Сертификаты безопасности являются важной частью защиты информации и обеспечения конфиденциальности при использовании операционной системы Windows XP. Они играют роль электронных подписей, подтверждающих легитимность и подлинность файлов и программ. Однако со временем сертификаты могут устареть и стать недействительными, что может привести к проблемам безопасности и ограничениям при использовании определенных сервисов и приложений.
Чтобы обновить сертификаты безопасности на Windows XP, следуйте этой пошаговой инструкции:
- Откройте меню «Пуск» и выберите пункт «Выполнить».
- В окне «Выполнить» введите «mmc» и нажмите клавишу Enter.
- В открывшейся консоли выберите пункт «Файл» и перейдите к «Добавить/удалить снап-ин…».
- В списке доступных снап-инов выберите «Сертификаты» и нажмите кнопку «Добавить».
- В следующем окне выберите опцию «Компьютерный учет» и нажмите кнопку «Далее».
- Выберите опцию «Локальный компьютер» и нажмите кнопку «Завершить».
- Нажмите кнопку «ОК», чтобы закрыть окно «Добавить/удалить снап-ин…» и вернуться к консоли.
- В консоли раскройте раздел «Сертификаты (локальный компьютер)».
- Выберите раздел «Доверенные корневые центры сертификации» и откройте его.
- Откройте пункт «Сертификаты».
- Справа в окне появятся сертификаты, установленные на вашей системе.
- Найдите и выделите те сертификаты, которые требуется обновить.
- Щелкните правой кнопкой мыши на сертификате и выберите пункт «Обновить».
- Следуйте инструкциям мастера обновления сертификатов, чтобы завершить процесс обновления.
После завершения обновления сертификатов, рекомендуется перезагрузить компьютер, чтобы изменения вступили в силу полностью. Теперь ваши сертификаты безопасности обновлены и готовы к использованию на Windows XP.
Содержание
- Почему важно обновлять сертификаты безопасности в Windows XP?
- Что такое сертификаты безопасности и зачем они нужны?
- Почему необходимо обновить сертификаты безопасности в Windows XP?
- Как проверить актуальность сертификатов безопасности?
- Шаг 1: Подготовка к обновлению сертификатов безопасности
- Шаг 2: Загрузка и установка обновлений сертификатов безопасности
- Шаг 3: Проверка успешного обновления сертификатов безопасности
Почему важно обновлять сертификаты безопасности в Windows XP?
Сертификаты безопасности играют ключевую роль в обеспечении защиты данных и сетей в операционных системах Windows. Они позволяют установить доверительные отношения между различными компонентами компьютерной системы и гарантировать безопасность передачи информации.
Windows XP – это устаревшая операционная система, которая выпускалась компанией Microsoft с 2001 года по 2008 год. В связи с этим, многие сертификаты безопасности, которые были установлены на Windows XP при ее выпуске, уже устарели и стали ненадежными.
Обновление сертификатов безопасности в Windows XP становится все более важным в условиях растущих угроз в сфере кибербезопасности. Неактуальные сертификаты могут привести к возникновению уязвимостей в системе, что существенно повышает риски несанкционированного доступа к данным и вредоносных атак.
Несоответствие сертификатов безопасности в Windows XP современным стандартам может также приводить к проблемам совместимости с другими операционными системами и программным обеспечением. Многие сайты и онлайн-сервисы требуют наличие актуальных и действительных сертификатов для успешной авторизации и защиты личных данных пользователей.
Обновление сертификатов безопасности в Windows XP позволяет:
- Гарантировать надежную защиту передачи данных в сети.
- Предотвратить риски несанкционированного доступа к компьютерной системе.
- Сохранить совместимость с современными сервисами и программным обеспечением.
- Снизить возможность возникновения уязвимостей и вредоносных атак.
В целях поддержания безопасности и функциональности компьютерной системы, рекомендуется регулярно обновлять сертификаты безопасности на Windows XP. Несмотря на то, что это устаревшая операционная система, обновление сертификатов позволит поддерживать более безопасное и надежное функционирование системы в целом.
Что такое сертификаты безопасности и зачем они нужны?
Сертификаты безопасности представляют собой электронные документы, которые выделяются удостоверяющими центрами и используются для шифрования информации и установления безопасных соединений в сети Интернет. Они являются важным инструментом в обеспечении защиты данных и конфиденциальности при передаче информации через сеть.
Основная функция сертификатов безопасности — это подтверждение подлинности идентификации веб-сайтов и других онлайн-ресурсов. Когда вы заходите на зашифрованный сайт (как правило, это сайты, начинающиеся с протокола «https://»), ваш браузер проверяет сертификат, предоставленный сайтом, и удостоверяется, что сайт идентифицируется правильно и его сертификат является действительным и не подделанным.
Справедливость сертификата безопасности проверяется на основе ключей шифрования и различных проверок, выполняемых вашим браузером. Если сертификат действителен, ваш браузер установит защищенное соединение с сайтом, и дальнейшая передача информации будет зашифрована, чтобы обеспечить конфиденциальность и предотвратить возможность подслушивания или подмены данных.
Кроме того, сертификаты безопасности используются и для других целей, таких как электронная подпись, цифровая идентификация и защита веб-приложений. Они позволяют устанавливать доверие между серверами и клиентами, а также обеспечивать целостность и подтверждение авторства документов.
В общем, сертификаты безопасности играют важную роль в обеспечении безопасности данных и конфиденциальности при работе в сети Интернет. Они помогают предотвратить атаки, связанные с перехватом и подделкой данных, и позволяют установить доверие между серверами и клиентами.
Почему необходимо обновить сертификаты безопасности в Windows XP?
Windows XP, разработанная компанией Microsoft, является одной из самых популярных операционных систем, использование которой распространено на множестве компьютеров по всему миру. Но с течением времени компания Microsoft прекратила поддержку и обновление этой операционной системы, что привело к серьезным проблемам безопасности.
Сертификаты безопасности являются важной частью системы безопасности операционной системы Windows XP. Они используются для проверки подлинности и шифрования информации, передаваемой через сеть. Однако, сертификаты безопасности устанавливаются с привязкой ко времени, и по истечении срока их действия они больше не считаются доверенными.
Это означает, что без обновления сертификатов безопасности, пользователи Windows XP становятся уязвимыми для различных видов кибератак, таких как фишинг, подделка и перехват данных. Без обновления сертификатов безопасности, операционная система Windows XP не сможет корректно проверять подлинность веб-сайтов и приложений, что может привести к потере личной информации и уязвимости в системе.
Обновление сертификатов безопасности в Windows XP является необходомым для обеспечения безопасности и защиты конфиденциальных данных. Это позволяет системе проверять подлинность веб-сайтов и приложений, а также обеспечивает шифрование передаваемой информации, что снижает вероятность успешной атаки на систему.
Кроме того, обновление сертификатов безопасности также может исправлять ошибки и уязвимости, связанные с устаревшими версиями сертификатов, а также предлагает пользователю последние обновления и патчи безопасности, что улучшает защиту системы от новых угроз и атак.
В целом, обновление сертификатов безопасности в Windows XP является важным шагом для обеспечения безопасности операционной системы и защиты от угроз из сети. Оно позволяет операционной системе правильно работать с безопасными соединениями и обеспечивает конфиденциальность, целостность и доступность передаваемой информации.
Как проверить актуальность сертификатов безопасности?
Актуальные сертификаты безопасности играют важную роль в обеспечении безопасности операционной системы Windows XP. Ваш компьютер может быть подвержен различным угрозам, если установлены устаревшие или недействительные сертификаты.
Чтобы проверить актуальность сертификатов безопасности на Windows XP, выполните следующие шаги:
- Откройте меню «Пуск» и выберите «Панель управления».
- В панели управления найдите и выберите раздел «Сертификаты».
- В открывшемся окне выберите вкладку «Личные».
- В списке сертификатов найдите нужный сертификат и щелкните по нему правой кнопкой мыши.
- В контекстном меню выберите пункт «Свойства».
- На вкладке «Общие» проверьте дату выпуска и дату истечения срока действия сертификата.
- Если срок действия сертификата истек или подходит к концу, требуется обновление сертификата безопасности.
Обновление сертификатов безопасности на Windows XP – важный шаг для поддержания безопасности вашего компьютера. Проверяйте актуальность сертификатов регулярно и не забывайте обновлять их при необходимости.
Шаг 1: Подготовка к обновлению сертификатов безопасности
Перед тем, как начать процесс обновления сертификатов безопасности на Windows XP, необходимо выполнить несколько предварительных действий:
- Проверьте версию операционной системы Windows XP. Убедитесь, что у вас установлена версия Windows XP с пакетом обновлений Service Pack 3 (SP3). Если у вас установлена более ранняя версия Windows XP, необходимо сначала обновить ее до SP3.
- Убедитесь, что компьютер подключен к интернету. Для обновления сертификатов безопасности требуется доступ в интернет. Убедитесь, что ваш компьютер имеет активное подключение к интернету.
- Создайте точку восстановления системы. Прежде чем приступить к обновлению сертификатов безопасности, рекомендуется создать точку восстановления системы. Это позволит вам вернуться к предыдущему состоянию системы, если что-то пойдет не так.
- Сделайте резервную копию важных данных. Обновление сертификатов безопасности может повлиять на работу некоторых программ и служб. Поэтому перед началом процесса рекомендуется сделать резервную копию всех важных данных, чтобы в случае неудачи можно было их восстановить.
После выполнения указанных выше действий вы будете готовы к обновлению сертификатов безопасности на вашей операционной системе Windows XP.
Шаг 2: Загрузка и установка обновлений сертификатов безопасности
Для обновления сертификатов безопасности на Windows XP необходимо загрузить и установить соответствующие обновления. В этом шаге мы рассмотрим, как это сделать.
Следуйте инструкциям ниже:
- Откройте веб-браузер и перейдите на официальный сайт Microsoft.
- На странице поиска введите «обновления безопасности Windows XP» и нажмите Enter.
- Среди результатов поиска найдите раздел, который соответствует вашей версии операционной системы Windows XP.
- Нажмите на ссылку, чтобы открыть страницу загрузки обновлений безопасности.
- На странице загрузки найдите нужное обновление сертификатов безопасности и нажмите на соответствующую ссылку для скачивания.
- Сохраните загруженный файл на вашем компьютере.
- Дважды щелкните на загруженном файле, чтобы запустить установку обновления.
- Следуйте инструкциям мастера установки, чтобы завершить процесс установки обновления сертификатов безопасности.
После завершения установки обновлений сертификатов безопасности, вам может потребоваться перезагрузить компьютер, чтобы изменения вступили в силу.
Теперь вы готовы к следующему шагу — настройке обновлений Windows XP. Продолжайте чтение следующего раздела, чтобы узнать, как правильно выполнить эту операцию.
Шаг 3: Проверка успешного обновления сертификатов безопасности
После выполнения предыдущих двух шагов, вам необходимо убедиться, что сертификаты безопасности на вашей операционной системе Windows XP были успешно обновлены. Для этого следуйте инструкциям ниже:
- Откройте любой веб-браузер на вашем компьютере с установленной операционной системой Windows XP.
- Перейдите на любой веб-сайт, который использует защищенное соединение (обычно такие сайты начинаются с «https://» вместо «http://»). Можете, например, открыть веб-сайт своего интернет-банка.
- Если браузер успешно отображает веб-сайт и не выдает никаких ошибок безопасности, значит, сертификаты безопасности были успешно обновлены, и ваша система готова к использованию.
Примечание: В случае, если браузер выдает ошибку безопасности или предупреждение о возможном риске, вероятнее всего сертификаты безопасности не были обновлены. В этом случае, повторите все шаги инструкции и убедитесь, что вы правильно выполнили каждый из них.
Поздравляем! Вы успешно проверили обновление сертификатов безопасности на вашей операционной системе Windows XP. Теперь вы можете безопасно использовать веб-браузер и посещать веб-сайты, защищенные сертификатами безопасности.
Внимание:
Если вы технический специалист, не хотите читать ничего лишнего, а просто желаете получить готовое решение, переходите сразу к этому разделу.
Дисклеймер:
Статья сугубо техническая, несмотря на вольный и слегка художественный стиль повествования в самом начале. В ней приводятся несколько проверенных решений реально существующей проблемы, появившейся незадолго до написания статьи и затронувшей миллионы устройств по всему миру.
Эпиграф:
Инженер не должен все знать. Он должен знать, где найти решение.
Итак, свершилось! В очередной раз где-то на неизвестной горе засвистел герой народных присказок, известный как Рак, в то время как другой герой этих же присказок, даже пребывая в жаренном состоянии, начал клевать ягодицы расслабленных пользователей интернета под обеспокоенным взором крестящихся мужиков, напуганных очередным раскатом грома.
Конец света (по мнению многих обывателей) начался буднично. В красивый и приятный осенний день 1 октября 2021 года, который пришелся на всегда ожидаемую из-за предстоящих выходных и слегка сумбурную из-за начала нового месяца пятницу, многочисленные пользователи довольно-таки старых, но все еще бережно хранимых и даже, пусть со скрипом, но вполне себе работающих устройств, вдруг не смогли зайти на свои любимые сайты.
Вот представьте: хотите вы с утра включить онлайн радио и послушать музыку, а взамен получаете сообщение “Ваше подключение не является приватным”. Или вам по работе позарез нужно зайти на определенный сайт со своей учетной записью, а вместо этого вы видите на экране “Часы спешат. Не удалось установить защищенное соединение с доменом из-за неверных настроек системных часов и календаря”. Вы пытаетесь хотя бы почитать новости, но при попытке открыть сайт по ссылке страница просто не загружается. Как работать в таких условиях? Чем не конец света?
На самом деле причина таких ошибок проста и очевидна: вы используете устаревшую технику и такие же устаревшие технологии. Неважно, почему — у каждого есть свои причины и никто здесь не собирается их оспаривать. Важно, что из-за этого становится недоступной значительная часть информации и невозможной определенная деятельность в сети интернет. Давайте для начала установим причину такого положения дел.
Почему перестали открываться сайты на старых компьютерах и смартфонах?
Начиная с 30 сентября 2021 года миллионы пользователей по всему земному шару больше не могут пользоваться многими интернет-сайтами. В этот день истек срок действия корневого сертификата IdenTrust DST Root CA X3, и это ломает работу интернета на миллионах устройств по всему миру, которые давно не получали обновления своего программного обеспечения. Наиболее часто ошибка отображается как NET::ERR_CERT_DATE_INVALID
.
Сертификат IdenTrust DST Root CA X3 выпущен некоммерческим удостоверяющим центром Let’s Encrypt, который предоставляет на безвозмездной основе криптографические сертификаты для TLS-шифрования. Протокол TLS обеспечивает зашифрованную передачу данных между узлами компьютерной сети. Если сертификат TLS на устройстве просрочен, то соединиться с другим узлом сети оно не может.
Сертификат IdenTrust DST Root CA X3 используется на миллионах устройств по всему миру. Это и Android-смартфоны, и техника Apple, и даже игровые приставки, не говоря о компьютерах под управлением Windows. Одних только устройств со старыми и не обновляемыми версиями Android (в основном, это смартфоны и планшеты) сегодня насчитывается более 213 млн. Подробно об этом писали многие издания, например, C-News.
Что делать, если сайт не открывается на старом компьютере или телефоне?
Решить проблему можно или установкой свежего программного обеспечения (ПО), или покупкой современного устройства. Установить свежее ПО на старую технику не всегда возможно, но зато современные устройства под управлением актуальных операционных систем Windows, iOS, Linux, Android не подвержены описываемой проблеме, так как централизованно обновляются и всегда работают с актуальным списком сертификатов безопасности. Так что обновление техники и программного обеспечения — это наилучший способ даже не знать о существовании такой беды, как невозможность открыть некоторый сайт в браузере из-за проблем с сертификатом безопасности. К тому же, обновление всегда дает значительные преимущества в плане скорости и комфорта работы. Но, к сожалению, обновление техники по совершенно разным причинам доступно далеко не каждому.
Конечно, надо понимать, что переход на новую технику и на новые версии ПО — это неизбежность. Ничто не стоит на месте, все в мире развивается, и рано или поздно мы будем использовать все более новые поколения устройств и новые версии программного обеспечения. При этом старое ПО и старая аппаратура с определенного момента перестают быть интересными производителям, и их поддержка прекращается. Как только это случается, все сторонние производители техники и разработчики программ также перестают задумываться о совместимости своих продуктов со старыми моделями и версиями. Более того, многие из них намеренно отключают возможность использования устаревшей техники со своими новыми продуктами, как в целях улучшения безопасности пользователей, так и в своих сугубо коммерческих целях.
К примеру, компания Microsoft прекратила поддержку Windows XP еще в 2005 году (в 2009 году для 64-битной версии, в 2014 — расширенную поддержку, в 2019 — поддержку версии для банкоматов). Поддержка все еще популярной Windows 7 прекращена в 2015 году, расширенная поддержка — в 2020 году.
Это значит, что все эти версии операционной системы уже давно не получают обновления сертификатов. Как следствие всего перечисленного, разработчики ПО отказываются от поддержки старых платформ в целях обеспечения должного уровня защищенности пользователя. Например, практически все банки уже давно не позволяют своим клиентам получать доступ к собственным денежным средствам с устаревших устройств. При этом Windows 7, и даже Windows XP все еще довольно широко распространены на компьютерах как в частном, так и в корпоративном секторе.
Не совсем по теме
К слову сказать, в качестве небольшого отступления, на тех предприятиях, где я занимаюсь обслуживанием компьютерной техники, на данный момент использование компьютеров более чем 10-летней давности доходит местами до 50%, из них почти половина работает под управлением Windows XP. И это если не считать компьютеры в составе технологического оборудования на производстве. В целом, в моей практике, приходится сталкиваться примерно с 20-30% компьютеров под управлением Windows XP, 50-70% – Windows 7 и 20-30% – Windows 10. Иногда встречаются Windows 8 и Windows 8.1, а вот Mac и Linux – реально единицы.
[свернуть]
Как заставить сайты открываться на старых компьютерах и в старых версиях браузеров?
К счастью, есть несколько вариантов, как можно продлить жизнь старым устройствам и заставить их работать в современных реалиях. Сразу скажу, что все эти решения временные и ненадежные. Самым правильным и надежным решением остается обновление техники и используемого ПО.
Как временное решение проблемы с невозможностью открыть сайт из-за проблем с сертификатами можно попробовать обновить списки актуальных и отозванных сертификатов безопасности. На старых устройствах придется делать это вручную. На данный момент существует несколько вариантов обновления сертификатов, все эти варианты мне удалось найти в сети интернет. Конечно, на практике все их опробовать не удалось, но упомянуть даже не опробованные варианты все же стоит.
Ручное обновление корневых сертификатов
Итак, при попытке соединения с сервером по шифрованным протоколам SSL/TLS (то есть, по протоколу HTTPS) может возникать ошибка:
SSL error 0x80090325 Цепочка сертификатов выпущена центром сертификации, не имеющим доверия.
Это лишь вариант описания ошибки, текст сообщения о невозможности установки защищенного соединения может быть и другим. Некоторые сервера, например, пишут о возможном несоответствии системного времени на компьютере с реальным временем. Причина заключается в истечении срока действия корневого цифрового сертификата IdenTrust DST Root CA X3, которым подписаны сертификаты от популярного удостоверяющего центра Let’s Encrypt. Им выпущено множество SSL сертификатов (более чем для 250 миллионов доменных имен) для веб-сайтов, почтовых серверов и других служб.
Для решения проблемы Let’s Encrypt уже более 5 лет использует подпись корневым сертификатом ISRG Root X1, действующим до 2035 года. Однако устройства, программы и операционные системы, не получающие автоматические обновления, не могут сами получить этот сертификат. Например, не обновляются версии:
- Android 7.1.1 и старше;
- Mozilla Firefox до 50.0;
- MacOS 10.12.0 и старше;
- Windows XP (включая Service Pack 3);
- iOS-устройств до версии iOS 10;
- OpenSSL 1.0.2 и ниже;
- Ubuntu до версии 16.04;
- Debian 8 и старше.
Для восстановления возможности работы устаревшего устройства или программного обеспечения следует обновить операционную систему или добавить SSL-сертификат ISRG Root X1 в список доверенных.
Установка корневого сертификата в ОС Windows, iOS, Linux, Android
Итак, вариант первый. Сразу скажу, что этот вариант я пробовал только на виртуальной машине с Windows XP, и он сработал только частично. Описание варианта взято здесь.
Чтобы установить новый корневой сертификат, надо скачать на устройство файл сертификата и импортировать его в список доверенных. В ОС Windows достаточно дважды щелкнуть на файле сертификата, чтобы просмотреть сведения о нем и получить возможность установить сертификат нажатием на соответствую кнопку.
Более сложный способ установки корневого сертификата для Windows XP описан здесь, хотя и не понятно, зачем такие сложности.
В iOS до 10 версии надо перейти в «Настройки» -> «Основные» -> «Профили и управление устройством», выбрать сертификат ISRG Root X1 и нажать «Установить». Затем в разделе «Настройки» -> «Основные» -> «Доверие сертификатов» включить «Доверять корневым сертификатам полностью».
В Linux необходимо сначала удалить старый корневой сертификат DST Root CA X3 из списка доверенных, для чего надо переместить его в директорию /etc/pki/ca-trust/source/blacklist
, а затем установить доверие к корневому сертификату ISRG Root X1, для чего перенести его в директорию /etc/pki/ca-trust/source/anchors directory
. После этих манипуляций надо обновить списки сертификатов командой update-ca-trust
. Это один из способов. Подробности здесь.
Что касается ОС Android до 7.1.1, то Let’s Encrypt удалось договориться с IdenTrust о выпуске на 3 года кросс-подписи истекшего DST Root CA X3. Таким образом, устройства даже с устаревшими версиями Android не будут сообщать об ошибке как минимум до 2024 года. Действий с ними не требуется.
Дополнение: способ обновления сертификатов на телевизорах LG поду управлением WebOS описан в отдельной статье.
Обновление всех сертификатов безопасности на старых версиях Windows
Закончившийся сертификат Let’s Encrypt — далеко не единственный из тех, которые контролируют доступ пользователей к сайтам. Списки актуальных и отозванных сертификатов постоянно изменяются, и современные операционные системы получают эти списки вместе с собственными автоматическими обновлениями. Поэтому лучшим решением (если не считать обновления устройства) будет приведение всего списка сертификатов на устройстве в соответствие с реальным положением вещей.
В случае с Windows это можно сделать несколькими способами. Первый из них заключается в создании списка актуальных сертификатов на любом компьютере, где установлена современная обновляемая система Windows, и последующем импортировании этих сертификатов на компьютер со старой системой.
Сделать это не очень сложно, если почитать описание данного метода на любом подходящем сайте. Например, здесь есть короткое описание, а здесь — более детальное. Это второй вариант устранения ситуации, когда не работает интернет на старом компьютере. Но на самом деле есть еще более удобный и простой способ.
Быстрый и простой способ обновления сертификатов Windows
Третий вариант исправления проблемы с неработающим интернетом самый простой, если воспользоваться готовым инструментом с этого сайта. Данный способ заключается в использовании списков актуальных и отозванных сертификатов с официального сайта Microsoft и последующей установке этих списков в систему при помощи инструментов, также разработанных Microsoft. Правда, эти инструменты уже официально признаны устаревшими и не поддерживаемыми, но по-прежнему успешно справляются с задачей обновления сертификатов.
Описание метода взято с этого ресурса, за что выражаю автору огромную благодарность.
Итак, чтобы обновить сертификаты безопасности на старом устройстве с Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2008 и др., надо скачать и запустить последовательно на выполнение два файла:
- rvkroots_20211001.exe — самораспаковывающийся архив со списком устаревших небезопасных сертификатов, автоматически удаляет эти сертификаты из списка доверенных при запуске файла;
- rootsupd_20211001.exe — самораспаковывающийся архив со списком актуальных сертификатов, автоматически добавляет эти сертификаты в соответствующие хранилища сертификатов при запуске файла.
Списки сертификатов получены с официального сайта Microsoft 1.10.2021 г. (при желании можно распаковать архив без установки и посмотреть содержимое). Для корректного обновления списка сертификатов необходимо запускать файлы от имени пользователя, обладающего правами администратора системы.
Обновление сертификатов проверено на нескольких компьютерах под управлением операционных систем Windos XP SP 3 и Windows 7.
Как еще можно открывать сайты на старых компьютерах и смартфонах?
В отличие от других браузеров, Mozilla Firefox хранит сертификаты в собственном хранилище, не используя для этого хранилище операционной системы. Поэтому на старых устройствах, особенно на смартфонах с Android 5.0 и старше, Let’s Encrypt рекомендует установить браузер Firefox. Что касается Windows XP, то актуальная версия Firefox не поддерживает эту систему, поэтому стоит попробовать скачать и установить более старую версию этого браузера.
Для браузеров на основе движка Chromium (а это почти все популярные браузеры, в том числе Opera, Microsoft Edge, Яндекс Браузер и прочие) в сети встречаются рекомендации по сбросу настроек HSTS для отдельных сайтов. Для этого надо в адресной строке браузера набрать команду chrome://net-internals/#hsts и на открывшейся странице настроек ввести адреса нужных сайтов в раздел Delete domain security policies. На практике эту рекомендацию я не проверял.
Поскольку проблема новая и затрагивает очень большое количество устройств, я буду рад, если описываемые здесь методы решения помогут вам в исправлении проблемы, еще более буду рад распространению ссылок на данный материал. И конечно, можно выразить благодарность даже в материальной форме. Спасибо!
Не секрет, что Windows XP отправлена на свалку и более не поддерживается разработчиком, а при использовании различных веб-браузеров могут возникать ошибки SSL сертификата: недостаточно информации для проверки этого сертификата.
Ошибка сертификата в Windows XP может проявляться в разных браузерах включая Opera, Chrome и конечно Internet Explorer — все они используют одно хранилище сертификатов, которое разумеется давно устарело и не обновляется по причине отсутствия поддержки Windows XP. Именно по причине устаревших сертификатов мы и наблюдаем в браузерах ошибки типа: «недостаточно информации для проверки этого сертификата».
Как обновить корневые сертификаты Windows XP
Ручками обновить будет довольно проблематично. Официальных пакетов обновляющих корневые сертификаты Windows XP не существует.
На просторах Интернетов был найден один рецепт, состоящий из «заточки» пакета обновления сертификатов от «висты» под «хр», процесс выглядит следующим образом:
1. Скачиваем «rvkroots.exe» Microsoft download (http://www.microsoft.com/download/details.aspx?id=41542 https://web.archive.org/web/20171119114944/http://download.windowsupdate.com/d/msdownload/update/software/secu/2015/03/rvkroots_3f2ce4676450c06f109b5b4e68bec252873ccc21.exe), unzip его в каталог (например с помощью WinRAR), в файле «rvkroots.inf» переменную VERSION устанавливаем «5,0,2195,0» и VER в «005» соответственно. Скачиваем «http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcert.sst» в каталог куда был распакован «rvkroots.exe» с заменой старого файла. После из всего содержимого каталога создаём самораспаковывающийся архив (Create Self-Extracting Archive) WinRAR отметив SFX опцию и добавив следующие SFX-команды (ака комментарий):
TempMode
Silent=1
Overwrite=1
Setup=Rundll32.exe advpack.dll,LaunchINFSection rvkroots.inf,DefaultInstallТеперь мы имеем файл отзывающий все небезопасные (устаревшие) сертификаты!
2. Для обновления корневых сертификатов (Root Certificate Update) скачиваем «rootsupd.exe» (http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/rootsupd.exe https://web.archive.org/web/20170829230259/http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/rootsupd.exe), unzip его в каталог (например с помощью WinRAR), в «rootsupd.inf» значение переменной VERSION ставим «40,0,2195,0» и в VER «040» соответственно, скачиваем в каталог куда был распакован «rootsupd.exe» с заменой старых файлов,
«http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authroots.sst»
«http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/delroots.sst»
«http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/roots.sst»
«http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/updroots.sst»
После из всего содержимого каталога создаём самораспаковывающийся архив (Create Self-Extracting Archive) WinRAR отметив SFX опцию и добавив следующие SFX-команды (ака комментарий):TempMode
Silent=1
Overwrite=1
Setup=Rundll32.exe advpack.dll,LaunchINFSection rootsupd.inf,DefaultInstallТеперь у нас есть файл обновлящий корневые сертификаты!
Эта проблема недавно решалась на удалённой машине Windows XP и уже собраны пакеты для отзыва и обновления корневых сертификатов, кому лень собирать можете скачать уже готовые:
{hint}
winxp_root_cert.7z
- rvkroots_20200519.exe — MD5: bddeb343eb3f6bbc41af57f0fdff9a7f
- rootsupd_20200519.exe — MD5: 5b8c65a486586a520d9d39aa132ab14b
{/hint}
Браузер Firefox использует собственное хранилище корневых сертификатов и может работать без обновления корневых сертификатов на Windows XP.
По работе приходится иногда иметь дело с этой операционкой, и если дело доходит до переустановки системы, то случается такая беда:
- ошибки при подключении к любым https веб ресурсам
- ошибки при работе приложений использующих https как транспорт
По хорошему, такие беды должны лечиться обновлениями системы, но обновления тоже получаются по https, таким образом — замкнутый круг.
Решение такое: перенести базу сертификатов из другой ОС (Windows 7 или 10). Но есть ньюанс — ОС должны быть лицензионной и с подключенным сервисом Windows Update, иначе фокус не получится.
Первым делом, на обновленной системе (Windows 7 или 10) нужно ввести в консоли вот такое заклинание:
certutil.exe -generateSSTFromWU roots.sst
В текущей директории получите файл с сертификатами roots.sst. Его нужно поместить в папку C:\PS\rootsupd\ на Windows XP.
Далее потребуется утилита rootsupd.exe. Раньше ее можно было загрузить с сайта мелкософт, но сейчас его там нет, видимо выпилили вместе с поддержкой XP. В данный момент, можно скачать его с сайта kaspersky.com: http://media.kaspersky.com/utilities/CorporateUtilities/rootsupd.zip
Если ссылка протухнет вот резервный вариант: https://pustovoi.ru/files/rootsupd.zip
Данную тулзу следует запустить с такими параметрами:
rootsupd.exe /c /t:C:\PS\rootsupd
Обратите внимание, что между /t и путем к каталогу нет пробела! Если команда отработала без ошибок, в каталоге C:\PS\rootsupd появится файл updroots.exe. Для установки полученных сертификатов его следует запустить с параметрами:
updroots.exe roots.sst
Все. После этого сертификаты установлены. Правда старые не удалены, но они не мешают, и как их чистить я не разбирался.
Обновлено:
Опубликовано:
Актуальные системы семейства Windows, подключенные к Интернету, могут автоматически обновлять корневые сертификаты. В противном случае, обновление необходимо выполнять вручную. Если это не делать, мы можем столкнуться с рядом проблем:
- Не открываются или выдают предупреждение безопасности некоторые (или все) сайты, работающие по https.
- Некорректная работа отдельных приложений (например, антивирусных систем).
- Ошибки при подключении по удаленному рабочему столу.
Это пример ошибок, который не претендует на свою полному. Чаще всего, проблемы встречаются на системах, снятых с обслуживания компанией Microsoft (Windows XP, 7, а также Server 2003, 2008).
Обновление сертификатов
Обновление доверенных корневых сертификатов выполняется во время обновления операционной системы. Если последнее включено, то нашего участия не требуется, иначе, можно установить обновление вручную. Пример такого пакета — KB931125 (ссылка).
Однако, если операционная система устарела, разработчик прекращает выпуск обновлений, и мы не можем воспользоваться средствами обновления системы. В таком случае, необходимо сделать выгрузку корневых сертификатов на актуальной системе и перенести их на устаревший.
Получение актуальных сертификатов
Для начала, выгрузим сертификаты на компьютере с актуальной версией Windows (10) и подключением к сети Интернет.
Создадим каталог, в который будет выгружен файл с корневыми сертификатами, например, C:\CA (папка CA на диске C).
Открываем командную строку от администратора и вводим команду:
certutil.exe -generateSSTFromWU C:\CA\roots.sst
* где C:\CA — каталог, который мы создали; roots.sst — файл, в который будут выгружены сертификаты.
** если мы получили ошибку Не удается найти указанный файл. 0x80070002, то необходимо убедиться, что каталог CA создан (в нашем примере в корне диска С).
*** необхоидимо убедиться, что каталог, в который мы сохраняем файл roots.sst чистый (в нем нет данного файла).
В папке C:\CA мы должны увидеть файл roots.sst.
Установка/обновление корневых сертификатов
Полученный на предыдущем этапе файл переносим на компьютер, где необходимо обновить доверенные корневые сертификаты, например, также в папку C:\CA. Скачиваем утилиту rootsupd и распаковываем ее в этот же каталог.
Открываем командную строку от администратора и вводим команду:
C:\CA\rootsupd.exe /c /t:C:\CA
* где C:\CA — папка, в которую мы перенесли корневые сертификаты.
В появившемся окне Roots Update:
… выбираем No, чтобы не переписывать наш файл roots.sst.
В папке C:\CA должны появится новые файлы, в том числе, утилита updroots. Вводим теперь команду:
C:\CA\updroots.exe C:\CA\roots.sst
Готово.
Была ли полезна вам эта инструкция?
Да Нет