Ошибка нет доверия сертификату для mirror yandex ru

Обновлено: 04.07.2024

Если на вашем компьютере нет антивирусной программы, злоумышленники могли подменить сертификат безопасности при помощи вредоносного кода или атаки MITM. Проверьте ваш компьютер на вирусы с помощью бесплатных антивирусных программ: CureIt! от Dr.Web и Virus Removal Tool от «Лаборатории Касперского».

Откройте окно антивируса и нажмите кнопку в левом нижнем углу. Перейдите на вкладку Дополнительно и выберите пункт Сеть . В блоке Проверка защищенных соединений установите значение Не проверять защищенные соединения и подтвердите выбор. Откройте окно антивируса, перейдите на вкладку Настройка и нажмите ссылку Дополнительные настройки . В блоке Интернет и электронная почта  → SSL/TLS отключите опцию Включить фильтрацию протокола SSL/TLS . ","prev_next":<"prevItem":<"disabled":false,"title":"Чужие письма","link":"/support/mail/web/security/strange-letters.html">,"nextItem":>,"breadcrumbs":[,],"useful_links":null,"meta":,"voter":","extra_meta":[>,>,>,>,>,>,>,>,>,>,>,>,>,>,>,>,>,>,>,>,>,>,>,>],"title":"Ошибки сертификата безопасности - Почта. Справка","canonical":"https://mail.yandex.ru/docs/support/web/problems/certificate-errors.html","productName":"Почта","extra_js":[[,"mods":,"__func137":true,"tag":"script","bem":false,"attrs":,"__func67":true>],[,"mods":,"__func137":true,"tag":"script","bem":false,"attrs":,"__func67":true>,,"mods":,"__func137":true,"tag":"script","bem":false,"attrs":,"__func67":true>],[,"mods":,"__func137":true,"tag":"script","bem":false,"attrs":,"__func67":true>]],"extra_css":[[],[,"mods":,"__func69":true,"__func68":true,"bem":false,"tag":"link","attrs":>,,"mods":,"__func69":true,"__func68":true,"bem":false,"tag":"link","attrs":>],[,"mods":,"__func69":true,"__func68":true,"bem":false,"tag":"link","attrs":>]],"csp":<"script-src":[]>,"lang":"ru">>>'>

ssl_error_bad_cert_domain

err_cert_date_invalid
sec_error_oscp_invalid_signing_cert
sec_error_expired_issuer_certificate
sec_error_expired_certificate
sec_error_ocsp_future_response

err_cert_common_name_invalid
err_cert_authority_invalid
sec_error_unknown_issuer

ssl_error_bad_cert_domain

err_cert_date_invalid
sec_error_oscp_invalid_signing_cert
sec_error_expired_issuer_certificate
sec_error_expired_certificate
sec_error_ocsp_future_response

err_cert_common_name_invalid
err_cert_authority_invalid
sec_error_unknown_issuer

Откройте окно антивируса и нажмите кнопку в левом нижнем углу.

С августа 2018 года любой обновленный сервер на Centos 6.10 или Centos 7 не может получить доступ к сайтам с некоторыми сертификатами, так как нет доверия к центру сертификации, выдавшему сертификат.

Ноги растут из php c imap:

Причем 99% остальных ресурсов работают корректно.

Системы обновлены, ca-certificates.noarch тоже:

Эффект можно повторить на свежей виртуалке с Centos 6 или Centos 7 со всеми обновлениями.

Что непонятного-то? Даже издателя проследили уже, правильно вообще-то мысль шла. Посмотреть издателя сертификата, найти сертификат издателя и поместить в хранилище доверенных сертификатов. Такое бывает, и нередко - выпускается сертификат в УЦ, сертификат которого отсутствует в доверенных, несмотря на то, что это например Комодо. У Комодо множество subCA, и не все их сертификаты распространяются. Нужно вручную найти сертификат этого subCA/

Вот у Яндекса проблема, видимо, в этом - он не выдает корневой сертификат в цепочке сертификатов. Неужели в Яндексе так глупо поставили сертификат, с неполным chains?

С 1 октября 2021 года получили уже 2 обращения по этой ошибке. Обнаруживаются, в основном, на ПК под управлением ОС Windows 7, где отключено автоматическое обновление. Машины, на которые длительное время не ставились обновления Microsoft.

Ошибка «Невозможно установить безопасное соединение» при открытии веб-страниц на ПК Windows 7 Ошибка «Невозможно установить безопасное соединение» при открытии веб-страниц на ПК Windows 7

«В чем причина, брат?»

Дело в том, что у части, одного или нескольких, сертификатов доверенных корневых удостоверяющих центров (УЦ) закончился срок действия. Таким образом, цепочки удостоверения доменов с 01.10.2021 считаются недействительными.

Пример сертификата корневого УЦ DST Root CA X3 с истекшим сроком действия Пример сертификата корневого УЦ DST Root CA X3 с истекшим сроком действия

Как появляется ошибка:

В виде предупреждения антивируса, что соединение с сайтом может быть опасным (не проходит проверку цепочка сертификатов, нет доверия к открываемому сайту).
В виде ошибки браузера при обращении к домену — соединение с ресурсом не принимается операционной системой. Как на картинке выше.

Прочие рекомендации

1. Условия доступа

Еще раз ознакомьтесь с требованиями на странице выполнения условий доступа. Во время проверки сервис дает подсказки, на каком этапе есть ошибки. Позовите на помощь знакомого ИТ-специалиста.

2. Яндекс.Браузер

обновите версию браузера до актуальной (Меню « Дополнительно — О браузере » или скачайте инсталлятор с официального сайта );

в настройках активируйте опцию «Подключаться к сайтам, использующим шифрование по ГОСТ» (меню « Настройки — Системные — Сеть »);

Подключаться к сайтам, использующим шифрование по ГОСТ. Требуется КриптоПро CSP. Подключаться к сайтам, использующим шифрование по ГОСТ. Требуется КриптоПро CSP.

на вкладке «Настройки TLS» для КриптоПро CSP снимите галку « Не использовать устаревшие cipher suite-ы ».

3. Версии протоколов

Для теста включите в настройках браузера поддержку старых версий протоколов SSL/TLS.

Например, для IE — TLS 1.0, TLS 1.1 и TLS 1.2, а также SSL 2.0 и 3.0.
Пуск — Выполнить — inetcpl.cpl — вкладка «Дополнительно»

4. Очистка кэша SSL

Если вы работаете с несколькими учетными записями (сертификатами), при каждой смене пользователя необходимо очистить SSL ( Настройки — Свойства браузера — вкладка «Содержание» — Очистить SSL ).

Пуск — Выполнить — inetcpl.cpl — вкладка «Содержание»

5. Прямая ссылка на ЛК

6. Запуск браузера без расширений/другие браузеры

Отключите в настройках браузера дополнительные расширения, чтобы исключить их влияние на работу с порталом ФНС.

Протестируйте работу в другом браузере из списка поддерживаемых:

Яндекс.Браузер версии 19.3 или выше;
Спутник версии 4.1.2583.0 (Официальная сборка) или выше, gostssl (32 бит);
Internet Explorer версии 11.0.9600.xxxxx или выше;
Chromium-GOST.

7. Настройка антивируса/брандмауэра

Задача — отключение опции SSL-сканирования («SSL scan»). Либо настройте исключения для площадок ФНС.

8. Проверка времени и даты

Проверьте установку времени, даты и часового пояса на вашем ПК. При необходимости измените их значения на корректные или включите автоматическую синхронизацию по расписанию.

9. Другие средства защиты

Одновременная и корректная работа с разными криптопровайдерами (VipNet CSP, Континент-АП, Агава и др.) на одном ПК не гарантируется. Если установлены прочие СКЗИ — удалите их или перейдите на другое рабочее место.

✅ В настройке подключения есть свои тонкости и набор средств. Поэтому, каждый случай надо рассматривать отдельно. Универсального решения нет, проверьте рекомендации — что-то должно помочь. Успехов вам!

⚡ Подписывайтесь на канал или задавайте вопрос на сайте — постараемся помочь всеми техническими силами. Безопасной и производительной работы в Windows и 1С.

Chromium-GOST

Для тех, кто любит быстрые решения. Нас выручил специализированный Chromium-GOST , в который встроены алгоритмы шифрования ГОСТ.

На нем все запустилось, и мы сразу попали в личный кабинет ЮЛ.

Варианты действий

Если рассматривать сценарии, то можно пойти тремя путями:

включать Центр обновлений, загружать все обязательные пакеты, в котором будет один из KB для автоматического обновления корневых сертификатов;
искать и установить целевой (-ые) KB вручную — если у вас есть время и желание разобраться глубже;
обновить корневые сертификаты в ручном режиме.

Первые два варианта не претендуют на 100% решение, т. к. часть ОС сняты с обслуживания компанией Microsoft (например, Windows XP, 7, а также Server 2003, 2008) и пакеты обновлений для них могут не выпускаться.

Как обновить сертификаты вручную

Используем следующий подход: делаем выгрузку корневых сертификатов на актуальной системе и переносим их в устаревшую.

Шаг 1. Выгружаем файл с корневыми сертификатами на ПК Windows 10 с подключением к Интернет, т. к. идет запрос к серверам Microsoft.

Например, создадим на диске C:\ каталог «cert», в который сохраним результат выгрузки. Запустите командную строку от имени администратора и выполните команду:

С такой ошибкой к нам обратился клиент. Подключение идет с ПК Windows 7, на борту КриптоПро и Яндекс.Браузер. Последний — в списке рекомендуемых . Но что-то мешает.

Описание ошибки

Как правило, в таких случаях следует проверить стандартный, не всеми любимый Internet Explorer. Открыли, но также быстро закрыли — версия устарела (требуется 11.0.9600.xxxxx или выше). Вариант отпадает.

Конечно же, сделали попытку обновления IE, но получили еще больше предупреждений — мол, не хватает нескольких обязательных обновлений WIndows. Получается процесс затяжного и неустойчивого характера — отложили идею, поставив на полку до лучших времен.

Проверили ключ, сертификат и формирование подписи на тестовой странице — ошибок нет.

Читайте также: