

Если у вас отсутствует CA, но вы хотите, чтобы при подключении к RDP/RDS серверу у пользователей не появлялось предупреждения, вы можете добавить сертификат в доверенные на компьютерах пользователей.

Как описано выше получите значение отпечатка (Thumbprint) RDP сертификата:

rdpsign.exe /sha256 65A27B2987702281C1FAAC26D155D78DEB2B8EE2 «C:\Users\root\Desktop\rdp.rdp»

Чтобы работал прозрачных RDP вход без ввода пароля (RDP Single Sign On), нужно настроить политику Allow delegation defaults credential и указать в ней имена RDP/RDS серверов (см. статью).

Источник

Как сделать сертификат доверенным

Обзор SSL-сертификатов: типы, выбор, приемущества

Многие задавали себе вопрос, чем различаются разные SSL-сертификаты, зачем его получать и почему нельзя использовать самоподписанный. Здесь я попытаюсь ответить на эти вопросы, рассмотрев:

Я не претендую за 100% верность данной статьи, она основана только на моем мнении и личном опыте 🙂
SSL — Secure Sockets Layer — стандарт передачи защифрованных данных через сеть.

Касательно web-индустрии это протокол HTTPS.

О сертификатах вообще и зачем их нужно подписывать

Для начала разберемся, что такое SSL-сертификат.

SSL-сертификат, это индивидуальная цифровая подпись вашего домена. Он может быть:

Разберем их более подробно. Самоподписанный сертификат не гарантирует ничего. Любой человек может взять и выдать себе такой сертификат. Все браузеры выдают клиенту предпреждение о том, что сертификат не надежен. Подписанный не доверенным ЦС сертификат тоже не подтверждает ничего, т.к. существуют ЦС, продающие сертификаты всем желающим и без проверок. Большинство браузеров реагирует на такие сертификаты аналогично самоподписанным. Сертификат, подписанный доверенным источником (как пример — Thawte или VerySign) подтверждает, что:

На доверенные сертификаты браузеры ошибку не выдают. Но это технически. А теперь о том, что показывает доверенный сертификат посетителю вашего сайта.

Многих пользователей (особенно зарубежных — наши пока к этому не привыкли) самоподписанный сертификат (или отсутствие SSL в вещах, касающихся услугфинансовprivacy) может если и не отпугнуть, то поставить жирный минус в вашу пользу. Мой личный вывод: на всех сайтах, связанных с онлайн-коммерцией, платежами, личной информацией SSL должен быть.

Типы сертификатов

Допустим, руководствуясь соображениями из 1 части статьи вы решили купить подписанный сертификат.

Каково же будет ваше удивление, когда на сайте ЦС вы узнаеете, что они бывают разные 🙂 Типы сертификатов:

Esential SSL — самый не дорогой и быстро оформляемый сертификат.

Доступен как для юридических, так и для физических лиц. Проверяется только право владения доменным именем, личные данные или регистрация компании не проверяются. Выдается на 1 домен.

Instant SSL — доступен и для физ. лиц, и для юр. лиц. Проверяется право владения доменом, регистрационные данные компании либо личность физ. лица. Выдается на 1 домен.

SGC SSL-сертификат. — Аналогично Instant SSL, но с поддержкой 40-битных расширений (актуально для старых ОС и браузеров). Выдается на 1 домен, либо wildcard (см. ниже).

Обычный Wildcard. — тоже самое, что и обычный сертификат, но выдается не на 1 домен, а на все поддомены корневого домена. Т.е. не только на domain.com, a и на www.domain.com, bill.domain.com и т.д. Стоит на порядок дороже.

EV (Extended Validation) сертификат. — сертификат расширенной проверки, доступен только юридическим лицам.

Проверяется владение доменом, компания, нотариально заверенные переводы документов на английский язык, требует подтверждения данных третьей стороной.

Позволяет установить на сайте картинку-подтверждение владением и отображается в браузерах как гарантированно доверенный (зеленым цветом), против желтого у обычных сертификатов. Стоит в 2-3 раза дороже обычного, регистрация занимает продолжительное время.

В браузере выглядит так:

EV Wildcard и EV SGC. — аналогично Wildcard и SGC, но с расширенной проверкой.

Возникла проблема с сертификатом безопасности веб сайта https

Проблема с сертификатом SSL в Internet Explorer 10 и Internet Explorer 11 при входе на сайты с https, обычная ситуация.

Ниже описан способ, где вручную, не программным методом, можно добавить SSL сертификат при работе с сайтом https, чтобы в дальнейшем не было IE ошибки сертификата.

Для примера возьмем URL: https://xml.yandex.ru и попробуем избавится от IE ошибки сертификата.

При работе с элементом WebBrowser1 в Microsoft Visual Studio

При входе на страницу, по адресу с https выходит окно, скрин ниже, в нем нажимаем ссылку «Обновить страницу».

Экспортируем SSL сертификат на свой компьютер

В обычном браузере Internet Explorer 10 или 11 версии выходит окно с текстом:

После нажатия «Обновить страницу» появляется следующее окно:

Возникла проблема с сертификатом безопасности этого веб-сайта.

Сертификат безопасности этого веб-сайта ненадежен.

Наличие ошибок в сертификате безопасности может указывать на попытку обмана или перехвата данных, которые вы отправляете на сервер.

Мы рекомендуем вам закрыть эту веб-страницу и не работать с данным веб-сайтом.

Нажимаем ссылку «Продолжить открытие этого веб-сайта (не рекомендуется)» выходит окно:

Жмем левой кнопкой мыши на надписи «Ошибка сертификата». Вышло окно «Ненадежный сертификат», то что нам нужно. Мы сможем данный сертификат просмотреть, для этого идем по ссылке «Просмотр сертификата».

Выходит новое окно с сертификатом https от xml.yandex.ru:

Данный сертификат сохраняем к себе на компьютер с любым именем, например XML-Yandex, для этого заходим во 2 закладку, путь такой: закладка «Состав» — кнопка «Копировать в файл», в следующем окне «Далее».

В итоге получаем окно, как на скриншоте ниже «Формат экспортируемого файла».

В этом окне переставляем флажок на 3 строчку «Стандарт Cryptographic Messege Syntax – сертификаты PKS #7 (.p7b)» и галочку ставим, здесь: «Включить по возможности все сертификаты в путь сертификации». Расширение нашего файла *.p7b. Жмем кнопку Далее.

В следующем окне жмем «Обзор» и присваиваем имя файлу.

В следующем окне «Завершение мастера экспорта сертификатов» кнопку «Готово», выйдет окно «Экспорт успешно завершен». Кому нужен сертификат готовый от xml.yandex.ru, можно скачать.

Импортируем SSL сертификат в доверенные корневые центры сертификации

Идем в «Свойства обозревателя» закладка «Содержание», кнопка «Сертификаты».

Закладка «Доверенные корневые центры сертификации», жмем «Импорт».

Далее «Обзор» выбираем наш файл на компьютере. Чтобы увидеть наш файл с нужным расширением *.p7b выбираем в выпадающем меню «Все файлы».

Далее все по мастеру: Далее — Готово и выйдет важное окно (ниже скриншот), это окно может выходить три раза, все время нажимаем Да.

Все сертификат установлен в SSL в Internet Explorer 10, также аналогично устанавливается в Internet Explorer 11.

Кому помогло, можете оставить свои комментарии ниже:

Страницы: [1]Идёт загрузка…

Как сделать SSL-сертификат доверенного сервера доверенным сервером?

tl; dr Создайте сертификат, выданный собственным ЦС (см. ниже script)

Вот что я нашел. Исправьте меня, где я ошибаюсь.

Есть CA (органы сертификации). Они выдают сертификаты (знак CSR) для других ЦС (промежуточных ЦС) или серверов (сертификаты конечных объектов). Некоторые из них являются коренными властями. У них есть самозаверяющие сертификаты, выпущенные самим.

То есть, как правило, существует цепочка доверия, которая поступает от сертификата сервера к корневому сертификату. И нет никого, кто ручался бы за корневой сертификат. Таким образом, у OS’s есть хранилище корневых сертификатов (или хранилище правил доверия), системный список доверенных корневых сертификатов.

У браузеров есть свои собственные списки доверенных сертификатов, которые состоят из системного списка плюс сертификаты, которым доверяет пользователь.

В Chromium вы управляете сертификатами в chrome://настройках/сертификатах. В Firefox Preferences > Privacy & Security > Certificates > View Certificates. У обоих есть вкладка Власти, которая представляет собой список доверенных корневых сертификатов. А вкладка «Серверы» — список доверенных сертификатов сервера.

Чтобы получить сертификат, вы создаете CSR (запрос подписи сертификата), отправьте его в ЦС. CA подписывает CSR, превращая его в доверенный сертификат в процессе.

Сертификаты и CSR представляют собой группу полей с информацией и открытым ключом. Некоторые из полей называются расширениями. Сертификат CA — это сертификат с basicConstraints = CA:true.

Вы можете проверить ошибки сертификата в Chromium в Developer Tools > Security.

Доверенные сертификаты по всей стране

Когда вы меняете хранилище корневого каталога ОС, вам нужно перезапустить браузер. Вы меняете его с помощью:

# trust anchor path/to/cert.crt
# trust anchor —remove path/to/cert.crt

trust помещает сертификаты CA под категорию «авторитет» (trust list) или «другая запись» в противном случае. Сертификаты CA отображаются на вкладке Власти в браузерах или на вкладке Серверы.

Firefox не доверяет сертификатам сервера из корневого хранилища сертификатов ОС, в отличие от Chromium. Оба доверяют сертификаты CA из корневого хранилища сертификатов операционной системы.

Доверенные сертификаты в браузере

В Chromium и Firefox вы можете добавлять (импортировать) сертификаты на вкладку Власть. Если вы попытаетесь импортировать сертификат не CA, вы получите сообщение «Not the Certificate Authority».

После выбора файла появляется диалоговое окно, в котором вы можете указать параметры доверия (когда доверять сертификату).

Соответствующим параметром для создания сайта является «Доверять этому сертификату для идентификации веб-сайтов».

В Chromium вы можете добавлять (импортировать) сертификаты на вкладке Серверы. Но они попадают либо на вкладку «Власти» (сертификаты CA, и после выбора файла не отображается диалог настроек доверия), либо на вкладке «Другие» (если сертификат не CA).

В Firefox вы не можете точно добавить сертификат на вкладку Серверы. Вы добавляете исключения. И вы можете доверять сертификату без каких-либо расширений (бедных).

Самоподписанные расширения сертификатов

Моя система поставляется со следующими настройками по умолчанию (расширения для добавления) для сертификатов:

basicConstraints = critical,CA:true
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer

Взято из /etc/ssl/openssl.cnf, раздел v3_ca. Подробнее об этом здесь.

Кроме того, Chromium считает сертификат недействительным, когда он не имеет subjectAltName = DNS:$domain.

Несамоходные расширения сертификатов

Из раздела [ usr_cert ] /etc/ssl/openssl.cnf:

basicConstraints = CA:FALSE
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer

Когда браузеру доверяет самозаверяющий сертификат

Чтобы Chromium доверял самоподписанному сертификату, он получил basicConstraints = CA:true и subjectAltName = DNS:$domain. Для Firefox даже этого недостаточно:

basicConstraints = critical,CA:true
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
subjectAltName = DNS:$domain

Когда браузеру доверяет сертификат, выпущенный собственным CA

Firefox не нуждается в расширениях, но для Chromium требуется subjectAltName.

openssl чит-лист

Установка сертификата при помощи групповых политик

Установка самоподписанных сертификатов весьма частая задача для системного администратора.

Обычно это делается вручную, но если машин не один десяток? И как быть при переустановке системы или покупке нового ПК, ведь сертификат может быть и не один.

Писать шпаргалки-напоминалки? Зачем, когда есть гораздо более простой и удобный способ — групповые политики ActiveDirectory. Один раз настроив политику можно больше не беспокоится о наличии у пользователей необходимых сертификатов.

Сегодня мы рассмотрим распространение сертификатов на примере корневого сертификата Zimbra, который мы экспортировали в прошлой статье.

Наша задача будет стоять следующим образом — автоматически распространять сертификат на все компьютеры входящие в подразделение (OU) — Office.

Это позволит не устанавливать сертификат туда, где он не нужен: на севера, складские и кассовые рабочие станции и т.д.

Откроем оснастку Управление групповой политикой и создадим новую политику в контейнере Объекты групповой политики, для этого щелкните на контейнере правой кнопкой и выберите Создать.

Политика позволяет устанавливать как один, так и несколько сертификатов одновременно, как поступить — решать вам, мы же предпочитаем создавать для каждого сертификата свою политику, это позволяет более гибко менять правила их применения.

Также следует задать политике понятное имя, чтобы открыв консоль через полгода вам не пришлось мучительно вспоминать для чего она нужна.

После чего перетащите политику на контейнер Office, что позволит применить ее к данному подразделению.

Теперь щелкнем на политику правой кнопкой мыши и выберем Изменить.

В открывшемся редакторе групповых политик последовательно разворачиваем Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Политики открытого ключа — Доверенные корневые центры сертификации. В правой части окна в меню правой кнопкой мыши выбираем Импорт и импортируем сертификат.

Политика создана, теперь самое время проверить правильность ее применения. В оснастке Управление групповой политикой выберем Моделирование групповой политики и запустим по правому щелчку Мастер моделирования.

Большинство параметров можно оставить по умолчанию, единственное что следует задать — это пользователя и компьютер для которых вы хотите проверить политику.

Выполнив моделирование можем убедиться, что политика успешно применяется к указанному компьютеру, в противном случае раскрываем пункт Отклоненные объекты и смотрим причину по которой политика оказалась неприменима к данному пользователю или компьютеру.

После чего проверим работу политики на клиентском ПК, для этого обновим политики вручную командой:

Теперь откроем хранилище сертификатов. Проще всего это сделать через Internet Explorer: Свойства обозревателя — Содержание — Сертификаты. Наш сертификат должен присутствовать в контейнере Доверенные корневые центры сертификации.

Как видим — все работает и одной головной болью у администратора стало меньше, сертификат будет автоматически распространяться на все компьютеры помещенные в подразделение Office. При необходимости можно задать более сложные условия применения политики, но это уже выходит за рамки данной статьи.

Установка сертификата сервера Windows 7/Windows Vista

Скачать файл сертификата, приложенный к письму с настройками подключения.

Далее нажать кнопку «Пуск», в поле для поиска файлов (выделенном на скриншоте) ввести команду «mmc».

Далее нажать на Программу «mmc» правой кнопкой мыши и выбрать в контекстном меню пункт «Запуск от имени администратора».

Далее в появившемся окне «Консоль учетных записей пользователя» нажимаем на кнопку «Да».

Далее в появившемся окне «Консоль1» нажимаем на пункт меню «Файл» => «Добавить или удалить оснастку…»

В появившемся окне «Добавление и удаление оснасток» в левом списке ищем строку «Сертификаты», нажимаем кнопку «Добавить».

Далее в появившемся окне «Оснастка диспетчера сертификатов», выбираем пункт меню «Учетной записи компьютера» и нажимаем кнопку «Далее».

В появившемся окне «Выбор компьютера» нажимаем кнопку «Локальным компьютером» и кнопку «Готово».

Далее разворачиваем по + список «Сертификаты» => «Доверенные корневые центры сертификации» => Сертификаты.

Запуститься мастер импорта сертификатов, нажимаем кнопку «Далее».

В появившемся окне нажимаем кнопку «Обзор», для выбора нашего сертификата.

В появившемся окне выбираем место хранения сертификата (в нашем случае рабочий стол) и в меню выбора типа сертификата (выделено на скриншоте): «Файл обмена личной информацией (*. pfx, *.p12)».

Теперь в появившемся окне выбираем наш сертификат и нажимаем кнопку «Открыть».

Вводим пароль, который Вам передали для сертификата, и нажимаем кнопку «Далее».

Устанавливаем переключатель в положение «Поместить сертификаты в следующее хранилище» и нажимаем кнопку «Обзор…».

Указываем в качестве хранилища «Доверенные корневые центры сертификации». Нажимаем кнопку «ОК», и затем кнопку «Далее».

Установка сертификата законченна, нажмите кнопку «Готово».

Сертификат безопасности сайта не является доверенным

Если при входе на какой-либо сайт вы видите сообщение о том, что сертификат безопасности сайта не является доверенным или срок действия безопасности этого веб-сайта истек или еще не начинался, в этой статье о том, что делать в этом случае и простые способы исправить ситуацию с сертификатами безопасности в Windows 10 – Windows 7. (Ошибка может возникать в самых разных браузерах — Google Chrome, Opera, Mozilla Firefox, Internet Explorer).

Способы ниже подходят в тех случаях, когда ошибка появляется на домашних компьютерах (этот сайт, собственно, для домашних пользователей, а не сисадминов), в случае, если проблема возникает в рамках корпоративной сети (как правило сразу на многих компьютерах в домене) заниматься вопросом должен системный администратор.

Проверка даты

Первое, что следует сделать, если вы увидели ошибку «Сертификат безопасности сайта не является доверенным» (и особенно ошибку «срок действия безопасности этого веб-сайта истек или еще не начинался») — проверить, а правильно ли выставлена дата на вашем компьютере. Очень часто именно в этом бывает причина ошибки.

Если вы исправили дату, и это убрало ошибку, но после перезагрузки или выключения компьютера дата снова сбивается, вам следует поменять батарейку на материнской плате, обычно именно ее разряд вызывает проблему со сбивающимися датой и временем (если сама материнская плата исправна).

Установка сертификатов безопасности в Windows

Также исправить ошибку с сертификатами при открытии сайтов (особенно если речь идет об отдельных русских сайтах) могут помочь следующие шаги:

После этого можно надеяться, что проблема в браузерах с открытием сайтов и ошибка не доверенного сертификата исчезнет.

Самоподписанный SSL сертификат: создание и установка

Здравствуйте, в статье пойдет речь о создании и установке уже имеющегося SSL сертификата (SSL-cертификаты позволяют работать по защищенному https соединению).

Незащищённое http-соединение опасно тем, что любой, кто слушает трафик, прекрасно видит все данные, которые вы передаете на сайт, по протоколам POST или GET.

Так как мы не хотим, что-бы злоумышленники получили доступ к нашему серверу, а тем более к нашим базам данных – для этого нам необходим специальный сертификат, который мы будем устанавливать на сервер.

Как правило, сертификаты подтверждают центры сертифирации (из наиболее известных сертификаты Comodo SSL, RapidSSL и др.), ознакомиться более подробно с видами SSL сертификатов, вы можете здесь.

Но мы можем сгенерировать сертификат самостоятельно – такой сертификат называется самоподписанным, так как его подтверждаете лично вы. Для сайтов, на которых хранятся важные данные самоподписанный сертификат, конечно, не подойдет, но для личных целей например phpmyadmina вполне будет достаточно.

Обращаю ваше внимание на то, что при использовании самоподписного сертификата вы будете видеть окно: “Сертификат безопасности сайта не является доверенным”, что может быть не очень понятно неосведомленным пользователям.

Создание самоподписанного SSL-сертификата и настройка хоста apache2

Итак, приступим: для начала необходимо активировать соответствующий модуль apache, для любого дистрибутива это можно сделать командой:

sudo a2enmod ssl

Создаем директорию, где будут находиться наши ключи:

sudo mkdir /etc/apache2/ssl

Для CentOS,Fedora (данные действия необходимо выполнять от рута):

mkdir /etc/httpd/ssl

Генерируем ключ, не забываете пароль от ключа (минимальная длинна пароя 4 символа, рекомендуемая длинна 8 и более символов). Для данного действия необходим пакет openssl установить его можно командой (для Debian, Ubuntu):

Так же, можно создать не шифрованную копию ключа (необходим ключ с шифрованием):

Для Сentos, Fedora команды отличаются только установкой пакета openssl:

yum install openssl; yum clean all;

Лучше создать не шифрованную копию ключа – для бытовых целей подойдет. Если вам нужна более высокая безопасность, ключ без шифрования делать не стоит.

Переименуем ключи, что бы по умолчанию использовать ключ без шифрования:

sudo mv server.key server.key.secure sudo mv server.key.insecure server.key

Создадим файл сертификата:

Далее вам необходимо будет сообщить информацию о себе. При заполнении поля Common name, убедитесь, что название домена полностью соответствует тому, что вы хотите защитить.

Далее, перейдем к процессу самоподписания сертификата:

На этом сертификат готов далее необходимо скопировать файлы в необходимую нам директорию. Создадим каталог где будут лежать ключи:

#debian,ubuntu sudo mkdir /etc/apache2/ssl #fedora,CentOS su mkdir /etc/httpd/ssl

После, копируем ключи:

#debian,ubuntu sudo cp server.crt /etc/apache2/ssl sudo cp server.key /etc/apache2/ssl #fedora,CentOS su cp server.crt /etc/httpd/ssl cp server.key /etc/httpd/ssl

На этом этапе подготовка сертификата закончена – перейдем к настройке веб сервера.

Установка SSL сертификата на веб сервер apache

Нам необходимо создать конфигурационный файл который будет поддерживать ssl:

#debian,ubuntu sudo touch /etc/apache2/sites-available/example sudo nano/etc/apache2/sites-available/example

И внести в него изменения:

говорим ждать соеденения на 80 порту #директория где расположен сайт AllowOverride All DocumentRoot /var/www/example/public_html #корневая директория где расположен сайт ServerName yourdomain.com #имя вашего сервера #говорим ждать соеденения на 443 порту SSLEngine on #Подключаем SSL SSLCertificateFile /etc/apache2/ssl/server.crt # файл сертиофиката SSLCertificateKeyFile /etc/apache2/ssl/server.key # файл ключа #корневая директория где расположен сайт AllowOverride All DocumentRoot /var/www/example/public_html #корневая директория где расположен сайт ServerName yourdomain.com #имя вашего сервера

sudo a2ensite example

После чего, говорим Apache, что необходимо ждать соединение на порту 443, редактируем файл:

sudo nano /etc/apache2/ports.conf

Прописываем этот блок в конец файла если он отсутствует:

Источник