Ошибка нет доверия сертификату для mirror yandex ru
Обновлено: 04.07.2024
Если на вашем компьютере нет антивирусной программы, злоумышленники могли подменить сертификат безопасности при помощи вредоносного кода или атаки MITM. Проверьте ваш компьютер на вирусы с помощью бесплатных антивирусных программ: CureIt! от Dr.Web и Virus Removal Tool от «Лаборатории Касперского».
Если на вашем компьютере нет антивирусной программы, злоумышленники могли подменить сертификат безопасности при помощи вредоносного кода или атаки MITM. Проверьте ваш компьютер на вирусы с помощью бесплатных антивирусных программ: CureIt! от Dr.Web и Virus Removal Tool от «Лаборатории Касперского».
Откройте окно антивируса и нажмите кнопку в левом нижнем углу. Перейдите на вкладку Дополнительно и выберите пункт Сеть . В блоке Проверка защищенных соединений установите значение Не проверять защищенные соединения и подтвердите выбор. Откройте окно антивируса, перейдите на вкладку Настройка и нажмите ссылку Дополнительные настройки . В блоке Интернет и электронная почта → SSL/TLS отключите опцию Включить фильтрацию протокола SSL/TLS . ","prev_next":<"prevItem":<"disabled":false,"title":"Чужие письма","link":"/support/mail/web/security/strange-letters.html">,"nextItem":>,"breadcrumbs":[,],"useful_links":null,"meta":,"voter":""prevItem": ","lang":>,"extra_meta":[>,>,>,>,>,>,>,>,>,>,>,>,>,>,>,>,>,>,>,>,>,>,>,>],"title":"Ошибки сертификата безопасности - Почта. Справка","canonical":"https://mail.yandex.ru/docs/support/web/problems/certificate-errors.html","productName":"Почта","extra_js":[[,"mods":,"__func137":true,"tag":"script","bem":false,"attrs":,"__func67":true>],[,"mods":,"__func137":true,"tag":"script","bem":false,"attrs":,"__func67":true>,,"mods":,"__func137":true,"tag":"script","bem":false,"attrs":,"__func67":true>],[,"mods":,"__func137":true,"tag":"script","bem":false,"attrs":,"__func67":true>]],"extra_css":[[],[,"mods":,"__func69":true,"__func68":true,"bem":false,"tag":"link","attrs":>,,"mods":,"__func69":true,"__func68":true,"bem":false,"tag":"link","attrs":>],[,"mods":,"__func69":true,"__func68":true,"bem":false,"tag":"link","attrs":>]],"csp":<"script-src":[]>,"lang":"ru">>>'>"current":"ru","available":["ru"]>- ssl_error_bad_cert_domain
- err_cert_date_invalid
- sec_error_oscp_invalid_signing_cert
- sec_error_expired_issuer_certificate
- sec_error_expired_certificate
- sec_error_ocsp_future_response
- err_cert_common_name_invalid
- err_cert_authority_invalid
- sec_error_unknown_issuer
Если на вашем компьютере нет антивирусной программы, злоумышленники могли подменить сертификат безопасности при помощи вредоносного кода или атаки MITM. Проверьте ваш компьютер на вирусы с помощью бесплатных антивирусных программ: CureIt! от Dr.Web и Virus Removal Tool от «Лаборатории Касперского».
- ssl_error_bad_cert_domain
- err_cert_date_invalid
- sec_error_oscp_invalid_signing_cert
- sec_error_expired_issuer_certificate
- sec_error_expired_certificate
- sec_error_ocsp_future_response
- err_cert_common_name_invalid
- err_cert_authority_invalid
- sec_error_unknown_issuer
Если на вашем компьютере нет антивирусной программы, злоумышленники могли подменить сертификат безопасности при помощи вредоносного кода или атаки MITM. Проверьте ваш компьютер на вирусы с помощью бесплатных антивирусных программ: CureIt! от Dr.Web и Virus Removal Tool от «Лаборатории Касперского».
С августа 2018 года любой обновленный сервер на Centos 6.10 или Centos 7 не может получить доступ к сайтам с некоторыми сертификатами, так как нет доверия к центру сертификации, выдавшему сертификат.
Ноги растут из php c imap:
Причем 99% остальных ресурсов работают корректно.
Системы обновлены, ca-certificates.noarch тоже:
Эффект можно повторить на свежей виртуалке с Centos 6 или Centos 7 со всеми обновлениями.
Вот у Яндекса проблема, видимо, в этом - он не выдает корневой сертификат в цепочке сертификатов. Неужели в Яндексе так глупо поставили сертификат, с неполным chains?
С 1 октября 2021 года получили уже 2 обращения по этой ошибке. Обнаруживаются, в основном, на ПК под управлением ОС Windows 7, где отключено автоматическое обновление. Машины, на которые длительное время не ставились обновления Microsoft.
Ошибка «Невозможно установить безопасное соединение» при открытии веб-страниц на ПК Windows 7 Ошибка «Невозможно установить безопасное соединение» при открытии веб-страниц на ПК Windows 7«В чем причина, брат?»
Дело в том, что у части, одного или нескольких, сертификатов доверенных корневых удостоверяющих центров (УЦ) закончился срок действия. Таким образом, цепочки удостоверения доменов с 01.10.2021 считаются недействительными.
Пример сертификата корневого УЦ DST Root CA X3 с истекшим сроком действия Пример сертификата корневого УЦ DST Root CA X3 с истекшим сроком действияКак появляется ошибка:
- В виде предупреждения антивируса, что соединение с сайтом может быть опасным (не проходит проверку цепочка сертификатов, нет доверия к открываемому сайту).
- В виде ошибки браузера при обращении к домену — соединение с ресурсом не принимается операционной системой. Как на картинке выше.
Прочие рекомендации
1. Условия доступа
Еще раз ознакомьтесь с требованиями на странице выполнения условий доступа. Во время проверки сервис дает подсказки, на каком этапе есть ошибки. Позовите на помощь знакомого ИТ-специалиста.
2. Яндекс.Браузер
- обновите версию браузера до актуальной (Меню « Дополнительно — О браузере » или скачайте инсталлятор с официального сайта );
- в настройках активируйте опцию «Подключаться к сайтам, использующим шифрование по ГОСТ» (меню « Настройки — Системные — Сеть »);
- на вкладке «Настройки TLS» для КриптоПро CSP снимите галку « Не использовать устаревшие cipher suite-ы ».
3. Версии протоколов
Для теста включите в настройках браузера поддержку старых версий протоколов SSL/TLS.
Например, для IE — TLS 1.0, TLS 1.1 и TLS 1.2, а также SSL 2.0 и 3.0.
Пуск — Выполнить — inetcpl.cpl — вкладка «Дополнительно»
4. Очистка кэша SSL
Если вы работаете с несколькими учетными записями (сертификатами), при каждой смене пользователя необходимо очистить SSL ( Настройки — Свойства браузера — вкладка «Содержание» — Очистить SSL ).
Пуск — Выполнить — inetcpl.cpl — вкладка «Содержание»
5. Прямая ссылка на ЛК
6. Запуск браузера без расширений/другие браузеры
Отключите в настройках браузера дополнительные расширения, чтобы исключить их влияние на работу с порталом ФНС.
Протестируйте работу в другом браузере из списка поддерживаемых:
- Яндекс.Браузер версии 19.3 или выше;
- Спутник версии 4.1.2583.0 (Официальная сборка) или выше, gostssl (32 бит);
- Internet Explorer версии 11.0.9600.xxxxx или выше;
- Chromium-GOST.
7. Настройка антивируса/брандмауэра
Задача — отключение опции SSL-сканирования («SSL scan»). Либо настройте исключения для площадок ФНС.
8. Проверка времени и даты
Проверьте установку времени, даты и часового пояса на вашем ПК. При необходимости измените их значения на корректные или включите автоматическую синхронизацию по расписанию.
9. Другие средства защиты
Одновременная и корректная работа с разными криптопровайдерами (VipNet CSP, Континент-АП, Агава и др.) на одном ПК не гарантируется. Если установлены прочие СКЗИ — удалите их или перейдите на другое рабочее место.
✅ В настройке подключения есть свои тонкости и набор средств. Поэтому, каждый случай надо рассматривать отдельно. Универсального решения нет, проверьте рекомендации — что-то должно помочь. Успехов вам!
⚡ Подписывайтесь на канал или задавайте вопрос на сайте — постараемся помочь всеми техническими силами. Безопасной и производительной работы в Windows и 1С.
Chromium-GOST
Для тех, кто любит быстрые решения. Нас выручил специализированный Chromium-GOST , в который встроены алгоритмы шифрования ГОСТ.
На нем все запустилось, и мы сразу попали в личный кабинет ЮЛ.
Варианты действий
Если рассматривать сценарии, то можно пойти тремя путями:
- включать Центр обновлений, загружать все обязательные пакеты, в котором будет один из KB для автоматического обновления корневых сертификатов;
- искать и установить целевой (-ые) KB вручную — если у вас есть время и желание разобраться глубже;
- обновить корневые сертификаты в ручном режиме.
Первые два варианта не претендуют на 100% решение, т. к. часть ОС сняты с обслуживания компанией Microsoft (например, Windows XP, 7, а также Server 2003, 2008) и пакеты обновлений для них могут не выпускаться.
Как обновить сертификаты вручную
Используем следующий подход: делаем выгрузку корневых сертификатов на актуальной системе и переносим их в устаревшую.
Шаг 1. Выгружаем файл с корневыми сертификатами на ПК Windows 10 с подключением к Интернет, т. к. идет запрос к серверам Microsoft.
Например, создадим на диске C:\ каталог «cert», в который сохраним результат выгрузки. Запустите командную строку от имени администратора и выполните команду:
С такой ошибкой к нам обратился клиент. Подключение идет с ПК Windows 7, на борту КриптоПро и Яндекс.Браузер. Последний — в списке рекомендуемых . Но что-то мешает.
Описание ошибки
Как правило, в таких случаях следует проверить стандартный, не всеми любимый Internet Explorer. Открыли, но также быстро закрыли — версия устарела (требуется 11.0.9600.xxxxx или выше). Вариант отпадает.
Конечно же, сделали попытку обновления IE, но получили еще больше предупреждений — мол, не хватает нескольких обязательных обновлений WIndows. Получается процесс затяжного и неустойчивого характера — отложили идею, поставив на полку до лучших времен.
Проверили ключ, сертификат и формирование подписи на тестовой странице — ошибок нет.
Читайте также: