Light-electric.com

IT Журнал
26 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Касперский невозможно гарантировать подлинность домена

Ошибка «Невозможно гарантировать подлинность домена» в Касперском для HTTPS сайтов

Как-то при посещении одного из моих блогов начала появляется ошибка антивируса Касперского — «Невозможно гарантировать подлинность домена, с которым устанавливается зашифрованное соединение«. В интернете она уже встречалась мне ранее и я знаю насколько сильно данное окно может раздражать — пользователю нужно сделать 2-3 клика и потратить 5-10секунд времени чтобы попасть на сайт. Если бы я не был на 100% уверен, что мне нужно туда зайти (а переходил бы впервые из поиска), то с большой вероятность просто бы закрыл страницу.

Возможно это не так серьезно как проверка вирусов на хостинге, но даже учитывая тот факт, что Kaspersky установлен не у всех, терять потенциальных посетителей не хотелось. В общем, я принялся разбираться с проблемой. Для начала покажу как именно она выглядит:

Предупреждение появляется сразу при входе на веб-ресурс в правом нижнем углу. Юзеру предлагается разорвать «недостоверную связь» ради собственной онлайн безопасности либо перейти к сайту на свой страх и риск.

Практически все причины появления ошибки подлинности доменного имени связаны с какими-то проблемами у сертификата (цифровой подписью зашифрованного HTTPS-соединения). Сертификат может быть:

  • отозван пользователем;
  • выдан не совсем легально;
  • не предназначен для подтверждения подлинности;
  • иметь нарушения в структуре или цепочке сертификатов;
  • содержать не тот домен, на который установлен.

Во всех этих случаях вы увидите предупреждение, как на картинке выше. И тут имеется 2 разных пути решения, в зависимости от того срабатывает эта оно на вашем проекте или стороннем веб-ресурсе.

Ошибка подлинности домена на своем сайте

Так как по определению ситуация возникает при косяках в сертификате защищенного протокола, вам нужно определить что конкретно с ним не так (возможно, обратившись в компанию, где его заказывали). В моем конкретном случае причина проблемы была не совсем понятна, т.к. в блоге НЕ установлен HTTPS протокол!

И тут я вспомнил, как читал на просторах интернета о том, что поисковые системы (или браузеры) при заходе на тот или иной URL автоматически проверяют есть ли в нем HTTPS соединение, и лишь потом запрашивают HTTP.

Я решил попробовать подставить вместо обычного http://design-mania.ru защищенный протокол https://design-mania.ru, и оказалось, что сайт открывается и по второму адресу тоже. Вполне вероятно, что антивирус действовал по такой же логике, а поскольку в блоге нет никакого сертификата, — это и вызвало ошибку.

В общем, обратился в тех.поддержку своего хостера FastVPS, где мне прояснили ситуацию технически грамотным языком:

Поэтому если у вас начала появляется подобная ошибка на собственном сайте, смело пишите хостеру для выяснения причин и установки соответствующих настроек. После внесения изменений не забудьте очистить кэш и cookies браузера.

Отключение проверки подлинности домена в Kaspersky

Если проблема находится на стороннем сервере, то постоянные срабатывания предупреждения антивируса Касперского и трата времени на их обработку также может раздражать. Тут есть 2 варианта решения:

  • полностью отключить проверку в программе;
  • добавить URL определенного проекта в исключения.

Вспоминается сразу похожая ошибка SEC_ERROR_UNKNOWN_ISSUER в Firefox — видимо, «Каспер» пытается перестраховаться в любой непонятной ситуации.

Чтобы выключить анализ защищенных соединений:

1. Открываете основное окно программы Kaspersky Internet Security (в интерфейсе других, увы, не ориентируюсь). Дальше кликаете по иконке шестеренки (Настройки), где следует выбрать пункт «Дополнительно» — «Сеть».

2. Затем находите опцию «Проверка защищенных соединений» и выбираете в ней первый пункт — «не проверять».

3. Появится всплывающее окно с предупреждением, что уровень защиты снизится — соглашаетесь с этим.

Дабы создать исключение для определенного сайта:

1. Вначале выполняем аналогичные действия предыдущему методу: заходим в настройки, где во вкладке «Дополнительно» выбираем «Сеть».

2. Для опции проверки соединений чуть ниже имеется линк «Настроить исключения».

3. После клика на ссылку появится новое окно, где сможете добавлять доменные имена, для которых не будет проверяться сертификат. Вводите в форме URL, отмечаете опцию «Активно» и кликаете «Добавить».

В принципе, на это всем. Больше информации найдете в онлайн справке антивируса. Если после всех манипуляций проблема не исчезла, остается 2 пути: просто забить либо обратиться в тех.поддержку Касперского. Ошибка невозможности гарантирования подлинности домена теоретически может появляться и при использовании другого антивирусного софта. Думаю, в таком случае алгоритм аналогичный — находите настройках где отключить проверку сертификатов на сайтах либо создаете исключения из правил.

Кстати, если у вас возникали какие-то другие проблемы с Kaspersky, можете поделиться их решением ниже. Помнится, раньше он дико тормозил, но сейчас, вроде бы, все получше стало.

Установка сертификата Kaspersky Anti-Virus Personal Root Certificate в браузере Mozilla Firefox

Если при попытке установить защищенное соединение с каким-либо сайтом по протоколу https:// (например, https://webmoney.ru) в окне браузера Mozilla Firefox Вы видите следующую картинку, а установленный Антивирус Касперского (KFA, КАВ, KIS или KTS) сообщает о том, что «Невозможно гарантировать подлинность домена, с которым устанавливается зашифрованное соединение. Этот сертификат или цепочка сертификатов построены на недоверенном корневом центре», то вам необходимо установить в браузер Moxilla Firefox корневой сертификат Kaspersky Anti-Virus Personal Root Certificate.

Читать еще:  Домен в бд

Для этого найдите сертификат на компьютере по пути* C:ProgramDataKaspersky LabAVP18.0.0DataCert(fake)Kaspersky Anti-Virus Personal Root Certificate.cer, а затем в меню Mozilla Firefox (вверху справа — три горизонтальные линии) нажмите «Настройка — Дополнительные — Просмотр сертификатов — Центры сертификации». Затем нажмите «Импортировать», в открывшемся окне выберите файл «C:ProgramDataKaspersky LabAVP18.0.0DataCert(fake)Kaspersky Anti-Virus Personal Root Certificate.cer). Установите его, поставив галочку «Доверять при проверке сайтов».
* Обратите внимание! Путь может отличаться в зависимости от версии установленного у Вас антивируса Лаборатории Касперского.
Если путь отличается — лучше установить самую последнюю версию антивируса. Велика вероятность, что после этого проблема исчезнет сама, и все последующие действия выполнять не нужно будет.
Ссылки для скачивания последних версий продуктов Лаборатории Касперского:

Скачать бесплатно КАВ

Скачать бесплатно KIS

Скачать бесплатно KTS

** Если через проводник не получается добраться до сертификата, включите отображение скрытых файлов и папок по инструкции из статьи.

Для контроля правильности проделанных операций в окне Просмотр сертификатов откройте вкладку Центры сертификации и найдите установленный вами корневой сертификат, откройте окно информации о сертификате, нажав кнопку «Просмотр». Убедитесь, что сертификат действителен.

Закройте все окна, перезагрузите браузер и проверьте действие сертификата, установив защищенное соединение.

Ошибки Ваше подключение не защищено ERR_CERT_WEAK_SIGNATURE_ALGORITHM и прочие

Ошибки — Ваше подключение не защищено

NET::ERR_CERT_WEAK_SIGNATURE_ALGORITHM

Почему происходит?

Вредоносная программа (Программы анкетирования ResearchBar+, разные vpn, прокси, AD* от лавасофт) или устаревший/плохой антивирус (аваст, касперский и прочие) подменяют https сертификаты на сайтах чтобы отследить содержимое и ваш трафик, делая посещение подобных сайтов небезопасными.

Как диагностировать причину?

Чтобы точно узнать причину нажмите на ошибку: NET::ERR_WEAK_SIGNATURE_ALGORITHM и скопируйте сюда весь текст или сделайте скриншот

Нужна такая информация с этой страницы, как пример:

Issuer: ZAO TNS Gallup Media

Expires on: 14 июн. 2017 г.

Current date: 31 мар. 2017 г.

PEM encoded chain:

Примеры ошибок и как исправить

Issuer: ZAO TNS Gallup Media

ResearchBar+, она подменяет https сертификаты у сайтов на свои, тем самым делая их просмотр не безопасным и позволяя перехватывать вашу личную информацию.

Удалите ее в Панель управленияПрограммыПрограммы и компоненты и расширение тоже тут chrome://extensions/

Issuer: Kaspersky Anti-Virus Personal Root Certificate

Скорее у вас необновленная версия антивируса, переустановите, альтернативное решение — http://support.kaspersky.ru/9927#block1

Issuer: avast! Web/Mail Shield Root

Рекомендую удалить антивирус от avast! и поставить нормальный антивирус вроде Eset

Если нет то: «Avast Premium сканировал HTTPS (можно отключить в Настройки -> Активная защита -> Веб-экран -> убрать галочку напротив «Включить сканирование HTTPS»). Именно антивирус вмешивался в сертификаты и был проблемой.»

Issuer: Bitdefender Personal CA.Net-Defender

Рекомендую удалить антивирус от BitDefender и поставить нормальный антивирус вроде Eset

Если нет то: заходим в BitDefender — Settings — Privacy Control — Scan SSL => отключить его .

Issuer: Superfish, Inc.

Это опасный вирус. https://filippo.io/Badfish/removing.html удаляйте его по инструкции. А также антивирусами и проверьте компьютер программами по сканированию и очистке компьютера ADWCLEANER и ANTI-MALWARE .

Issuer: Sample CA и другие

Пока установить причину не удалось.

Скидывайте сюда коды Issuer:

Ставьте тогда касперский например на проверку, он многим помог т.к. это в любом случае вирус.

Обычно влияют продукты лавасофт — разные AD***, антивирусы, прокси и VPN и любые программы подменяющие сертификаты https

Вспомните может недавно какую-то программу ставили. Пройдитесь по разделу установка удаление программ.

Проверьте компьютер программами по сканированию и очистке компьютера ADWCLEANER и ANTI-MALWARE .

2) NET::ERR_CERT_AUTHORITY_INVALID

Почему это происходит?

Начиная с Google Chrome 56, браузер больше не доверяет сертификатам WoSign и StartCom (выпущенным позднее October 21, 2016 00:00:00 UTC.)

2) Сайт использует устаревший сертификат SHA1

Как диагностировать причину?

Воспользоваться тестами SSL

Решение:

Пользователям — если вы не имеется отношения к сайту то обратитесь к владельцам с просьбой починить ресурс, метод ниже.

Владельцам — Сменить сертификат, например на бесплатный от Let’s Encrypt. Большинство хостингов и регистраторов доменных имен подключают их спокойно сегодня.

Если проблема с промежуточным сертификатом то значит установили неверно, обратитесь к вашему хостеру или наймите специалиста.

3) NET::ERR_CERT_COMMON_NAME_INVALID

Почему это происходит?

Вы выпустили сертификат например на поддомен (test.hosting.ru), а сейчас купили себе домен второго уровня (site.ru), а сертификат поменять забыли. Также такое бывает у конструкторов сайтов вроде тилда, сертификаты там выпущены на site.tilda.ws, при добавлении домена нужно менять сертификат.

Как диагностировать причину?

Воспользоваться тестами SSL

Решение:

Создать сертификат именно под ваш домен

4) NET::ERR_CERTIFICATE_TRANSPARENCY_REQUIR ED

Почему это происходит?

Или у вас устаревшая версия Chrome или вы используете Chromium подобный браузер от другой компании.

Также помните что поддержка Windows XP давно завершена как Майкрасофтом так и Google Chrome.

Решение:

Установите свежую версию браузера отсюда (Web установщик):

Ошибка «Сертификат безопасности сайта не является доверенным». Как ее исправить?

Доброго дня!

Я думаю, что почти каждый пользователь (особенно в последнее время) сталкивался с ошибкой в браузере о том, что сертификат такого-то сайта не является доверенным, и рекомендацией не посещать его.

Читать еще:  Что такое домен в базе данных

С одной стороны это хорошо (все-таки и браузер, и вообще популяризация подобных сертификатов — обеспечивает нашу безопасность), но с другой — подобная ошибка иногда всплывает даже на очень известных сайтах (на том же Google).

Суть происходящего, и что это значит?

Дело в том, что когда вы подключаетесь к сайту, на котором установлен протокол SSL, то сервер передает браузеру цифровой документ ( сертификат ) о том, что сайт является подлинным (а не фейк или клон чего-то там. ). Кстати, если с таким сайтом все хорошо, то браузеры их помечают «зеленым» замочком: на скрине ниже показано, как это выглядит в Chrome.

Однако, сертификаты могут выпускать, как всем известные организации (Symantec, Rapidssl, Comodo и др.) , так и вообще кто-угодно. Разумеется, если браузер и ваша система «не знает» того, кто выпустил сертификат (или возникает подозрение в его правильности) — то появляется подобная ошибка.

Т.е. я веду к тому, что под раздачу могут попасть как совсем белые сайты, так и те, которые реально опасно посещать. Поэтому, появление подобной ошибки это повод внимательно взглянуть на адрес сайта.

Ну а в этой статье я хочу указать на несколько способов устранения подобной ошибки, если она стала появляться даже на белых и известных сайтах (например, на Google, Яндекс, VK и многих других. Их же вы не откажетесь посещать?).

Как устранить ошибку

1) Обратите внимание на адрес сайта

Первое, что сделайте — просто обратите внимание на адрес сайта (возможно, что вы по ошибке набрали не тот URL). Также иногда такое происходит по вине сервера, на котором расположен сайт (возможно, вообще, сам сертификат просто устарел, ведь его выдают на определенное время). Попробуйте посетить другие сайты, если с ними все OK — то вероятнее всего, что проблема не в вашей системе, а у того конкретного сайта.

Пример ошибки «Сертификат безопасности сайта не является доверенным»

Однако, отмечу, что если ошибка появляется на очень известном сайте, которому вы (и многие другие пользователи) всецело доверяете — то высока вероятность проблемы в вашей системе.

2) Проверьте дату и время, установленные в Windows

Второй момент — подобная ошибка может выскакивать, если у вас в системе неверно задано время или дата. Для их корректировки и уточнения достаточно щелкнуть мышкой по «времени» в панели задач Windows (в правом нижнем углу экрана). См. скрин ниже.

Настройка даты и времени

После установки правильного времени, перезагрузите компьютер и попробуйте заново открыть браузер и сайты в нем. Ошибка должна исчезнуть.

Также обращаю внимание на то, что, если у вас постоянно сбивается время — вероятно у вас села батарейка на материнской плате. Представляет она из себя небольшую «таблетку», благодаря которой компьютер помнит введенные вами настройки, даже если вы его отключаете от сети (например, те же дата и время как-то высчитываются?).

Батарейка на материнской плате ПК

3) Попробуйте провести обновление корневых сертификатов

Еще один вариант, как можно попробовать решить эту проблему — установить обновление корневых сертификатов. Обновления можно скачать на сайте Microsoft для разных ОС. Для клиентских ОС (т.е. для обычных домашних пользователей) подойдут вот эти обновления: https://support.microsoft.com/

4) Установка «доверенных» сертификатов в систему

Этот способ хоть и рабочий, но хотелось бы предупредить, что он «может» стать источником проблем в безопасности вашей системы. По крайней мере, прибегать к этому советую только для таких крупных сайтов как Google, Яндекс и т.д.

Для избавления от ошибки, связанной с недостоверностью сертификата, должен подойти спец. пакет GeoTrust Primary Certification Authority .

Кстати, на этой страничке расположено еще несколько сертификатов, их также можно до-установить в систему.

Кстати, чтобы скачать GeoTrust Primary Certification Authority:

    нажмите правой кнопкой мышки по ссылке download и выберите вариант «сохранить ссылку как. «;

Сохранить ссылку как.

далее укажите папку на диске, куда будет скачан сертификат. Это будет файл формата PEM.

Файл с расширением PEM

Теперь необходимо скачанный сертификат установить в систему. Как это делается, по шагам расскажу чуть ниже:

  1. сначала нажимаем сочетание кнопок Win+R, и вводим команду certmgr.msc, жмем OK;
  2. должен открыться центр сертификатов в Windows. Необходимо раскрыть вкладку «Доверенные корневые центры сертификации/сертификаты», щелкнуть по ней правой кнопкой мышки и выбрать «Все задачи — импорт».

далее запустится мастер импорта сертификатов. Просто жмем «Далее».

Мастер импорта сертификатов

после нажмите кнопку «Обзор» и укажите ранее загруженный нами сертификат. Нажмите «Далее» (пример показан ниже);

Указываем сертификат, который загрузили

в следующем шаге укажите, что сертификаты нужно поместить в доверенные центры сертификации и нажмите «Далее».

Поместить сертификаты в доверенные. Далее

  • в следующем шаге вы должны увидеть, что импорт успешно завершен. Собственно, можно идти проверять, как будет отображаться сайт в браузере (может потребоваться перезагрузка ПК).
  • Читать еще:  Доменное имя почтового сервера

    5) Обратите внимание на антивирусные утилиты

    В некоторых случаях эта ошибка может возникать из-за того, что какая-нибудь программа (например, антивирус) проверяет https трафик. Это видит браузер, что пришедший сертификат не соответствует адресу, с которого он получен, и в результате появляется предупреждение/ошибка.

    Поэтому, если у вас установлен антивирус/брандмауэр, проверьте и на время отключите настройку сканирования https трафика (см. пример настроек AVAST на скрине ниже).

    Avast — основные настройки (отключение сканирование https трафика)

    На этом у меня всё.

    За дополнения по теме — отдельное мерси!

    Protect: защита от недоверенных сертификатов, невозможно гарантировать подлинность домена касперский.

    Для каждого сеанса связи браузер заново генерирует закрытый ключ и передает его на сайт с мерами предосторожности, исключающими кражу. Оно означает, что сертификат безопасности, хранящийся на сервере, относится не к тому сайту, который вы открываете. Оно означает, что ключ корневого сертификата не совпадает с ключом, закрепленным на сайте. Вредоносное ПО или злоумышленники могут перехватить ваши данные. Подробнее о закреплении (привязывании) ключа см. статью HTTP Public Key Pinning. Сегодня браузеры не умеют проверять подлинность сертификатов, установленных специальными программами.

    Если антивирус обнаружит и удалит установленный злоумышленником сертификат, предупреждение в браузере больше появляться не будет. Для защиты от фишинга сайты используют цифровые сертификаты, выданные специальными удостоверяющими центрами. В этом случае они могут перехватить ваши данные. Возможно, злоумышленники пытаются подменить корневой сертификат. Ваши данные по-прежнему в безопасности: на всякий случай Яндекс.Браузер разорвал соединение до обмена информацией. Вы увидите сообщение: «Не удалось подтвердить, что это сервер example.com. Возможно, другой сайт пытается выдать себя за example.com, либо оборвалось подключение к сети Wi-Fi. Обратите внимание, что на компьютере установлено . В интернете сайты используют для безопасного соединения протокол HTTPS. Вы увидите сообщение: «Обычно сайт example.com использует шифрование для защиты ваших данных. Вы увидите сообщение: «Обычно сайт example.com использует шифрование для защиты ваших данных. В этом случае злоумышленники могут перехватить ваши данные. Если из-за проблем с сертификатом сайт не может обеспечить безопасное шифрование, в правой части Умной строки появляется значок и вы увидите предупреждение о том, что браузер не может установить безопасное соединение. Срок действия его сертификата безопасности истек дней назад. Антивирусы, блокировщики рекламы, программы для мониторинга сети и другие программы могут заменять сертификаты сайта своими собственными. Перейти на сайт example.com невозможно, так как он использует закрепление сертификата. Возникают следующие потенциальные опасности: Яндекс.Браузер блокирует сайты, у которых есть следующие проблемы с сертификатами: Возможно, другой сайт пытается выдать себя за example.com, либо оборвалось подключение к сети Wi-Fi. Чтобы посетить сайт: Перейти на сайт example.com невозможно, так как его сертификат отозван.

    • Для домашнего компьютера . Сервер, на котором расположен сайт, обычно использует шифрование, так как на нем включен HSTS-протокол. Вы увидите сообщение: «Вы пытаетесь обратиться к серверу в домене example.com, но его сертификат подписан с помощью ненадежного алгоритма (SHA-1 и т. п.). Это могло произойти из-за ошибки сети или атаки на сайт. В этом случае сертификат может быть установлен либо администратором сети, либо неизвестным лицом. Перейти на сайт example.com невозможно, так как он использует HSTS протокол. Оно означает, что браузер не смог включить шифрование и разорвал соединение. Однако сертификат, установленный специальной программой, не может считаться надежным, потому что не принадлежит доверенному центру сертификации. Обновите антивирус и просканируйте компьютер на наличие вредоносного ПО. Вы увидите сообщение: «Вы попытались перейти на сайт example.com, сертификату безопасности которого не следует доверять. Скорее всего, он заработает через некоторое время» . Если после отключения проверки HTTPS браузер продолжает предупреждать о подозрительном сертификате, а программа, установившая сертификат, вам не нужна, попробуйте временно закрыть эту программу.
      • Перехватить или подменить ваши личные данные, а также прочитать вашу переписку.
      • Получить ваши платежные данные (номер карты, имя владельца, срок действия и CVV2) и использовать их для кражи денег с вашего счета.

      Возможно, другой сайт пытается выдать себя за example.com, либо оборвалось подключение к сети Wi-Fi. Протокол включает асимметричный алгоритм шифрования, когда данные зашифровываются с помощью открытого ключа и расшифровываются с помощью закрытого ключа. Если сертификат был установлен администратором, можете нажимать кнопку Доверять этому сертификату . Скорее всего, он заработает через некоторое время» . Его сертификат безопасности относится к example1.com. Возможно, сервер настроен неправильно или кто-то пытается перехватить ваши данные» . Вы увидите сообщение: «Не удалось подтвердить, что это сервер example.com. Операционная система компьютера не доверяет его сертификату безопасности. Возможно, сервер настроен неправильно или кто-то пытается перехватить ваши данные» . Если антивирус не удалит подозрительный сертификат, вы можете удалить его сами средствами операционной системы. Возможно, сервер настроен неправильно или кто-то пытается перехватить ваши данные» . Но учтите, что после этого администратор сможет просматривать ваши личные данные и электронные платежи.

    Для удаления подозрительного сертификата обратитесь к системному администратору.

    Protect: защита от недоверенных сертификатов

    Ссылка на основную публикацию
    ВсеИнструменты
    Adblock
    detector