Внимание:
Если вы технический специалист, не хотите читать ничего лишнего, а просто желаете получить готовое решение, переходите сразу к этому разделу.
Дисклеймер:
Статья сугубо техническая, несмотря на вольный и слегка художественный стиль повествования в самом начале. В ней приводятся несколько проверенных решений реально существующей проблемы, появившейся незадолго до написания статьи и затронувшей миллионы устройств по всему миру.
Эпиграф:
Инженер не должен все знать. Он должен знать, где найти решение.
Итак, свершилось! В очередной раз где-то на неизвестной горе засвистел герой народных присказок, известный как Рак, в то время как другой герой этих же присказок, даже пребывая в жаренном состоянии, начал клевать ягодицы расслабленных пользователей интернета под обеспокоенным взором крестящихся мужиков, напуганных очередным раскатом грома.
Конец света (по мнению многих обывателей) начался буднично. В красивый и приятный осенний день 1 октября 2021 года, который пришелся на всегда ожидаемую из-за предстоящих выходных и слегка сумбурную из-за начала нового месяца пятницу, многочисленные пользователи довольно-таки старых, но все еще бережно хранимых и даже, пусть со скрипом, но вполне себе работающих устройств, вдруг не смогли зайти на свои любимые сайты.
Вот представьте: хотите вы с утра включить онлайн радио и послушать музыку, а взамен получаете сообщение “Ваше подключение не является приватным”. Или вам по работе позарез нужно зайти на определенный сайт со своей учетной записью, а вместо этого вы видите на экране “Часы спешат. Не удалось установить защищенное соединение с доменом из-за неверных настроек системных часов и календаря”. Вы пытаетесь хотя бы почитать новости, но при попытке открыть сайт по ссылке страница просто не загружается. Как работать в таких условиях? Чем не конец света?
На самом деле причина таких ошибок проста и очевидна: вы используете устаревшую технику и такие же устаревшие технологии. Неважно, почему — у каждого есть свои причины и никто здесь не собирается их оспаривать. Важно, что из-за этого становится недоступной значительная часть информации и невозможной определенная деятельность в сети интернет. Давайте для начала установим причину такого положения дел.
Почему перестали открываться сайты на старых компьютерах и смартфонах?
Начиная с 30 сентября 2021 года миллионы пользователей по всему земному шару больше не могут пользоваться многими интернет-сайтами. В этот день истек срок действия корневого сертификата IdenTrust DST Root CA X3, и это ломает работу интернета на миллионах устройств по всему миру, которые давно не получали обновления своего программного обеспечения. Наиболее часто ошибка отображается как NET::ERR_CERT_DATE_INVALID.
Сертификат IdenTrust DST Root CA X3 выпущен некоммерческим удостоверяющим центром Let’s Encrypt, который предоставляет на безвозмездной основе криптографические сертификаты для TLS-шифрования. Протокол TLS обеспечивает зашифрованную передачу данных между узлами компьютерной сети. Если сертификат TLS на устройстве просрочен, то соединиться с другим узлом сети оно не может.
Сертификат IdenTrust DST Root CA X3 используется на миллионах устройств по всему миру. Это и Android-смартфоны, и техника Apple, и даже игровые приставки, не говоря о компьютерах под управлением Windows. Одних только устройств со старыми и не обновляемыми версиями Android (в основном, это смартфоны и планшеты) сегодня насчитывается более 213 млн. Подробно об этом писали многие издания, например, C-News.
Что делать, если сайт не открывается на старом компьютере или телефоне?
Решить проблему можно или установкой свежего программного обеспечения (ПО), или покупкой современного устройства. Установить свежее ПО на старую технику не всегда возможно, но зато современные устройства под управлением актуальных операционных систем Windows, iOS, Linux, Android не подвержены описываемой проблеме, так как централизованно обновляются и всегда работают с актуальным списком сертификатов безопасности. Так что обновление техники и программного обеспечения — это наилучший способ даже не знать о существовании такой беды, как невозможность открыть некоторый сайт в браузере из-за проблем с сертификатом безопасности. К тому же, обновление всегда дает значительные преимущества в плане скорости и комфорта работы. Но, к сожалению, обновление техники по совершенно разным причинам доступно далеко не каждому.
Конечно, надо понимать, что переход на новую технику и на новые версии ПО — это неизбежность. Ничто не стоит на месте, все в мире развивается, и рано или поздно мы будем использовать все более новые поколения устройств и новые версии программного обеспечения. При этом старое ПО и старая аппаратура с определенного момента перестают быть интересными производителям, и их поддержка прекращается. Как только это случается, все сторонние производители техники и разработчики программ также перестают задумываться о совместимости своих продуктов со старыми моделями и версиями. Более того, многие из них намеренно отключают возможность использования устаревшей техники со своими новыми продуктами, как в целях улучшения безопасности пользователей, так и в своих сугубо коммерческих целях.
К примеру, компания Microsoft прекратила поддержку Windows XP еще в 2005 году (в 2009 году для 64-битной версии, в 2014 — расширенную поддержку, в 2019 — поддержку версии для банкоматов). Поддержка все еще популярной Windows 7 прекращена в 2015 году, расширенная поддержка — в 2020 году.
Это значит, что все эти версии операционной системы уже давно не получают обновления сертификатов. Как следствие всего перечисленного, разработчики ПО отказываются от поддержки старых платформ в целях обеспечения должного уровня защищенности пользователя. Например, практически все банки уже давно не позволяют своим клиентам получать доступ к собственным денежным средствам с устаревших устройств. При этом Windows 7, и даже Windows XP все еще довольно широко распространены на компьютерах как в частном, так и в корпоративном секторе.
Не совсем по теме
К слову сказать, в качестве небольшого отступления, на тех предприятиях, где я занимаюсь обслуживанием компьютерной техники, на данный момент использование компьютеров более чем 10-летней давности доходит местами до 50%, из них почти половина работает под управлением Windows XP. И это если не считать компьютеры в составе технологического оборудования на производстве. В целом, в моей практике, приходится сталкиваться примерно с 20-30% компьютеров под управлением Windows XP, 50-70% – Windows 7 и 20-30% – Windows 10. Иногда встречаются Windows 8 и Windows 8.1, а вот Mac и Linux – реально единицы.
[свернуть]
Как заставить сайты открываться на старых компьютерах и в старых версиях браузеров?
К счастью, есть несколько вариантов, как можно продлить жизнь старым устройствам и заставить их работать в современных реалиях. Сразу скажу, что все эти решения временные и ненадежные. Самым правильным и надежным решением остается обновление техники и используемого ПО.
Как временное решение проблемы с невозможностью открыть сайт из-за проблем с сертификатами можно попробовать обновить списки актуальных и отозванных сертификатов безопасности. На старых устройствах придется делать это вручную. На данный момент существует несколько вариантов обновления сертификатов, все эти варианты мне удалось найти в сети интернет. Конечно, на практике все их опробовать не удалось, но упомянуть даже не опробованные варианты все же стоит.
Ручное обновление корневых сертификатов
Итак, при попытке соединения с сервером по шифрованным протоколам SSL/TLS (то есть, по протоколу HTTPS) может возникать ошибка:
SSL error 0x80090325 Цепочка сертификатов выпущена центром сертификации, не имеющим доверия.
Это лишь вариант описания ошибки, текст сообщения о невозможности установки защищенного соединения может быть и другим. Некоторые сервера, например, пишут о возможном несоответствии системного времени на компьютере с реальным временем. Причина заключается в истечении срока действия корневого цифрового сертификата IdenTrust DST Root CA X3, которым подписаны сертификаты от популярного удостоверяющего центра Let’s Encrypt. Им выпущено множество SSL сертификатов (более чем для 250 миллионов доменных имен) для веб-сайтов, почтовых серверов и других служб.
Для решения проблемы Let’s Encrypt уже более 5 лет использует подпись корневым сертификатом ISRG Root X1, действующим до 2035 года. Однако устройства, программы и операционные системы, не получающие автоматические обновления, не могут сами получить этот сертификат. Например, не обновляются версии:
- Android 7.1.1 и старше;
- Mozilla Firefox до 50.0;
- MacOS 10.12.0 и старше;
- Windows XP (включая Service Pack 3);
- iOS-устройств до версии iOS 10;
- OpenSSL 1.0.2 и ниже;
- Ubuntu до версии 16.04;
- Debian 8 и старше.
Для восстановления возможности работы устаревшего устройства или программного обеспечения следует обновить операционную систему или добавить SSL-сертификат ISRG Root X1 в список доверенных.
Установка корневого сертификата в ОС Windows, iOS, Linux, Android
Итак, вариант первый. Сразу скажу, что этот вариант я пробовал только на виртуальной машине с Windows XP, и он сработал только частично. Описание варианта взято здесь.
Чтобы установить новый корневой сертификат, надо скачать на устройство файл сертификата и импортировать его в список доверенных. В ОС Windows достаточно дважды щелкнуть на файле сертификата, чтобы просмотреть сведения о нем и получить возможность установить сертификат нажатием на соответствую кнопку.
Более сложный способ установки корневого сертификата для Windows XP описан здесь, хотя и не понятно, зачем такие сложности.
В iOS до 10 версии надо перейти в «Настройки» -> «Основные» -> «Профили и управление устройством», выбрать сертификат ISRG Root X1 и нажать «Установить». Затем в разделе «Настройки» -> «Основные» -> «Доверие сертификатов» включить «Доверять корневым сертификатам полностью».
В Linux необходимо сначала удалить старый корневой сертификат DST Root CA X3 из списка доверенных, для чего надо переместить его в директорию /etc/pki/ca-trust/source/blacklist, а затем установить доверие к корневому сертификату ISRG Root X1, для чего перенести его в директорию /etc/pki/ca-trust/source/anchors directory. После этих манипуляций надо обновить списки сертификатов командой update-ca-trust. Это один из способов. Подробности здесь.
Что касается ОС Android до 7.1.1, то Let’s Encrypt удалось договориться с IdenTrust о выпуске на 3 года кросс-подписи истекшего DST Root CA X3. Таким образом, устройства даже с устаревшими версиями Android не будут сообщать об ошибке как минимум до 2024 года. Действий с ними не требуется.
Дополнение: способ обновления сертификатов на телевизорах LG поду управлением WebOS описан в отдельной статье.
Обновление всех сертификатов безопасности на старых версиях Windows
Закончившийся сертификат Let’s Encrypt — далеко не единственный из тех, которые контролируют доступ пользователей к сайтам. Списки актуальных и отозванных сертификатов постоянно изменяются, и современные операционные системы получают эти списки вместе с собственными автоматическими обновлениями. Поэтому лучшим решением (если не считать обновления устройства) будет приведение всего списка сертификатов на устройстве в соответствие с реальным положением вещей.
В случае с Windows это можно сделать несколькими способами. Первый из них заключается в создании списка актуальных сертификатов на любом компьютере, где установлена современная обновляемая система Windows, и последующем импортировании этих сертификатов на компьютер со старой системой.
Сделать это не очень сложно, если почитать описание данного метода на любом подходящем сайте. Например, здесь есть короткое описание, а здесь — более детальное. Это второй вариант устранения ситуации, когда не работает интернет на старом компьютере. Но на самом деле есть еще более удобный и простой способ.
Быстрый и простой способ обновления сертификатов Windows
Третий вариант исправления проблемы с неработающим интернетом самый простой, если воспользоваться готовым инструментом с этого сайта. Данный способ заключается в использовании списков актуальных и отозванных сертификатов с официального сайта Microsoft и последующей установке этих списков в систему при помощи инструментов, также разработанных Microsoft. Правда, эти инструменты уже официально признаны устаревшими и не поддерживаемыми, но по-прежнему успешно справляются с задачей обновления сертификатов.
Описание метода взято с этого ресурса, за что выражаю автору огромную благодарность.
Итак, чтобы обновить сертификаты безопасности на старом устройстве с Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2008 и др., надо скачать и запустить последовательно на выполнение два файла:
- rvkroots_20211001.exe — самораспаковывающийся архив со списком устаревших небезопасных сертификатов, автоматически удаляет эти сертификаты из списка доверенных при запуске файла;
- rootsupd_20211001.exe — самораспаковывающийся архив со списком актуальных сертификатов, автоматически добавляет эти сертификаты в соответствующие хранилища сертификатов при запуске файла.
Списки сертификатов получены с официального сайта Microsoft 1.10.2021 г. (при желании можно распаковать архив без установки и посмотреть содержимое). Для корректного обновления списка сертификатов необходимо запускать файлы от имени пользователя, обладающего правами администратора системы.
Обновление сертификатов проверено на нескольких компьютерах под управлением операционных систем Windos XP SP 3 и Windows 7.
Как еще можно открывать сайты на старых компьютерах и смартфонах?
В отличие от других браузеров, Mozilla Firefox хранит сертификаты в собственном хранилище, не используя для этого хранилище операционной системы. Поэтому на старых устройствах, особенно на смартфонах с Android 5.0 и старше, Let’s Encrypt рекомендует установить браузер Firefox. Что касается Windows XP, то актуальная версия Firefox не поддерживает эту систему, поэтому стоит попробовать скачать и установить более старую версию этого браузера.
Для браузеров на основе движка Chromium (а это почти все популярные браузеры, в том числе Opera, Microsoft Edge, Яндекс Браузер и прочие) в сети встречаются рекомендации по сбросу настроек HSTS для отдельных сайтов. Для этого надо в адресной строке браузера набрать команду chrome://net-internals/#hsts и на открывшейся странице настроек ввести адреса нужных сайтов в раздел Delete domain security policies. На практике эту рекомендацию я не проверял.
Поскольку проблема новая и затрагивает очень большое количество устройств, я буду рад, если описываемые здесь методы решения помогут вам в исправлении проблемы, еще более буду рад распространению ссылок на данный материал. И конечно, можно выразить благодарность даже в материальной форме. Спасибо!
Всем привет!
есть сайт https://times.mk.ua скажите какие есть варианты, чтобы он на xp открывался? Сертификат стоит starssl, сайт пущен через cloudFire
сейчас пишет невозможно открыть сайт
-
Вопрос задан
-
12620 просмотров
В вашей конфигурации есть две потенциальные проблемы:
1. Поддержка SHA-256, требуется для всех современных сертификатов, есть в Windows XP SP3, после установки SP3 должно работать в любых браузерах.
2. Поддержка SNI, требуется на начальных тарифах CloudFlare без выделенного IP адреса. В Windows XP нет поддержки SNI, поэтому в IE она работать не будет. Будет работать в некоторых версиях Google Chrome (но хром больше не разрабатывается под XP) и в Firefox.
Если принципиально нужна доступность в IE на Windows XP — переходите на платный тариф Cloudflare с выделенным IP или отказывайтесь от него.
Пригласить эксперта
-
Показать ещё
Загружается…
09 окт. 2023, в 12:05
2000 руб./за проект
09 окт. 2023, в 12:02
1000 руб./за проект
09 окт. 2023, в 12:01
1000 руб./в час
Минуточку внимания
- Remove From My Forums
-
Вопрос
-
Не открываются страницы по https из IE(7,8) windows XP на сайте Windows 2012 c IIS8. Так и должно быть или лечится?
Ответы
-
Добавлю про SNI, что вы не подключитесь по https из IE7, IE8 под управлением Windows XP, если на сервере, к которому вы подключаетесь, располагается (на одном IP-адресе) несколько разных веб-сайтов, отвечающих по https, причем каждый со своим сертификатом.
-
Предложено в качестве ответа
25 сентября 2013 г. 8:28
-
Помечено в качестве ответа
Petko KrushevMicrosoft contingent staff, Moderator
26 сентября 2013 г. 8:21
-
Предложено в качестве ответа
-
Привет,
Данную статью смотрели?:
Настройка службы HTTPS в IIS
Также, посмотрите следующую статью:
Server Name Indication (SNI) with IIS 8 (Windows Server 2012)
• Internet Explorer 7 or later, on Windows Vista or higher. Does not work on Windows XP, even Internet Explorer 8.
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется «как есть» без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные,
если они Вам помогли.-
Предложено в качестве ответа
Petko KrushevMicrosoft contingent staff, Moderator
25 сентября 2013 г. 8:28 -
Помечено в качестве ответа
Petko KrushevMicrosoft contingent staff, Moderator
26 сентября 2013 г. 8:21
-
Предложено в качестве ответа
На многих компьютерах с Windows XP и 7, особенно в офисах, в качестве браузера используется Internet Explorer. Это устаревший интернет-обозреватель, известный своими тормозами и низкой скоростью работы. Ныне не поддерживается, ему на замену пришел Edge.
Одной из проблем эксплуатации Internet Explorer является невозможность открывать интернет-ресурсы, работающие по защищенной версии HTTP протокола – HTTPS. Давайте разберёмся, что делать, когда IE не открывает HTTPS сайты.
Содержание
- Проверить дату и время на ПК
- Мешают антивирус или файрвол
- Сброс настроек Internet Explorer
- Прочие методы решения проблемы
- Задать вопрос автору статьи
Проверить дату и время на ПК
Чаще всего HTTPS не открывается на старых компьютерах с Windows XP. Уровень защиты зашифрованного протокола HTTP не позволяет работать с ним, если дата или даже время на сервере и компьютере пользователя отличаются.
В первую очередь вызовите окно настроек даты и времени, кликнув по текущему времени в трее, и выставьте корректные данные.
В Windows 10 кликните по иконке, где выводятся дата с временем, нажмите «Параметры…» (или «Настройки даты и времени»). Укажите правильные данные или позвольте системе автоматически синхронизировать их с сервером, укажите необходимый часовой пояс.
Если настройки сбиваются после каждой перезагрузки компьютера, замените батарейку CMOS на материнской плате, выставьте правильные параметры. После этого проблема, когда браузер IE не открывает HTTPS страницы, исчезнет.
О проблеме запуска веб-обозревателя смотрите тут:
Мешают антивирус или файрвол
Вторая распространённая причина, почему не работает HTTPS, это функционирование программ безопасности. Антивирус с встроенным файрволом или брандмауэр могут блокировать данный протокол. В настройках программы исключаем HTTPS из сканирования, если во всех браузерах не открываются страницы, передаваемые по зашифрованной версии протокола.
В случае, когда одни сайты открываются через другие браузеры, и лишь IE не грузит страницы, адрес которых начинается с https://, сбрасываете настройки интернет-обозревателя.
- Открываете «Панель управления», заходите в «Свойства обозревателя». Вид иконок переключите на значки, в ином случае пункт ищите в подразделе «Сети и Интернет».
Второй способ открыть нужное окно – через пункт главного меню «Сервис» веб-обозревателя вызываете «Свойства браузера». Если оно спрятано, нажмите Alt.
- Перейдите во вкладку «Дополнительно» и кликните «Сброс».
- Сохраните настройки, перезапустите компьютер для вступления новой конфигурации в силу.
Прочие методы решения проблемы
В следующем видео описаны варианты, если не открываются сайты в любом обозревателе:
Ещё вариант: откройте «Свойства браузера», приведённым выше способом, отметьте флажками пункты TLS 1.0 – TLS 3.0 и обе опции «Использовать TLS 1.x». Также перезапускаем операционную систему.
Вирусы и вредоносные приложения нередко блокируют доступ к определённым ресурсам или сами сетевые протоколы. Убедиться в их отсутствии или обнаружить и удалить может практически любой антивирусник, в том числе портативный, такой как Dr. Web, CureIt или AVZ.
Редко, но помогает загрузка сайта в режиме совместимости. Для этого перейдите на ресурс, кликните по иконке шестерёнки правее от адресной строки и выберите «Параметры просмотра в режиме совместимости».
Добавьте сайт в список. Чтобы избавиться от рутины, активируйте опцию использования списков доверенных адресов, размещенных и регулярно обновляемых на серверах Microsoft.
Дальше – запуск обозревателя без надстроек через соответствующий ярлык в «Пуске» либо «Свойства обозревателя». Во втором случае перейдите во вкладку «Программы», кликните «Надстройки» или «Управление надстройками». Кликайте по каждой из них и отключайте.
Самый простой и действенный способ – загрузка нормального браузера. IE никогда не отличался скоростью, стабильностью, удобством, популярностью среди пользователей, а сейчас он вообще не поддерживается Microsoft.
Есть еще много советов, когда браузер Internet Explorer не открывает страницы HTTPS. Но, думается мне, все они бестолковые. На всякий случай напишу (если кому-то помогут, дайте знать):
- Перезагрузка роутера и компьютера.
- Очистка кэш и куки.
- Если ПК подключен по Wi-Fi, попробуйте кабельное подключение.
- Сделайте откат ОС к последней сохраненной точке (при условии, что до обновления все работало).
- Переустановка операционной системы.
Как по мне, проще пользоваться другим браузером, чем ломать голову. Если вы знаете другие рабочие и проверенные варианты решения проблемы, пожалуйста, напишите в комментарии! Будем благодарны!
This isnt a firewall issue, I can telnet to gmail with no problems, but all browsers (chrome, IE, firefox) return a This web page is not available. error when tring to access it through the browser. I can access the same pages, using the same browsers, on the same machine, but through a different user account with no problem. What is going on?
Help appreciated.
Edit: This is definitely a windows setup issue — I have just created a new admin account and can access https with problems. This is seriously infuriating.
asked Feb 13, 2010 at 11:50
3
I had same problem a month ago but don’t remember exactly the solution. Try these:
- Check your date time settings
- Uninstall & reinstall your network card
- Check your PC for malware
- Reset you internet options
- Reinstall your PC
answered Apr 9, 2010 at 8:12
Hasan GürsoyHasan Gürsoy
831 gold badge1 silver badge12 bronze badges
4
Do you go through a proxy? Maybe the proxy settings haven’t been set correctly for HTTPS.
If you don’t, maybe some accidentally set a HTTPS proxy setting.
answered Feb 13, 2010 at 11:55
Dan McGrathDan McGrath
2,99622 silver badges20 bronze badges
2
Check and double check that there are no virus/Malware installed.
Not sure whether it can affect other browsers, but check IE’s about screen to make sure your cipher strength is working and not showing as 0-bit
Also WinsockXpFix is a little program for repairing your registry entries which sometimes can fix problems like this.
It might be out-dated now, but it is working checking out this article.
answered Apr 9, 2010 at 9:42
sgmooresgmoore
6,4192 gold badges25 silver badges33 bronze badges
I just had the exact same problem on an old XP Laptop using a standard user. I logged on as an administrator and could get to https sites.
I then tried to download an https resource on the command line and got a message that somethings wrong with the certificate. So I opened the Windows Certificate store, I got an error there:
Unable to open Root certificate store. Cannot find object or property.
This error may occur when the ‘Cryptographic Services’ windows service is not running. And in fact I had turned it off sometime in the past. Starting it and setting the startup to ‘Automatic’ fixed the problem.
I am not sure why it works for an admin user even without the service running.
answered Jan 25, 2012 at 12:36
Peter HahndorfPeter Hahndorf
13.4k9 gold badges52 silver badges67 bronze badges
If it works for one user and not another(as you say), then delete the directory of the problem user account, and let it recreate itself when windows restarts, and see how that is, see how it works with a freshly created user account.
answered Jun 11, 2014 at 12:10
barlopbarlop
23.5k43 gold badges146 silver badges226 bronze badges
alright so I just had the same problem and after reading thru this article i was able to fix it…
what did i do?
i checked and double checked my proxy settings…
deleted all my cookies…
restarted my machine…
checked my time setting… then i saw that it was 2004 instead of 2014… that fixed it!!
restarted the computer to validate it (dont have to do it if you dont want) and done.
answered Jul 9, 2014 at 3:16
I was able to get some websites working on IE by enabling stuff to run even if signature isn’t valid
It’s on Internet Options Advanced
answered Feb 11, 2020 at 20:19
You must log in to answer this question.
Not the answer you’re looking for? Browse other questions tagged
.
Not the answer you’re looking for? Browse other questions tagged
.