Ошибки сертификата безопасности — Почта. Справка

Когда возникает ошибка сертификата безопасности, вы видите сообщение:

  • «Ваше подключение не защищено».

  • «Сайт угрожает безопасности вашего компьютера».

  • «Ошибочный сертификат».

  • «Ошибка в сертификате безопасности».

  • «Это соединение является недоверенным».

Ошибки ненадежного соединения или некорректного сертификата безопасности могут возникнуть из-за конфликта между настройками браузера и компьютера. Также ошибки может вызвать работа антивируса. Чтобы понять причину ошибки сертификата, найдите ее код в конце сообщения.

Код ошибкиРешение
  • ssl_error_bad_cert_domain
Проверьте, что в адресную строку браузера введен правильный адрес — mail. yandex.ru или passport.yandex.ru, а после ru стоит символ /, а не точка или другой символ.
  • err_cert_date_invalid
  • sec_error_oscp_invalid_signing_cert
  • sec_error_expired_issuer_certificate
  • sec_error_expired_certificate
  • sec_error_ocsp_future_response
Убедитесь, что на компьютере корректно установлены дата и время. Если они настроены неправильно, система ошибочно определяет, что срок сертификата еще не наступил или уже закончился.
  • err_cert_common_name_invalid
  • err_cert_authority_invalid
  • sec_error_unknown_issuer
Убедитесь, что в настройках вашего антивируса отключена проверка HTTPS-соединений. О том, как это сделать в Kaspersky Internet Security и в ESET NOD32 Smart Security, см. под таблицей.

Если на вашем компьютере нет антивирусной программы, злоумышленники могли подменить сертификат безопасности при помощи вредоносного кода или атаки MITM. Проверьте ваш компьютер на вирусы с помощью бесплатных антивирусных программ: CureIt! от Dr.Web и Virus Removal Tool от «Лаборатории Касперского».

Отключение проверки HTTPS-соединения в Kaspersky Internet Security

  1. Откройте окно антивируса и нажмите кнопку в левом нижнем углу.

  2. Перейдите на вкладку Дополнительно и выберите пункт Сеть.

  3. В блоке Проверка защищенных соединений установите значение Не проверять защищенные соединения и подтвердите выбор.

Отключение проверки HTTPS-соединения в ESET NOD32 Smart Security

  1. Откройте окно антивируса, перейдите на вкладку Настройка и нажмите ссылку Дополнительные настройки.

  2. В блоке Интернет и электронная почта → SSL/TLS отключите опцию Включить фильтрацию протокола SSL/TLS.

  3. В блоке Интернет и электронная почта → Защита доступа в Интернет → Веб-протоколы → Настройка модуля сканирования HTTPS отключите опцию Включить проверку протокола HTTPS.

  4. Нажмите кнопку OK, чтобы сохранить изменения.

SSL-сертификат — что это и как установить

Про SSL кратко

SSL-сертификат — это цифровой сертификат, который удостоверяет подлинность веб-сайта и позволяет использовать зашифрованное соединение. Он был создан для безопасного обмена конфиденциальной информацией — персональными данными, адресами, номерами кредитных карт. Наличие этого сертификата означает, что обмен между браузером и сервером происходит в зашифрованном виде и что сайт — точно тот, за кого себя выдаёт.

На использование SSL-сертификата указывает буква s в сокращении HTTPS и значок замка в адресной строке браузера.

Зачем нужен сертификат

Протокол HTTP (HyperText Transfer Protocol, протокол передачи гипертекста) — это список правил, по которым компьютер получает данные от сервера. HTTP умеет передавать видео, аудио и текст, но только в открытом, незашифрованном виде. А значит, в случае доступа к трафику кто-то другой, например интернет-провайдер, может прочитать страницу, которую вам передаёт сервер, и то, что вы ему отправляете обратно.

Ещё в 2000 году компания Netscape предложила использовать для передачи чувствительной информации протокол шифрования данных SSL (Secure Socket Layer, защищённый сокетный слой) и выпустила расширение протокола HTTP — HTTPS (HyperText Transfer Protocol Secure). Для того чтобы сайт мог работать по протоколу HTTPS, на домен выпускают и устанавливают SSL-сертификат. Сервер проверяет подлинность этого сертификата, а потом передаёт информацию в зашифрованном виде. Её можно расшифровать только с помощью специального ключа, который входит в сертификат. Так работает защита от несанкционированного доступа к трафику.

Сейчас используют переименованную версию протокола — TLS. Однако аббревиатура SSL прижилась, поэтому новая версия часто называется старым именем.

Сертификат SSL гарантирует пользователю, что при переходе на сайт конфиденциальность данных сохраняется и что платформа подлинная.

Как работает SSL

  1. Пользователь отправляет запрос на подключение к сайту, защищённому протоколом. Например, переходит по ссылке или вводит адрес в адресной строке браузера.
  2. Браузер пользователя по протоколу HTTPS спрашивает у сервера сайта, подлинный ли он.
  3. Сервер в ответ пересылает копию своего сертификата SSL и публичный ключ.
  4. Браузер пользователя сверяет полученный сертификат с пунктами выдачи сертификатов, удостоверяется в его подлинности и отправляет серверу подтверждение, которое зашифровывает публичным ключом.
  5. Сервер создаёт защищённый сеанс: отправляет браузеру подтверждение с уникальной цифровой подписью, которая зашифрована протоколом SSL.
  6. Защищённое соединение установлено: данные передаются по браузер-серверному соединению.

Весь этот длинный список действий система проходит за несколько миллисекунд.

Любой желающий может просмотреть сведения об SSL-сертификате в своём браузере. Для этого надо щёлкнуть на значок замка, расположенный в адресной строке. В открывшемся окне можно будет увидеть доменное имя и организацию, для которых выпущен сертификат, центр сертификации, дату выдачи, срок действия сертификата и другую информацию.

Виды сертификатов

Сертификаты SSL бывают самоподписанные (сервером компании) и подписанные в удостоверяющих центрах. Первые может сделать любой пользователь, поэтому браузер, получив такой сертификат, будет предупреждать о незащищённом соединении. А второй тип браузер рассматривает как достоверный, потому что в браузеры вшита информация об основных удостоверяющих центрах.

Основных типов сертификатов SSL три — DV, OV и EV:

  • DV (Domain Validation) — самого низкого уровня. Он подтверждает домен сайта, но не его владельца. Показывает, что подключение защищено, клиент обменивается зашифрованной информацией с сервером. Этот тип сертификатов самый дешёвый, он подходит для личных блогов, сайтов-визиток, где нет сбора чувствительной информации.
  • OV (Organization Validation) подтверждает не только домен, но и его владельца. Этот сертификат могут получить как физические, так и юридические лица. OV часто используется в социальных сетях, форумах и даже интернет-магазинах или других ресурсах с приёмом платежей.
  • EV (Extended Validation) — сертификат самого высокого уровня, он подтверждает домен, его владельца и регистрационные данные владельца. Его могут приобрести только юридические лица. Обычно такой тип сертификата используют финансовые организации, страховые компании, корпоративные сайты и другой крупный бизнес. Проверка данных при выдаче этого сертификата может занимать несколько недель.

Сертификаты всех типов обеспечивают шифрование трафика между сайтом и браузером, так что можно выбрать тот, которого будет достаточно для решения ваших задач.

Удостоверяющие центры

Долгое время владельцы сайтов, которые не хотели платить за сертификат SSL, вынуждены были выпускать самоподписанные сертификаты. Но появились некоммерческие организации, которые предлагают бесплатные SSL-сертификаты для повышения уровня безопасности сети. Одна из таких организаций — Let’s Encrypt. У бесплатного сертификата есть ограничение: он действует всего три месяца, затем его нужно продлить. Платный — до двух лет.

Основные удостоверяющие центры, которые выдают SSL-сертификаты, — Sectigo (бывший Comodo), GeoTrust, GoDaddy, GlobalSign, Symantec. Но многие зарубежные центры, например Symantec и Sectigo, перестали работать с сайтами из России. Пока ещё можно получить сертификат от GlobalSign на сайте reg.ru, причём бесплатно, если купить здесь домен. Но и этот удостоверяющий центр может закрыть доступ для российских пользователей.

Как получить SSL-сертификат в России. В марте 2022 года Минцифры организовало выдачу российских сертификатов через портал госуслуг. Такой сертификат выдают бесплатно вместо иностранного сертификата безопасности в случае его отзыва или окончания срока действия. Но его могут получить только юридические лица.

Как установить SSL-сертификат на сайт

Приобретённый сертификат SSL будет включать в себя файл сертификата, его цепочку и ключ. Дальше нужно установить его на сайт. Если вы используете, например, панель управления веб-хостингом ISPmanager, авторизуйтесь под учётной записью пользователя, на которого приобретён сертификат, перейдите в раздел «SSL-сертификаты», нажмите кнопку «Добавить сертификат» и заполните нужные поля. После установки весь трафик от сайта к вам и в обратном направлении будет зашифрован.

Как быть с российскими сертификатами

Браузер, через который вы заходите на сайт, должен признавать достоверным и доверенным центр, который выдал SSL-сертификат. Но уже больше года зарубежные браузеры — Google Chrome, Edge, Safari, Opera — не признают российский УЦ. А это значит, что при переходе на сайт, подписанный таким сертификатом, браузер будет сообщать о проблемах. И не исключено, что пользователь не сможет зайти, например, на портал госуслуг.

Решить эту проблему можно двумя способами:

  1. Пользуйтесь российскими браузерами — Яндекс Браузером или Атомом. Они признают российские сертификаты.
  2. Установите корневой сертификат в свою операционную систему. Тогда каждый браузер будет признавать российские сертификаты достоверными.

Защита: Защита от недоверенных сертификатов

Мобильный Яндекс.Браузер проверяет сертификаты сайта. Браузер предупреждает вас, если есть проблемы с сертификатом безопасности веб-сайта, и он не может обеспечить безопасное шифрование данных.

  1. Зачем веб-сайтам нужен сертификат
  2. Чем опасен ненадежный сертификат
  3. Заблокированные веб-сайты с ненадежными сертификатами
  4. Причины блокировки

Ваши личные данные и платежная информация должны быть защищены, когда вы отправляете их на веб-сайт. Веб-сайты используют протокол HTTPS для безопасного соединения. Протокол активирует алгоритм асимметричного шифрования, при котором данные шифруются с помощью открытого ключа, а расшифровываются с помощью закрытого ключа. Для каждого сеанса браузер повторно генерирует закрытый ключ и передает его на веб-сайт с соблюдением необходимых мер предосторожности для предотвращения кражи.

Однако, если вы окажетесь на фишинговом веб-сайте, он может получить закрытый ключ и затем расшифровать ваши данные. Для защиты от фишинга сайты используют цифровые сертификаты, выданные специальными удостоверяющими центрами. Сертификат гарантирует, что ключи шифрования действительно принадлежат владельцу сайта.

Вы можете оказаться на фишинговом сайте, либо ваши данные не получат необходимой защиты на оригинальном сайте (например, если срок действия сертификата сайта истек). В результате хакеры могут:

  • Перехватить или заменить ваши личные данные и прочитать вашу переписку.

  • Получите ваши платежные данные (номер карты, имя владельца карты, срок действия и CVV2) и используйте их для кражи денег с вашего счета.

Если веб-сайт не может гарантировать безопасное шифрование данных из-за проблем с сертификатом, вы увидите значок (в SmartBox) или значок (на панели инструментов «Защита», которая открывается через  → О сайте). Сайт не загружается, а на странице отображается сообщение о том, что не удалось установить безопасное соединение. В этом случае вы можете решить либо не посещать сайт, либо добавить сертификат в свой список доверенных.

Нажмите «Подробнее» → Сделать исключение для этого сайта. Сертификат останется в списке доверенных на 30 дней, после чего вам снова придется делать исключение.

Внимание. Сделайте это, если вы абсолютно уверены, что сертификат заслуживает доверия. В противном случае хакеры могут получить доступ к вашим личным данным и онлайн-платежам.

Яндекс.Браузер блокирует сайты, имеющие следующие проблемы с сертификатом:

Центр сертификации неизвестен

Возможно, сертификат был установлен хакером или специальной программой. Блокировщики рекламы и подобные приложения могут заменять сертификаты веб-сайтов своими собственными сертификатами. Если сертификат был установлен приложением, нужно его найти и отключить в нем проверку HTTPS.

Вы также можете доверить свои данные такому сертификату, но помните о двух потенциальных опасностях:

  • Ваши данные могут стать доступными для неизвестных разработчиков приложений.

  • Сертификат может быть установлен вредоносным ПО, выдающим себя за приложение. Браузеры не имеют возможности проверять подлинность сертификатов, установленных специальными приложениями.

Неверный адрес сайта

Сертификат безопасности сайта принадлежит другому сайту. Сервер может быть просто неправильно настроен, но не исключено, что вы попали на фишинговый сайт. В этом случае хакеры могут перехватить ваши данные.

Самозаверяющий сертификат

Сертификат сайта выдается самим сайтом, а не центром сертификации. Дополнительные сведения см. в разделе Самозаверяющий сертификат. Вредоносное ПО или хакеры могут перехватить ваши данные.

Ненадежный корневой сертификат

Центр, подписавший сертификат, не является доверенным. Вредоносное ПО или хакеры могут перехватить ваши данные. Дополнительные сведения о корневых сертификатах см. в разделе Корневой сертификат.

Срок действия сертификата истек

Отправляемые данные не будут зашифрованы, а это значит, что их могут перехватить хакеры.

Сертификат отозван

Сертификат сайта был скомпрометирован и отозван. Отправляемые данные не будут зашифрованы, а значит, хакеры смогут их перехватить.

Устаревшее шифрование

Сервер использует устаревший, ненадежный алгоритм шифрования. Хакеры могут перехватить ваши данные.

Шифры не поддерживаются

Невозможно установить HTTPS-соединение, поскольку веб-сайт использует шифры, не поддерживаемые браузером. Отправляемые данные не будут зашифрованы, а значит, хакеры смогут их перехватить.

Ключ сертификата не соответствует закрепленному ключу

Ключ сертификата не соответствует закрепленному ключу веб-сайта. Хакеры могут попытаться заменить корневой сертификат. Тогда они могут перехватить ваши данные. Дополнительные сведения о закреплении (связывании) ключа см. в разделе Закрепление открытого ключа HTTP.

Не удалось зашифровать данные через HSTS

Браузер не смог включить шифрование и разорвал соединение. Сервер, на котором расположен сайт, обычно использует шифрование, так как на нем включен протокол HSTS. Отсутствие шифрования может быть признаком хакерской атаки. В этом случае хакеры или вредоносные программы могут перехватить ваши данные.

Если вы не можете найти нужную информацию в справке или у вас возникли проблемы с Яндекс.Браузером для мобильных устройств, опишите свои действия пошагово. Если есть возможность, сделайте скриншот. Это поможет нашим специалистам службы поддержки быстро найти решение проблемы, с которой вы столкнулись.

Примечание. Для решения проблем с сервисами Яндекса обращайтесь в службу поддержки этих сервисов:

Яндекс.Браузер для ПК

Если у вас возникли проблемы с использованием десктопной версии Яндекс. Браузера, вы можете связаться с нами прямо из браузера: перейдите в  → Дополнительно → Сообщить проблему или заполните форму.

Главная страница Яндекса

Если ваш вопрос касается главной страницы Яндекса (например, вы хотите изменить тему, настроить блоки или иконки для сервисов или найти YooMoney), свяжитесь с нами, используя эту форму. Выберите вариант Вопрос о главной странице Яндекса.

Яндекс Почта

Если у вас есть вопросы по Яндекс Почте (например, как отключить рекламу, импортировать сообщения из других почтовых ящиков, восстановить удаленные письма или найти сообщения в папке «Спам»), воспользуйтесь этой формой.

Поиск Яндекса и результаты поиска

Если у вас есть вопросы о Поиске Яндекса и результатах поиска (например, о рейтинге сайта или недействительных результатах поиска), свяжитесь с нами, используя эту форму.

Проблемы с сертификатами | База знаний AdGuard

Чтобы иметь возможность фильтровать HTTPS-трафик и эффективно блокировать рекламу и трекеры, AdGuard генерирует специальный (уникальный) корневой сертификат и устанавливает его в системное хранилище. Подробнее о том, зачем нужен сертификат, вы можете узнать, прочитав эту статью.

Обычно браузеры доверяют сертификату AdGuard после его добавления в системное хранилище сертификатов в процессе установки. Но в некоторых случаях этого недостаточно и вы можете столкнуться с предупреждениями или ошибками. Чаще всего это происходит в браузерах на базе Firefox, таких как Mozilla Firefox, PaleMoon, Waterfox и др., или в Яндекс.Браузере.

Старые версии FireFox, а также браузеры на их основе доверяют сертификатам не из системного хранилища, а только из своего локального хранилища. Начиная с v68, FireFox доверяет системным сертификатам, но вы все еще можете столкнуться с ошибкой «Соединение ненадежно». Если что-то подобное произойдет, сначала попробуйте нажать кнопку Кнопка «Переустановить сертификат » — вы найдете ее на вкладке Сеть .

Если это не помогло, следуйте инструкциям по ручному добавлению сертификата AdGuard в хранилище FireFox.

Данная инструкция предназначена для браузера Firefox. Названия кнопок и пунктов меню могут отличаться в других браузерах на основе Firefox.

1) Запустите AdGuard.

2) Перейдите на http://local.adguard.org/cert и нажмите кнопку Download . Браузер должен начать загрузку 9Файл 0141 cert.cer .

Вы также можете открыть страницу загрузки, перейдя по ссылке через приложение AdGuard по адресу Настройки → Сеть → Фильтрация HTTPS .

3) Откройте браузер, а затем откройте Настройки .

4) Перейдите на вкладку Конфиденциальность и безопасность .

5) Прокрутите вниз до Сертификаты и нажмите кнопку Просмотр сертификатов .

6) Выберите Центры таб.

7) Нажмите Импорт… .

8) Просмотрите загруженный файл cert.cer и нажмите Открыть .

9) Установите флажок Доверять этому центру сертификации для идентификации веб-сайтов и нажмите OK .

Вы успешно установили сертификат AdGuard. Перезапустите браузер, и ошибка должна исчезнуть.

Если вы являетесь пользователем AdGuard для Windows и Яндекс.Браузера, возможно, вы сталкивались с этим предупреждением:

Почему это происходит?

И AdGuard, и Яндекс очень серьезно относятся к безопасности пользователей в Интернете. Текущая политика Яндекса заключается в том, чтобы предупреждать своих пользователей о любом сертификате, который не распознается браузером. Это небезосновательно, потому что иногда вредоносные приложения могут внедрять свои собственные сертификаты и использовать это для нанесения вреда системе и кражи личных данных.

Однако AdGuard тоже добавляет свой сертификат в доверенные. Это приводит к предупреждающему сообщению, с которым вы столкнулись.

Как решить проблему​

Проще всего нажать кнопку Перейти на сайт .

No related posts.