HSTS НЕ обведёшь навколо пальця і не додаси сертифікат в виключення
Якщо з'єднання з сайтом через звичайне захищене з'єднання по протоколу https здійснювалося, то кнопка «Додати в виключення була активна» (помилка: sec_error_unknown_issuer), а якщо по hsts - то немає (див. Скріншот). Довелося поширюють через мережу в пошуках вирішення цього питання. Хоча стало ясно, що проблема з сертифікатом, як вирішити задачу здогадався не відразу. Насамперед глянув на системну дату, адже повсякденне проблема пов'язана саме з нею. Про що я вже тлумачив трохи, в статті раніше, у якій гучний заголовок «Ох вже ця системна дата«. З часом і датою виявилося все в порядку. Потім перевірив всі довірені сертифікати, встановлені в системі і видалив ті, у яких завершився термін дії. Їх там багато, тому відразу доповідаю - результату це не дало. Передбачалося, що можливо просто лежать два однакових сертифіката безпеки - один дійсний, другий прострочений і підрубує саме другий.
Не всі ще знають де зберігаються сертифікати безпеки і як відкрити сховище, хоча інформації в інтернеті повно. Все ж таки повторюся, так як це корисно і можливо менше шукати доведеться, якщо що ... У сховищі сертифікатів windows можна потрапити кількома способами:
1. Відкриваємо InternetExplorer
Якщо не можете швидко знайти InternetExplorer, то можете натиснути меню пуск і в рядку пошуку ввести iexplore
2. У браузері заходимо в меню «сервіс» - «властивості оглядача»
3. Відкриється сховище сертифікатів, де сертифікати згруповані і переміщення по групах здійснюється за допомогою відповідних вкладок. Переходимо на вкладку «Довірені центри сертифікації». Ось тут-то і не вистачає файлу з розширенням cer.
Треба зауважити, що якщо виділити будь-який сертифікат і натиснути кнопку «Додатково» - відкриється вікно з додатковими параметрами, де можна змінити призначення сертифіката, що може вам стати в нагоді в рішенні проблем з помилками типу sec_error_unknown_issuer в firefox або інших браузерах.
4.Также можна потрапити в сховище сертифікатів для поточного користувача Windows: в меню «пуск» в рядку пошуку набрати CertMgr.msc, правда швидше за все не у всіх редакціях windows 7 буде працювати, хоча хз ...
Повертаємося до нашої проблеми. Після перевірки дати / часу можна спробувати погратися з Касперського, якщо це встановлено. Так як він теж може блокувати. Заходимо в настройки Касперича-Мережа:
Якщо галочка «Перевіряти захищені з'єднання» не варто, то тимчасово ставимо, і кнопка «Встановити сертифікат» стане активною. Натискаємо і бачимо, Вам пропонується визначити сертифіката - тиснемо «Так», якщо бачимо вікно самого сертифіката - тиснемо кнопку «Встановити». з'являється майстер імпорту, де завжди тиснемо «далі - далі - далі» (за замовчуванням повинен встановитися куди треба, не обов'язково вибирати папку-призначення, але зауважу, що повинен імпортуватися в «довірені центри сертифікації» - перевірте потім). Якщо не допомогло, то пробуємо наступне: йдемо знову в налаштування Каспера-Мережа. Тут знімаємо галочку з "Перевіряти захищені з'єднання». Далі тиснемо кнопку «Налаштування портів» і знімаємо галочки навпроти портів, в яких зустрічається слово SSL (securesocketslayer). Можна заради тесту звичайно і з усіх зняти галочки на час. Якщо цей спосіб результату ніякого не дав - переконуємося в тому, що сьогодні Антивірус Касперського не винен і переходимо до наступного варіанта вирішення проблеми з не довіреними сертифікатами.Саме цей спосіб допоміг мені в ситуації з помилкою sec_error_unknown_issuer. Знову ж таки повторюся, я розумів, що необхідно імпортувати кореневий сертифікат центру сертифікації. Так як просто браузеру не вдається перевірити ті сертифікати, які видають сервіси google, yandex, mail і т.д. А чий сертифікат ставити я не знав. Тому вирішив трохи схитрувати і допоміг мені в цьому все той же антивірус. В налаштуваннях мережі антивіруса зняв галочку з перевірки з'єднання і спробував зайти на пошту gmail - касперич вивів вікно з вибором дії по відношенню до сертифікати (щось типу «прийняти» - «відмовити» - «показати»). Вибрав варіант показати сертифікат, який пропонує gmail і побачив, що це сертифікат Inside System. Скачав їх кореневої і встановив для поточного користувача і для браузера FireFox окремо. Всі відразу запрацювало без будь-яких проблем. До речі, перезавантажувати комп'ютер не потрібно, можна відразу перевірити спрацювало чи ні. Даний кореневий сертифікат можете завантажити за посиланням нижче:
Для того, щоб встановити сертифікат inside system для поточного користувача досить розпакувати його, викликати контекстне меню правою кнопкою миші і вибрати встановити. Дотримуючись інструкцій майстра імпорту, встановити в «Довірені кореневі центри сертифікації». Туди ж встановлювати і в використовуваних браузерах.
Помилково не довіреної з'єднання з кодом sec_error_unknown_issuer в mozilla support є невелика рекомендація. Тому якщо ви теж користуєтеся браузером firefox можете спробувати застосувати:
До сертифіката немає довіри, так як сертифікат його видавця невідомий.
(Ім'я сайту) використовує недійсний сертифікат безпеки. До сертифіката немає довіри, так як сертифікат його видавця невідомий. (Код помилки: sec_error_unknown_issuer)
Файл cert8.db в папці Вашої профілю може бути пошкоджений. Видаліть цей файл, закривши перед цим Firefox.
- Відкрийте папку вашого профілю: Клацніть по кнопці меню. потім клацніть на кнопці довідки і виберіть Інформація для вирішення проблем. Відкриється вкладка Інформація для вирішення проблем.
- В розділі Інформація про програму натисніть на кнопці Показати папку. Відкриється вікно. що містить файли вашого профілю.
-
Клацніть по кнопці меню і потім клацніть на кнопці Вихід
- Виділіть клацанням файл з ім'ям cert8.db.
- Натисніть Delete.
- Перезапустіть Firefox.
cert8.db буде заново створено при перезапуску Firefox. Це нормально.
Схожі статті